2022.08.19
J-Stream CDNext
セキュリティ
CDN
セキュリティの観点などから、Webサイト全体をHTTPS化する常時SSLの必要性が叫ばれて久しく、多くのWebサイトでSSL対応が進んでいます。ただしSSL運用には多少でもコストがかかることや、SSL化のメリットとデメリットをよく把握できていないために、対応を見送っている場合もあるでしょう。本記事では無料で利用できるSSL証明書であるLet’s Encrypt証明書について紹介します。
《 目次 》
SSL(Secure Sockets Layer)とは、インターネットなどのネットワークにおいて、通信する相手の認証、通信する内容の暗号化などを行い、やり取りされる情報の盗聴や改ざんなどを防ぐための通信規格です。
SSLは脆弱性への対応のためにバージョンアップを繰り返し、現在ではSSLを元に策定されたTLS(Transport Layer Security)という規格が利用されています。TLSもバージョン1.0から始まり、2022年7月現在では1.3までバージョンアップしており、普及が進んでいます。SSLという名称で普及したため、現在でも一般的にSSLと呼ばれており、SSL/TLSと併記されることも多いです。
SSLが適用されているWebサイトにアクセスすると、URLの先頭が「http」ではなく「https」となっていることが確認できます。
SSLを利用する場合には、認証局と呼ばれる第三者機関により、そのWebサイトの実在性を確認した証として発行されるSSL証明書が必要です。これをサーバーにインストールすることによって、信頼できる第三者機関からのお墨付きを得た安全なWebサイトであるという保証の元に、安全な通信を行えるようになります。
例外的に、SSL証明書の利用者が認証局への依頼をせず、自分自身によってSSL証明書の正当性を保証してしまうことで作られる「自己署名証明書」というものも存在します。この場合でもSSL証明書としては機能しますが、信頼できる第三者が正当性を保証するものではないので、Webサイトの信頼性の保証についての効果を期待できるものではありません。身元が不明な存在による証明書ということで、俗に「オレオレ証明書」と呼ばれることもあります。一般に公開されない、社内向けWebサイトなどで稀に利用されることがあります。
前述の通りSSLを利用することで安全な通信を行うことが出来るので、特にクレジットカード番号や個人情報などをやり取りするWebサイトにおいてはわかりやすく必要性を理解できるでしょう。
※1 公開鍵は誰にでも公開しているが、秘密鍵は非公開。片方で暗号化したものはもう片方でしか復号できない。
※2 共通鍵はSSL通信を希望する相手に対して個別に生成し、その相手以外に公開しない。
しかしSSL通信を行わない場合、情報の改ざんやなりすましなどの恐れがあるため、センシティブな情報を扱わないWebサイトにおいてもSSL化を行うことが求められています。
また、SSLを利用することによるメリットと、利用しないことによるデメリットが他にもいくつか存在します。
GoogleはSSL対応しているWebサイトを検索順位のランキングにおいて優遇すると公表しています。集客を期待するWebサイトであれば、来訪者に安心感を与える意味でもSSL化は必須の対応と言えるでしょう。
リファラとは、どのWebサイトから自分たちのWebサイトへ遷移してきたかを知るための情報です。アクセス解析を行う場合、来訪者がどのような経路でWebサイトへ流入してきたか知ることは非常に重要です。
SSL化されたWebサイトからSSL化されていないWebサイトへ遷移した場合、リファラ情報が取得できません。遷移されるWebサイトもSSL化していればリファラを確認することが出来るので、アクセス解析の精度を高める点では必要な対応となります。
SSL証明書が正しく設定されていない場合、ユーザーが操作するブラウザはそのWebサイトのことを信頼できる状態でないとして、ユーザーに危険性を示唆するメッセージを表示します。各ブラウザによって仕様は様々ですが、はっきりと「このWebサイトには問題があります」「プライバシーが保護されません」「安全な接続ではありません」などと表示されるので、集客には大きな打撃を与えるでしょう。
SSL証明書は前述の認証局から購入する必要があります。認証局にはいくつかのブランドがあり、各社で少しずつ仕様や価格が異なります。
SSL証明書は認証のレベルによって
の3種類に分けられます。
認証のレベルとは、SSL証明書利用者に対して認証局が行う、Webサイトの信頼性を測るためのチェックの強度を指します。認証されるための基準が高ければ高いほど、強く信頼性が保証されるWebサイトと言えます。そのWebサイトの目的や取り扱う情報、閲覧者の属性などの条件から、どれくらいのレベルの認証が必要か検討します。価格もそれによって異なるので、購入の際には考慮のポイントとなるでしょう。
ドメイン認証型(DV:Domain Validated)は、そのドメインが正しいかどうかについて認証するものです。証明書の発行を申請した人が確かにそのドメインを管理している人であることを証明します。最も簡易に利用できる証明書であり、発行の手順も容易で安価である代わりに、認証のレベルは3つの内で最も低くなっています。費用は年間で数千円から数万円程度です。
実在証明型(OV:Organization Validated)は、SSL証明書の発行を申請した人や組織が確かに実在していることまで証明の範囲を広げたものです。ドメインに加えて、管理者の実在性までを証明することで、第三者がなりすましているWebサイトではないということを示すことが出来ます。費用は年間で数万円から10万円少々程度であることが多いでしょう。
実在証明拡張型(EV:Extended Validation)は更にSSL証明書の発行の申請者を厳格に審査することで、最も高いレベルの認証を行います。上記二つの証明書における認証項目に加えて、組織の稼働状況や、電話による確認、申請者の雇用状態など、細かい審査を経て取得されるので、Webサイト閲覧者に対してとても信頼性の高いWebサイトであるとアピールすることが出来ます。大手ECサイトや、金融機関、グローバルな大企業のWebサイトなど、高い信頼性が重視される場所で利用されることが多いでしょう。費用は年間で20万円前後が目安です。発行のためにかかる期間も2~3週間程度必要です。
Let’s Encryptもいくつか存在するSSL証明書の認証局の一つです。Internet Security Research Group(ISRG)というHTTPSの普及を目的とする団体により運営されています。2020年には証明書の発行数が10億を超えたことを公表しており、非常に多くの実績を誇る認証局であることが分かります。
Let’s Encrypt証明書の最大の特徴は、無料で利用することが出来るという点にあります。
前述の通り、SSL証明書は通常であれば認証局から有償で購入する必要があります。これは当然ながら企業としての認証局が、SSL証明書の運用のためのサービス基盤や人的リソースを用意して証明書を提供しているためです。ではLet’s Encryptはなぜ無料で利用できるのでしょうか。
Let’s Encryptを運営するISRGは、前述の通りSSLの普及を目的に設立された非営利団体です。安全にインターネットを利用できる環境を実現するために、誰もが手軽にSSLを導入できるようにしようという理念の下で運営されています。
これに賛同した多くのIT企業がスポンサーとして支援を行っているため、Let’s EncryptはSSL証明書を無料で提供することが出来るのです。スポンサードしている企業には世界的な大企業も多く、無料サービスと言っても運営母体は信頼できるものと言えるでしょう。
Let’s EncryptはSSL証明書としての認証レベルも有償の証明書と変わりません。発行実績からもわかる通り、安心して利用することが出来ます。ただし利用上注意すべきポイントがいくつか存在するので、事前に把握した上で利用を開始しましょう。
Let’s Encryptは有償のSSL証明書を発行している認証局が通常行っているような、発行に際しての認証作業を省略し、自動でSSL証明書の発行を行います。高い認証レベルのSSL証明書は、審査を経て発効へ至るため、認証作業の自動化ができません。従ってLet’s Encryptは最も認証レベルの低い、ドメイン認証型(DV)の証明書だけを提供しています。より高いレベルの認証が求められる場合は有償のSSL証明書を利用する必要があります。
有償のSSL証明書は通常1年から2年ほどの有効期間で提供されており、期間が過ぎて無効な状態となってしまう前に更新手続きを行う必要があります。Let’s Encrypt証明書は有効期限が90日間と短いので、更新頻度が比較的高い点に注意が必要です。
ただしLet’s Encrypt証明書の更新は自動化することが可能であり、Let’s Encryptの運営者自身によっても自動化が推奨されています。自動更新を行うためのプログラムをサーバー管理者が個別に手配する場合もあれば、レンタルサーバーなどを利用している場合は自動更新設定がサービスの機能の一つとして提供されていることもあります。
Let’s Encryptは無償かつ自動的に発行されるSSL証明書なので、ベンダーサポートのような対応を期待することは出来ません。設定や運用に不安がある場合には、有償のSSL証明書を購入してサポートを受けることも検討すべきでしょう。
Jストリームが提供するCDNサービスである「J-Stream CDNext」は、管理画面からSSL証明書のインストールを行うことが可能です。Let’s Encrypt証明書については管理画面からの発行、及び自動更新まで行うことが出来るので、運用は非常に手軽です。例えば短期的に公開するWebサイトでCDNを利用する際などにもコストを気にせずSSL化を実現できます。SSL証明書の実装が必要な際には活用をご検討ください。
以上、無料で利用できるSSL証明書「Let’s Encrypt」について解説しました。
Jストリームでは実務経験豊富なエンジニアにより、ご用件に対して最適な設定やサービスをご提供します。専任の営業担当よりコストに関するご相談もお受けしますので、お気軽にお問合せ下さい。
関連する記事一覧
CDNとは? ~ノンエンジニア向けにわかりやすく解説~ CDNとは? ~ノンエンジニア向けにわかりやす…
2023.04.19
J-Stream CDNext
速度改善
アクセス集中対策
CDN
CDNを導入することで「可用性の向上」「配信の高速化/表示速度の高速化」「コスト削減」「DoS/DDos攻撃対策」など… CDNを導入することで「可用性の向上」「配信の高速化/表示速度の高速化」「コスト削減」「DoS…
CDNのメリット・デメリットとは? トラブル回避して上手に… CDNのメリット・デメリットとは? トラブル回…
2023.04.19
J-Stream CDNext
パフォーマンス改善
CDN
CDN(Content Delivery Network)は多くのWebサイトで利用される利便性の高い技術ですが、使い… CDN(Content Delivery Network)は多くのWebサイトで利用される利便…
CDN導入の流れと費用イメージ CDN導入の流れと費用イメージ
2023.04.19
J-Stream CDNext
速度改善
アクセス集中対策
CDN
Web表示速度対策やアクセス集中対策として有効なCDN(Content Delivery Network)。今回は「C… Web表示速度対策やアクセス集中対策として有効なCDN(Content Delivery Ne…
CDNのキャッシュ動作とは? トリガーやタイミングについて… CDNのキャッシュ動作とは? トリガーやタイミ…
2023.03.30
J-Stream CDNext
CDNext紹介
CDNはオリジンサーバーへアクセスし、ファイルをキャッシュして配信していますが、CDNとオリジンサーバーは常に通信し合… CDNはオリジンサーバーへアクセスし、ファイルをキャッシュして配信していますが、CDNとオリジ…
CDNで実装できるアクセス制御設定:CDNext紹介 CDNで実装できるアクセス制御設定:CDNex…
2023.03.30
J-Stream CDNext
CDNext紹介
CDNには特定のルールでアクセスを制御することができる設定項目が備わっている場合があります。特定のユーザーにしかアクセ… CDNには特定のルールでアクセスを制御することができる設定項目が備わっている場合があります。特…
オリジンサーバーダウン、それでも配信を継続させるためにCD… オリジンサーバーダウン、それでも配信を継続させ…
2023.03.22
J-Stream CDNext
CDN
CDNext紹介
CDNはオリジンサーバーの負荷を軽減させ、快適な配信環境を提供するサービスです。しかし配信による負荷以外の理由でサーバ… CDNはオリジンサーバーの負荷を軽減させ、快適な配信環境を提供するサービスです。しかし配信によ…
Jストリームの
ソリューションに
興味をお持ちの方は
お気軽に
お問い合わせください。