SSLサーバ証明書はどんな時に必要なの?

SSLサーバ証明書はどんな時に必要なの?

SSLサーバ証明書は、お問い合わせページやカード決済ページなど、個人情報を入力するページで、導入が必要だと言われて来ました。

それらのページで、SSL暗号化通信を採用することで、第三者によるデータの盗聴を防ぎ、大切なデータのやり取りを安全にできるようにするために、SSLサーバ証明書は必要と考えられて来たためです。

ところが、ここ数年、インターネットを取り巻く環境変化の影響で、SSLサーバ証明書が必要になるシュチエーションにも変化が見られるようです。

公衆無線LANの普及で、SSLサーバ証明書の役割にも変化が・・・

数年前まで、インターネットへの接続は、会社や自宅のルーターから行うのが普通でした。ところが、駅や空港、カフェなどの公衆無線LANからインターネットに接続する機会が増えていないでしょうか?このような機会はスマホやタブレットの普及とともに今後も増えて行くと思われます。

会社や自宅のルーターは、設定可能な最高レベルの暗号化をパスワードを利用して施すのが普通です。接続可能なパソコンやスマホを制限することで、安全性をさらに高めることも行われています。

ところが、公衆無線LANの場合、誰でも便利に使えることが大切なため、パスワードなしで自動接続されます。

これは、全く暗号化されていないルーターからインターネット接続していることを意味します。パスワードが必要な場合でも、より多くの人からの接続を優先するため、レベルの低い暗号化方式が採用されるのが一般的です。

最近、これら公衆無線LANからの接続を狙って、ログイン情報(IDとパスワード)を盗む攻撃(中間者攻撃)が増えているのです。

Webサイトでは、ログイン状態を維持するために、セッションとCookieという仕組みが利用されています。セッションとCookieにログイン情報を記憶させ、Webサイトのページを移る度、その情報を利用することで、ログイン状態を維持する仕組みです。

暗号化されていない公衆無線LANからインターネット接続した場合、Cookieに記憶されたログイン情報も暗号化されない状態で、やり取りされます。そのため、暗号化されていないログイン情報を盗み出し、盗んだログイン情報を利用して、詐欺などを働く犯罪が起こっています。

これらの犯罪から、サイト訪問者を守るには、ログイン情報をSSL暗号化することが有効です。ただし、サイト訪問者は、ログインした状態で、あらゆるページにアクセスしますので、あらゆるページをSSL暗号化(常時SSL化)することが求められます。

公衆無線LANは、東京オリンピックに向けて、更に充実させる方針が発表されています。公衆無線LANから、あなたのWebサイトにアクセスするお客様のログイン情報を守るためにも、SSLサーバ証明書の利用はますます重要なものになっています。

SSLサーバ証明書は当たり前という時代がそこまで来ている

私のサイトは、訪問者がログインして、利用するサイトじゃないから・・・と考えた方はいらっしゃらないでしょうか?

ここで、よく振り返ってみてください。

サイトを更新・管理する際にログインされていませんか?

サイト管理に利用するIPアドレスを会社のIPアドレスに限定するなど、公衆無線LANからサイト管理できない仕組みを構築することで、中間者攻撃に対処することは可能ですが、サイト管理をより臨機応変に行うのには適しません。

参考情報ですが、2015年6月8日、アメリカ政府は、アメリカ政府関連サイトのすべてのページを2016年12月31日までSSL化させる方針を発表しました。ガイドラインでは、常時SSL化によってインターネット接続をセキュアなものにして、政府のオンラインサービスを利用するアメリカ国民に最高のプライバシー保護を提供するとしています。

まとめ

従来のSSLサーバ証明書の役割は、第三者によるデータの盗聴対策

その役割は、暗号化された会社や自宅のルーターからの接続が前提

公衆無線LANから接続するスマホやタブレットの存在が、SSLサーバ証明書の役割を広げている

今後のSSLサーバ証明書の役割は、第三者によるログイン情報の盗聴対策

ログイン情報を守るには、Webサイトのすべてのページで、SSLサーバ証明書を活用することが有効(常時SSL化)