読者です 読者をやめる 読者になる 読者になる

長いものには巻かれない

常識は非常識かもしれないと考えてみる

SSLとは何か? 難しい言葉ナシで解説してみます♪

Googleが、SSLに対応しているサイトを上位表示しようとしているらしいですが、そもそもSSLとは何か、難しい言葉ナシで説明してみようと思います。

先日、超人気ブロガーのまけもけさんが記事を言及してくれました。
恥ずかしくて、穴があったら入りたい気分です。

言及返しするつもりはないですが、いつも勇気をもらっているのが、こちらの記事。

gwgw.hatenablog.com

自分の記事を読み返して、削除したくなることがよくあるんですが、この記事のおかげでいつも削除を思いとどまっています。

 

さて、今回ははてなブロガーにはあまり関係のないSSLについて。
はてなブログは、まだSSLに対応するつもりはない?

www.iii.tokyo

なんだか魂の叫びみたいですが、ほんとに早く対応してもらいたいですね。

最近、アマゾンや楽天に頼らず、ネットショップを独自で開きたいというお客様が多いんですが、SSLを知らない方が多くて、SSLは費用もかかるので説明しなければならないのですが、分かってもらうのが結構大変です。

そもそもインターネット上でのやり取りはダダ漏れ

もともとインターネットは、秘密情報をやり取りするためのものじゃなかったので、ネットワークを飛び交う情報は暗号化されていません。

f:id:komanaho:20170117231841j:plain

今日のごはんは何か、とか、太郎くんは花子ちゃんに気があるとか、そういう日常会話が盗聴されるのはたいして問題ではないですが、これがIDやパスワードだったらヤバいですよね?

例えば、これが WordPress のログイン画面だったらどうでしょう?

f:id:komanaho:20170118162811j:plain

簡単に乗っ取ることができてしまいます。

もちろん、普段、自宅でブログを書いている分には、よっぽど隣近所に怪しい人が住んでいない限り盗聴されるということはあまりないと思います。

でも、中国に出張したビジネスマンが、ホテルでブログを更新して帰国したら、投稿が全部削除されていて、中国語でメッセージが表示された、なんていう怖い話を聞いたことがあります。中国のホテルなら盗聴器が仕掛けられているということもあるのかもしれません。

そこで、SSLを導入すれば、ネット上のやりとりが暗号化されて安心です。

f:id:komanaho:20170118163715j:plain

 

メールでのやり取りもダダ漏れなので、同じメール内にIDとパスワードを併記しないように、別々に送るなんていう風に対応しますよね。

SSLには種類がある

で、SSLを導入する方法ですが、はてなブログは、はてなさんの対応を待つしかないのですが、WordPress だったら、レンタルサーバー次第ということになります。

例えば、エックスサーバー は、超簡単に!しかも安く!SSLを導入できるのでお勧め(回し者ではないよ)最近では、SSLが標準になったので、申し込むだけで無料で使えるようです。さすがです!

エックスサーバーのSSLのページを見ると、種類がたくさんあり、金額も全然違いますが、どうやって選べばよいのでしょうか?

f:id:komanaho:20170118230347j:plain

例えば、CoreSSL と、GlobalSign とでは 金額が一桁違います。(ちなみに、CoreSSL とか、GlobalSign とかはサービスの名前であって、専門用語ではありません)

金額が高い方が安全なのかしら?と思ってしまいそうです。

これは何が違うのかというと、まずブランドの違い。高いサービスは「サイトシール」を提供しています。サイトシールとは、ロゴマークですね。このロゴマークによって、お客様が「Global Sign なのね、それなら安心だわ」と思ってもらえるメリットがあります。

もう一つは、Webサイトを運営している会社にお墨付きを与えるかどうか。

例えば、アンケート調査のWebサイトがあって、アンケートに答えると抽選で商品券が当たるとします。「商品券を送るので住所と名前を入れてください」と言われれば疑うことなく入れてしまうかもしれません。この時、SSLに対応していれば、ブラウザのアドレスバーの左側に鍵のマークが現れるので、暗号化してデータが送信されるので安心ねって思うかもしれません。

でも、そのアンケートサイト自体が問題あるサイトだったら、いくらデータが暗号化されても意味ないですよね。大切な個人情報が悪い人に盗まれてしまうことに変わりありません。

f:id:komanaho:20170118232846j:plain

そこで、Webサイト自体にお墨付きを与えるサービスが、GlobalSign だったり、GeoTrust だったりするわけです。この場合は、運営者が問題ないかどうかチェックするために登記簿謄本を提出させたり、担当者が調査したりするので、費用がかさんでしまうというわけです。

ちなみに、エックスサーバーのサイトはどうなっているかというと、インターネットエクスプローラーIE)の場合、アドレスバーの右側に鍵アイコンがあって、クリックすると、「GeoTrust Global CA」で認証されていることが確認できます。

f:id:komanaho:20170119211914j:plain

SSLに対応していないサイトをSSLにするには?

SSLに対応していないサイトをSSLにするには、まずSSLサービスを選んで契約します。エックスサーバーは、独自SSLが標準で無料で使えますので、サービスを契約してすぐに自分のサイトを「https://」でアクセスすれば、鍵のアイコンが表示されるようになります。

ただし、鍵アイコンの横に!マークが出る時があります。こちらは FireFox で 「https://・・・」にアクセスしたときの例です。

f:id:komanaho:20170119213743j:plain

https://・・・・」でアクセスしても、そのページ内に「http://・・・」でリンクされている画像などがあると、暗号化接続できません。

後からSSLに対応させようとすると、この、「http://・・・」のリンクを全て「https://・・・」に書き換えないといけないのが非常に大変です。置換で済めばよいのですが、そもそもリンク先が「https://・・・」に対応していなければ正しく表示されないので、いちいち確認しながらの作業になってしまいます。

Webサイトを利用する側にとっては目安になる!

ネットショップを利用したり、個人情報を入力するようなサイトでは、SSL に対応しているサイトかどうか、鍵マークにエラーが出ていないか、Webサイトの証明書の期限が切れていないかどうかを確認する習慣をつけるようにすると良いですね。