
YAHOO!JAPANが、すべてのコンテンツで常時SSLを実装することを宣言しました。
Yahoo! JAPANサービスは常時SSL(AOSSL)に対応します – Yahoo! JAPAN
SSLとは?
SSLに導入することで、通信上に流れている情報を暗号化し、安全に送信する技術です。
もっと簡単に言えば、ショッピングサイト等で注文をする際、IDパスワードや、住所、電話番号、クレジットカードなどの個人情報を入力して注文するわけですが、この入力した情報は、店舗側にインターネットを経由して送られるわけです。
その送る際には、基本的には平文でインターネット上に流れます。
なので、SSL暗号化されていない問い合わせフォームなどで注文するというのは、平文で自分の情報をインターネットに流しているのと同義です。絶対にそのようなサイトで情報を送らないようにしてください。
いくらなんでもこの時代に、サイト制作側が相手のことを考えていなさすぎです。そんなところと付き合ってもいいことはありません。
そして、SSLというのはその通信自体を暗号化し、鍵を持っているものだけが複合(暗号化された情報を復元し人が読み取れる)できるので、インターネット上に流れても安全と言われているセキュリティ技術です。この技術はかなり前から存在していました。
SSLが使われない理由とは
SSL暗号化通信自身は、WEBサーバーのほとんどが最初から対応しており、利用しようと思えばすぐにでも利用は可能でした。
しかしながら、SSL暗号化通信自身には影響はしませんが、SSL証明書を取得していないSSL通信には、必ずブラウザが警告画面を出します。
このような画面を見たことがあると思いますが、これは、ようは証明書をインストールしていないSSL通信だから、通信は暗号化されるけど、相手がだれなのか特定されてないから大丈夫?
という警告なのです。技術的には暗号化されるので外部に漏れることはないのですが。
ごくごく普通に考えればこんな画面を出るまま使うWEBサイトオーナーなどいるはずがありません。
これを回避するには、SSL証明書という第三者機関が発行した証明書をインストールしておく必要があります。
このSSL証明書というのがついこの前までは高額で、WEBサイトで収益を上げようとしていない企業が導入するには敷居が高かったのです。
最もブランド力のあるベリサイン(現シマンテック)で、1年間で約10万円、ほとんどブランド力のない安いSSL証明書でも年で約1万円程度でした。
SSL導入までの敷居が高すぎる
証明書が高額であることも導入が進まない一つの敷居でした。
しかし、数年前から安価な証明書も出始め、証明書だけを販売するサイトも増えてきました。
このバナーにあるように、安いものだと、年額で1,000円程度の証明書も出てきて、ブランドを気にしないのであれば費用的な面では何の障壁もなくなったと言えます。
しかし、それでも導入が進みませんでした。
1IP1証明書の原則
SSL証明書というのはそのドメインの保有者であったり、サーバーの管理者であったりを証明する書類という扱いです。
そういったものであることから、昔から、1つのIPに紐づけされる証明書は1つという大原則がありました。
そのほとんどのドメインが共用サーバーを利用し、1つのIPに複数のドメインが紐づけられていました。
また、ipv4枯渇問題もあり、IPの有効活用などが言われ始めてから、IPの割り当て審査も厳しくなりました。
SNI対応
ここ近年、IP枯渇問題に対応すべく、著名なブラウザはSNIに対応しました。
簡単に言えば、SNIというのは、SSL証明書がIPに設置されていたものをドメインに設置することで1つのIPに複数のSSL証明書が紐づけるようになりました。
サーバーの世界では、仮想化が大流行で、IPがただでさえ使われる時代です。
一つの仮想サーバーに複数のIPなどつけていけない時代ですから、SNI対応は時代の救世主とも言えます。
それらもあり、WEBサイトのSSL化は一般的になりました。
あなたのWEBサイトは大丈夫ですか?
上記に書いてきた通り、SSL対応はもはや、だれでも手が出るレベルのコストです。技術的にも難しいものでもなく、対応していないことは閲覧者に対して情報を漏らしてくださいと言っているに等しく思われる時代になりました。
一方通行で情報を配信するだけならまだしも、ログイン・問い合わせフォーム・カートなどを設置されるのであればもはや必携です。
ぜひこの機会に検討されることをお勧めします。