2017年10月18日にGoogleがリリースしたWebブラウザ「Chrome 62」では、アドレスバーに「保護されていません」と表示される警告の対象が拡大されました。もともと「Chrome 56」ではユーザー情報の送信フォームを設置しているHTTPページを表示する際に警告が表示されていましたが、現在ではさまざまなHTTPページに警告が表示されます。

このような警告がアドレスバーに表示されると、ユーザーに不信感を与え、最悪の場合離脱率上昇・コンバージョン率低下を招いてしまいます。Webサイトの運営者はSSL/TSLの対応を迫られていますが、果たして「SSL」と「TLS」の違いとは何なのでしょうか。

そこで今回は、Webサイトのセキュリティに関わる「SSL」と「TLS」の違いを詳しく紹介していきます。「SSL」については聞いたことがあっても、「TLS」に関しては初めて知った人もいるかもしれません。ここで、しっかりとおさらいしておきましょう。

Googleがもっとも大切にしている「セキュリティ」

セキュリティGoogleがもっとも重要視している指標です。実際に、Googleは自社サイト・サービスでHTTPS通信が標準装備されるように資金や労力を注いでおり、透明性レポートによれば2018年2月現在で91%を達成しています。HTTPS通信とは暗号化してデータを送受信する通信のことを指します。

tr1.png
2018年3月時点

サービス別の内訳では、2014年1月に9%と暗号化率がもっとも低かった広告配信でさえ、2018年2月現在では96%まで達しており、外部ベンダーからの情報提供に頼っているGoogleニュースも82%まで到達しています。

tr2.png
2018年3月時点

残念なことに、日本は情報先進国の中でも突出してセキュリティに関する関心が低いことは、周知の事実と化しています。Android端末でGoogleにアクセスした際、HTTPS経由で読み込まれたページの割合は、2018年3月上旬時点で一番高いアメリカが79%なのに対して、日本は47%です。ロシアやインドネシア、トルコ以上にセキュリティに関する関心が低いことは、極めて由々しき事態だと考える人も多いようです。

wm.jpg
イメージ画像 / BURST

暗号化を行うことで、オンラインで閲覧するコンテンツがネットワーク上の第三者によって傍受や改変されていないことが保証されます。世界で最もよく使われているブラウザ「Google Chrome」では、暗号化されていないページ「保護されていません」という警告が表示されるようになりました。Webサイトの運営者にとって、暗号化の実装は急務となります。

参考:
HTTPS を使用する理由 | Google Developers

「SSL」と「TLS」の違いと「POODLE」とは?

sc.jpeg
イメージ画像 / stock.io

HTTPSは、「SSL/TLS」プロトコルによって暗号化された通信のことです。プロトコルとは、ネットワーク上でデータを通信するための手順集のようなもので、送信するデータの形式やエラー発生時の対処法などを詳しく取り決めたものです。HTTPの場合は、「TCP/IP」という2種類のプロトコルで通信を行います。

一般に「SSL/TLS」と2つのプロトコルが併記されていますが、「SSL」と「TLS」は何が違うのでしょうか。また、なぜ併記されるのでしょうか。この疑問を紐解くために、この2つのプロトコルの開発経緯について見ていくことにしましょう。

もともとSSL(Secure Socket Layer)は、現在のMozillaの前身となるNetscape社が開発しました。「SSL1.0」は早期段階で脆弱性が発見されたため、製品には実装されず、1994年に改良版「SSL 2.0」が「Netscape Navigator」に実装されました。

さらに翌年にリリースされた「SSL 3.0」は、2014年頃まで広く使われていましたが、POODLEと呼ばれる脆弱性が見つかりました。日本国内では、独立行政法人 情報処理推進機構(IPA)が率先して「SSL 3.0の無効化」を呼びかけました。現在では多くの主要ブラウザが「SSL 3.0」を無効化しています。

https.png
イメージ画像 / GAKUSMEMO

SSLと並行して1999年から開発されていたのがTLS(Transport Layer Security)というプロトコルです。通信内容の暗号化はもちろん、公開鍵証明書を用いて認証を行い、改ざんを排除することができます。

「SSL 3.0」と「TLS 1.0」は、仕様も仕組みも非常に似ていましたが、POODLE問題を受けて多くのWebサイト運営社がTLSに切り替えました。しかし、一般的に「SSL」の名前の方が浸透しており、HTTPS通信の暗号化プロトコル自体を「SSL/TLS」と呼ぶことが増えました。

現在は、2014年に発覚したHeartbleedおよび2015年に発覚したFREAKもあり、「TLS 1.2」が推奨されています。ただし、「TLS 1.2」のリリースは2008年と、リリースから10年近く経過しているので、「TLS 1.3」のドラフト策定が進められています。Googleなどが実験を進めており、まだ不具合も多いですが、古い脆弱な暗号化が大幅に改善される可能性があり、安全性がさらに高まりそうです。

知らないと危ない!4つの「SSL/TLS」関連チェックポイント

1. SSL証明書は持っていますか?

gk.png
GoogleのSSL証明書

「SSL/TLS」を用いたHTTPS通信を行うと、Webブラウザのアドレスバーに「南京錠」のマークが表示されます。これだけでも十分安全と思われるかもしれませんが、さらに安全であることをユーザーに認知させるには、「SSL証明書」が有効です。

「SSL証明書」は、ブラウザ側が認めた認証局が電子署名をすることで、ドメインの持ち主とSSL/TLSの実装元が同じであることを証明することです。

「SSL証明書」には、DV(ドメイン認証)・OV(組織認証)・EV(拡張認証)の3種類があります。DV証明書は個人・法人が共に取得可能で、費用もおよそ1000円からと安価ですが、信頼性が低く見られることがあります。OV証明書・EV証明書は、法人が発行対象者ですが、EV証明書があると、緑色のアドレスバーで、南京錠の横にSSL証明書の「取得者名」が明記されるので、ユーザーも安心できます。

2. 無料証明書でも大丈夫ですか?

le.png
Let’s Encrypt

「SSL/TLS」の取得費用の中でも、一般的にEV証明書の取得は費用が非常に高額なため、最近では、無料の証明書サービスとしてアメリカの非営利団体ISRGが運営するLet’s Encryptが人気となっています。

Let’s Encryptは有効期限が3ヶ月の証明書で、スクリプトを設定することで自動更新を行うことができます。一般的な証明書は手動で証明書の差し替えが必要となりますが、このスクリプトにより、半永久的に維持できるようになります。

また、シマンテックコモドも無料のSSL証明書サービスを始めています。

同じSSL証明書である以上、無料だから解読がされやすいといったことはありません。高額の証明書を取得しても、無料の証明書と暗号化強度は同じです。しかし、無料で取得できるためにフィッシングサイトなどで悪用されることも多いので、企業が採用するには細心の注意が必要でしょう。

3.「オレオレ証明書」問題はクリアしていますか?

hk.jpeg
イメージ画像 / stock.io

2003年に鳥取県警の命名でよく知られることになった「オレオレ詐欺」にあやかり、ネット上では「オレオレ証明書」と呼ばれる問題が蔓延しています。

これは日経サイエンスが2005年に使った言葉です。サイバー研究家の高木浩光氏によれば、オレオレ証明書の区分は6つに分かれており、認証されていないサーバー証明書を使ったり、正規に承認されていても自分が署名したものとは違った証明書を用いていることを指します。

こうした証明書を用いていると、「暗号化」はできていても「実在確認」が伴わないので、セキュリティ上のリスクを伴います。安全なSSL通信を行いたいのであれば、信頼できる第三者認証局に依頼をしましょう。

4. 常時SSL化していますか?

net.jpeg
イメージ画像 / stock.io

常時SSL化とは、個人情報やパスワードを入力するページだけではなく、サイト全体をSSL化してしまい、ブラウザからアクセスする場合、常にSSL接続で閲覧してもらう方法です。

現在では、常時SSL化していないと、Google Chromeで「保護されていません」というメッセージが出ます。一方、常時SSL化していれば、トップページから南京錠のマークが表示されるので、ユーザーとしても安心です。

現在、日本の銀行や証券サイトのほとんどが、部分SSL化を採用し、オンラインバンキング機能だけをSSL化しています。しかし、トップページに表示されている情報が、悪意のある第三者によって書き換えられてしまったらどうでしょうか。

すべてのページを暗号化しておけば、トップページからユーザーが回遊するすべてのページに暗号化が行われるので、セキュリティ上のリスクを回避できます。こうした安心を提供する上でも常時SSL化は重要な要素となります。

まとめ

セキュリティはGoogleが先導して対策を行なっていますが、とりわけ日本においては早期に対応していかなければなりません。

まだまだ暗号化されていないWebサイトも多い中で、暗号化するだけでもリスク回避の面で優位性を獲得することができます。もう一度、自社のセキュリティについて見直してみてはいかがでしょうか。