常識となった常時SSL

URLが” http://～” ではなく、” https://～” で始まるWebページは、インターネット上で暗号化されて通信されます。

HTTPS（HyperText Transfer Protocol Secure）は、HTTP (HyperText Transfer Protocol) 通信が、SSL（Secure Sockets Layer）によって暗号化されたプロトコルのことです。
但し、厳密には、当初使用されていたSSL では、バージョンアップを重ねたSSL3.0 でも脆弱性が見つかったため、現在はまったく別の設計であるTLS（Transport Layer Security）というプロトコルが使用されています。
ただ、目的も同じで馴染みがあるためSSL という言葉は、ウェブブラウザとウェブサーバ間でのデータの通信を暗号化し、送受信させる仕組みとして今でも使われており、SSL/TLSと表記することもあります。
数年前までは、個人情報等のやり取りをWeb上で暗号化して通信させるために、金融系でない一般企業は、問合せなどのデータ入力フォームがあるようなページのみSSL化しておりました。これは、暗号・復号によってパフォーマンスにも影響があるため、特定のWebページのみに適用していました。
しかしながら、2015年12月にGoogleが、SSL化されたWebページを検索結果で優遇すると発表してから、Webサイトすべてを常時SSL化する動きがでてきました。また、SSL化には認証局からSSLサーバ証明書を発行してもらう必要がありますが、それが低額で取得できるサービスもでてきたことも、SSL化が進んだ要因です。2018年7月からは、Googleは、Chromeのウェブブラウザを使用する際に、SSL化されていないページは、「保護されていません」というセキュリティ警告を出すようになり、今では、サイトにあるWebページすべてを常時SSL化することが常識となりました。
SSL化されていないページでは、暗号化されていない平文のまま通信されているわけですから、すりガラスでない窓のお風呂を利用するようなもので、いつ第三者に通信内容を盗み見されてもおかしくありません。そのためにSSL化すれば、「共通鍵暗号方式」と「公開鍵暗号方式」の両方を用いて、インターネット上のデータ通信を暗号化することができるので、第三者からの盗聴を防ぐことができます。
また、SSLの通信では、ウェブサイト所有者の情報や、暗号化に必要な鍵、証明書発行者の署名データを持つSSLサーバ証明書を利用して、サービスの運営元が誰なのかを確認をすることができ、利用者にとっても、信頼できるサイトかどうかの安心度が高まります。

今や企業の顔でもあるWeb サイトは、セキュリティ強化のために常時SSL 化することは必須となりました。

---

[タグ]　用語 トレンド

[関連]