2021 年 07 月 21 日
必読!常時 SSL のススメ ~ 何故、常時 SSL 化をしなくてはならないのか?
常時 SSL とは、ウェブサイト内のすべてのコンテンツを「https(暗号通信)」で通信することです。
これまでは、問い合わせフォームやクレジットカード情報の入力画面などの個人情報を求めるウェブページのみに、SSL/TLS が実装されてきました。
しかし、Google は安全ではないコンテンツのダウンロードからユーザーを保護するために、これまで段階的に混在コンテンツ(Mixed content)に対する警告およびブロックを強化しており、すでに公開されております Chrome 88 以降では画像なども表示されなくなったと 公表 しています。
では何故、常時 SSL が必要なのでしょうか。混在コンテンツとは「https(暗号通信)」でアクセスできるウェブサイトのページ内に、「http(非暗号通信)」で読み込まれるコンテンツが存在していることを意味しています。
ウェブサイトが「https」であっても、ページ内のリンクに「http」でアクセスするファイルがある場合、改ざんされたファイルが送信されても検知できず、悪意ある第三者によってマルウェアなどへ差し替えられる可能性があるため、これらの脅威からユーザーを保護することを目的として、Google は Chrome における段階的な混在コンテンツの制限を行ってきました。
(出典)Google ブログ 「Chrome における混在コンテンツの対応」
ウェブサイトを「https」にするためには、サーバー証明書がその役割を果たしています。サーバー証明書に関する基礎知識については、SSL/TLS サーバー証明書 BLOG で解説しております。
混在コンテンツが存在するウェブサイトでは、Chrome のアドレスバーに「保護されていない通信」と表示されている場合は混在コンテンツが存在する可能性があります。混在コンテンツ以外の可能性としては、古いバージョンの暗号化プロトコルである TLS 1.0 / 1.1 がウェブサイトに使用されているためです。主要ブラウザによって、TLS 1.0 / 1.1 が無効化 されているため、現時点では有効である TLS 1.2 / 1.3 を使用することが必要です。
米国家安全保障局(NSA)は、TLS 1.2 または TLS 1.3 のみを使用し、古くなった SSL 2.0、SSL 3.0、TLS 1.0、TLS 1.1 の使用を停止するように、連邦機関のシステム管理責任者などに セキュリティ勧告 を出しています。
これまでにも、古いバージョンの暗号化プロトコルが主要ブラウザによって無効化されたことや、暗号化アルゴリズムの危殆化により SHA-1 が廃止 され、現在は SHA-2 が利用されています。今後も暗号化技術の危殆化により新しい技術が標準的になっていくことが予想されるため、サイト運営者はウェブサイトを安全に運用するためには、このような技術動向について理解し対応することが必要です。
サイト運営者が常時 SSL を行うために必要なさまざまな情報が提供されています。フィッシング対策協議会では、「 常時 SSL に向けてサイト運営者が知っておくべき基礎知識 」を公開しています。また、独立行政法人情報処理推進機構(IPA)では、安全なウェブサイトを作成するための手引きとして「TLS 暗号設定ガイドライン 」を公開しています。
本記事に関連するリンク