お知らせ

  1. ホーム
  2. お知らせ
  3. https
  • パソコン関連

すぐにホームページをSSL対応しましょう

noimage

すぐにホームページをSSL対応しましょう

Webサイトの常時SSL対応、https化について必須と呼べるものになりました。 現状最も使われているブラウザでSSL対応していないホームページは「安全ではありません」、「保護されていない通信」とアドレスバーに表示されるようになりました。 これはスマートフォンからの閲覧の際にも表示されることになり、スマートフォンの小さいブラウザの中で表示されるメッセージは大きな存在感があります。 「安全ではない」、「保護されていない」という言葉は過剰な表現ではなく、実際にサーバーとブラウザとの間の通信が安全と保証されていない状態、暗号によって保護されていない状態なのです。 アドレスがhttpsから始まるサイトは暗号化された通信で、表示された内容、入力された内容は盗聴や改ざんをされることはありません。 アドレスをhttpsにするSSL対応はサーバーにSSL証明書を設置し、httpのアドレスにきた要求をhttpsのアドレスに置き換えるための設定を行います。 SSL証明書にも色々なものがあり、ドメインを認証するDV型、企業の存在とドメインが結びついたものである証明を含めたEV、OV型という種類があります。 銀行などはEV型の企業の実在証明などが厳密に審査されており、ブラウザで緑色で企業名が表示されるなどの表記になります。これにはそれなりの期間と、審査証明のための費用が高額です。 一方DV型は手軽に入手できる証明書で、年間で1万円を切るものもあり、SSL対応するためにはもっとも扱いやすいものです。 DV型でも通信を暗号で保護しユーザーの安全を守るものとしては十分なので、素早くするためにもこちらの導入をお勧めしたいところです。 ホームページに来たくださる方に安心したアクセスをしてもらえるようにSSL対応するのは今すぐ行って欲しい施策です。
  • パソコン関連

HTTPSを導入しないリスク

noimage

HTTPSを導入しないリスク

Googleが各WebサイトへHTTPSの導入を促したり、Let's Encrypt無償のSSLの配布によってHTTPSが推進されることにより、HTTPSが導入サイトが急激に増えています。 HTTPSが導入されたサイトはブラウザとサーバーとの間の通信が暗号化されており、安全にサイトが利用することができます。 WEBサイト運営者は安全に利用者に対してサイトの情報を提供することができます。 ユーザーがHTTPSを導入したサイトを利用しないリスクとしては、パスワードなどを含めた個人情報が流出してしまう、ユーザーが偽サイトに誘導される、あるいは本来意図していないをダウンロードしてしまうという、などが挙げられます。 HTTPSを導入していないサイトではブラウザとサーバー間が一切暗号化されていないため、通信経路で盗聴することを防ぐことができません。 インターネットは個人のPCとサーバーとの間に、Wi-Fiアクセスポイント、スイッチングハブ、ルーター、プロバイダ、プロバイダからも目的サーバーまでに複数のサーバーを中継していきます。 その間に何らかの悪意あるサーバーや機器所有者がいる場合、情報流出の可能性があります。 現在フリーWi-Fiなども普及している中でこれらのリスクは無視することができません。個人情報を記入した入力フォームなどでは特に気をつけることです。 サイトのドメイン・アドレス(www.sys-cube.co.jp)はそれぞれDNSという仕組みによりIPアドレスに変換され、目的のサーバーに接続する仕組みです。 HTTPSのサイトの場合はIPアドレスとドメインがマッチしているかは検証されます。HTTPSサイトではない場合、現在利用しているDNSが変換するIPアドレスのサーバーに誘導されます。このDNSに不正が行われている場合、偽のサイトに接続しても警告されることがありません。 これらも先ほどの経路上の悪意によって不意なタイミングで被害を受ける可能性があります。 これらによる被害がユーザーに出た場合、サイト運営者としては早めのHTTPS化を行なっていれば未然にこれを防げたことになります。 HTTPS化を行えばこれらリスクを防止が可能であり、運営者は早めにこれらを導入することが必要です。
  • パソコン関連

GoogleとSSLの動向

noimage

GoogleとSSLの動向

Google ChromeがSSLが導入されたセキュアなサイトを訪れている際に表示される鍵マークを段階的に廃止するという方針を明らかにしました Chromeでアクセスする多くのサイトでSSLが導入されていることが確認されてきたため、これを標準とし、ゆくゆくはSSLが導入されていないサイトを安全ではないサイトと表示していく予定もあるようです。 SNSや動画サービス、その他WEBサービス、ニュースサイトもほとんどのものがSSL化されてきており、Chromeでのアクセスはそれらが大部分を占めるはずです。 企業サイトなどで導入されていないところなどが現状まだまだありますが、これらの方針を明らかにすることによってさらに促進していく考えのようです。 かつてGoogle検索の順位にSSLが影響を及ぼすという方針を発表して以来の施策が続いています。 鍵のマークがつかなくなった頃には、Google検索の結果はSSLが導入されているサイトが最優先で、それ以外のサイトは標準で表示されないなどもありえなくはありません。 ECサイト以外の商用サイトなどのSSL化も早めに進めていくことが必要です。
  • パソコン関連

Google検索とSSL

noimage

Google検索とSSL

Googleが検索エンジンの上位に表示される条件の一つとしてSSLがサイトに適用されている、という項目を挙げています。 SSLが適用されているページはWebサイト上でhttps://というアドレスで表示され、またブラウザによって鍵のマークが出るなど、何らかSSLを利用したサイトであることが表示されます。 SSLは個人情報の入力や、クレジットカード、オンラインバンキングの利用などでは必須となっています。 それを一般のWebサイトにも適用しているサイトをGoogleは信頼性のあるサイトとして判断するということです。 SSLを利用する大きなメリットは、Webサーバーとブラウザの間の通信が暗号化されていて、解読が極めて難しいことと、そのアドレスが正しいサーバーに接続されていることが証明されることです。 暗号化は秘密鍵を明らかにされていなければ二者間の通信の途中に入り込んでも解読のリスクはほぼありません。 通常の運用では秘密鍵はサーバ内に格納されており漏洩することはありえません。 公共Wi-Fiなどで不正な中継や盗聴があったとしても中の情報は一切取ることができません。 アドレスバーに入力したアドレスが正しいサーバーに接続されていること、これは当たり前のことのように感じますが、その当たり前をついた攻撃が行われやすい部分でもあります。 アドレスのドメイン名からサーバのIPアドレスに変換(解決と呼びます)されるためにはDNSサーバーに問い合わせをするのですが、そのDNSサーバーが不正に設置されたものであったり、脆弱性を抱えている場合は、IPアドレスの解決を誤ったサーバーに変更してしまうことができます。 銀行のサイトのURLを正しく入力したとしても、フィッシングサイトに接続されてしまっている、という状況です。 公的認証局でのSSLの登録はドメイン名とサーバのIPアドレスは偽造できなくなっています。 ドメイン名を解決するために一度認証局に問い合わせをして、サーバーの証明書が正しいものかを判断するためです。 公的認証局で証明された証明書以外を持つサーバーは危険なサイトとしてブラウザが判断する仕組みができています。 ユーザーが正しいサイトに接続されている、という保証をWebサイト側で提供していることになりますので、Googleはこれを重んじているものと思われます。