市川ウェブデザイン

SSLの導入に向けた調査 – クレジットカード情報を入力しても安全とされているウェブサイトは?

個人ホームページにSSLを導入するための調査です。以前の記事をコチラです。
 
SSLの導入に向けた調査1
SSLの導入に向けた調査2
SSLの導入に向けた調査 3
SSLの導入に向けた調査 – アドレスが変わったらどうするの?
 
SSL導入についていろいろと調べたときに思ったのですが、クレジットカード情報を入力しても安全とされているサイトは、どうやって判断するのか?疑問に思いました。今回は、その件について調べました。

クレジットカード情報入力に対応したウェブサイトは?

まずは、さくらインターネットの認証レベルの表をご覧ください。

認証レベル2と認証レベル3がクレジットカード情報に対応しています。ということで認証レベル2と認証レベル3のサイトを選びましょう。認証レベル3の方が安全性が高いので更に良いです。

次のどうやって認証レベルを判別するのか?下の表をご覧ください。

認証レベル3はアドレスバーの緑色で判断する

認証レベル3だとアドレスバーの一部が緑色になります。http:の前に「運営組織名」が表示されます。参考としてさくらインターネットを挙げておきます。


さくらインターネット

 

ちなみにこの認証レベル3は、さくらインターネットだと年間50000円以上かかります。セキュリティだけにこれだけの費用をかけられるのは、ある程度の企業だけだと思います。

多分、個人店、中小企業の自社サイトでネット通販をしている場合は、ここまでの対応はしていないと思います。逆に個人店、中小企業で認証レベル3を対応していると、かなり安全性の意識は高いと見て良いでしょう。

認証レベル2の見分け方は?

では、認証レベル2の見分け方はどうするのでしょうか?確認方法が非常に面倒ですが、さくらインターネットの説明です。

SSL証明情報を確認します。確認方法は、ブラウザをChromeだとすると、右クリック→検証をクリックして「view certificate」をクリックすると表示されます。

「詳細」タグを選択後、「サブジェクト」を選択します。

ここにウェブサイトの運営企業・団体の所在地情報が記載されていれば、認証レベル2であるとのことです。やっぱり面倒ですね。

認証レベル1は止めておいた方が良いです

認証レベル1は、クレジットカード情報に対応していないので、止めておいた方が良いでしょう。今回は、さくらインターネットで調査しましたが、他のサーバでも同様に止めておいた方が良いと思います。

認証レベル1の確認方法ですが、上記の認証レベル2の確認画面で、ウェブサイトのURLしか表示されないそうです。先程みたいな運営企業・団体の所在地情報は掲載されていません。下記の図でご確認ください。

認証レベル2とレベル1の判断は、アドレスをパッと見ただけでは分かりません。SSL証明情報を確認する必要があります。この判断は難しいですね。

ちなみにSSLに対応していないサイト(http:のサイト)は、止めておいた方が良いです。クレジットカード情報が必要なサイトとしてネット通販が考えられます。ネット通販を軽く検索しましたが、SSLに対応していないサイトは結構ありました。

さすがに何にもやってないのは、どうなんでしょうかね。

 

SSLの導入に向けた調査 – アドレスが変わったらどうするの?

個人ホームページにSSLを導入するための調査です。以前の記事をコチラです。
 
SSLの導入に向けた調査1
SSLの導入に向けた調査2
SSLの導入に向けた調査 3
 
SSL導入するにあたって気になっている点があります。
 
第1の問題は、SSLを導入するとホームページのアドレスがhttp://からhttps://に変更されます。
第2の問題は、ホームページ内の内部リンクのアドレスが変わってしまいます
 

アドレスがhttp://からhttps://に変更になる
 
これでは、せっかくSSLを導入したのに、下記のことが考えられます。
  • http://で検索したらホームページが表示されない。
  • http://でホームページを登録している人がいたら、ホームページが表示されない。
  • http://でホームページをリンクしていたら、ホームページが表示されない。
  • ホームページ内のリンクが表示されなくなる。

アドレスをリダイレクトする必要がある

まず第1の問題点ですが、アドレスがhttps://に変更されると、http://で入力したら表示されなくなります。そうすると他の人が今までhttp://で登録していたら、ホームページが見られなくなってしまいます。これは非常にマズいですね。
 
対処方法は、「.htaccess」というファイルに追記すれば、http://をhttps://にリダイレクトしてくれるそうです。「.htaccess」とは、サーバーの各種設定は制御を行うファイルです。レンタルサーバーで契約していれば、ファイルがあると思います。もしなければ、作ることも可能だと思います。
 
ちなみにWordPressだとルートディレクトリに入っているはずです。もし無い場合は、管理画面からパーマリンクを指定すると作成されます。もちろん自分でファイルを作ってもOKです。
 
設定方法はいろいろあるみたいです。参考資料はこちらです(httpからhttpsに.htaccessを使ってリダイレクトさせる方法)。
設定に関することは、実際にやってみたときに書きます。

ホームページ内のリンクを変更する必要がある

第2の問題点ですが、ホームページ内の全てのページもhttp://からhttps://に変更されます。よってホームページの内部リンクをhttp://のままにしておくとリンク切れになります。WordPressだとブログに書いた内部リンクなどはリンク切れになります。
 

上図のようなリンクは、アドレスが変わるので表示されなくなる
 
対処方法は、リンクを書き換えるしかないですね。さすがに1つずつ手動で変えるのは面倒なので、一括で変更しましょう
 
HTML形式のホームページであれば、エディターで一括置換えをすれば問題なく変更できます。
 
WordPressであれば、一括置換えのプラグインを導入するか、エクスポートして一括置換えしてインポートするか、データベースから一括置換えをすれば良いと思います。
 
これらの作業は、バックアップを取った後にやった方が良いです。でもやっぱり、バックアップ取得→一括置換え→変更されたか確認の作業が発生するので面倒ですね。
 
 
SSL導入はかなり手間がかかりますね。SSL導入はホームページを制作するときに検討した方が良いです。後から対応するのは面倒なことになるので、ホームページ公開前にSSL導入を済ませておきたいですね。特に大きめのホームページだと、なおさら事前に検討した方が良いでしょう。

SSLの導入に向けた調査 3

個人ホームページにSSLを導入するための調査です。以前の記事をコチラです。

SSLの導入に向けた調査1
SSLの導入に向けた調査2

  • 個人ホームページ
  • クレジットカードを利用しない
  • 守りたい情報はお問い合わせフォーム
  • さくらインターネットで契約

上記の条件だと、認証レベル1の「ラピッドSSL」で十分だという考えに至りました。この「ラピッドSSL」の契約料金は1年で1620円(税込)です。

他のサービスだと10倍以上料金が高くなります。個人のホームページなので、10倍以上高くなると、導入を検討する余地はないですが、なんでこんなに違うのか?調べてみました。

SSLは、なんでそんなに料金が異なるのか?

さくらインターネットのSSLサービス
さくらインターネットのSSLサービス

SSLはホームページを利用してデータ送受信するときに、データを暗号化して送受信することです。暗号化することで、他人にデータ情報を読み取られないようにすることができます。要はデータ流出を防ぐセキュリティの手段ということです。

私はこの暗号化の強度が料金によって異なるのかと思っていました。安いものは暗号化の強度が弱くて、高いものは強度が強いのかなと思いました。

ところが、調べるとどうやら暗号化の強度は、認証レベルによる差を無いとのことです。どの認証レベルでも同じ強度とのこと。

では一体何が違うのかというと、ホームページ運用者の審査基準であるとのこと。

料金が高いもの程、SSLを取得するための審査が厳しい。よって、そのホームページの信頼性が高いということを証明できるとなります。

「このホームページは、厳しい審査を通過したので安心ですよ。だからクレジットカードなどの重要な情報を入力しても大丈夫ですよ。」

と、ユーザ(閲覧者)に安心感を与えることができる。その安心感の証明の度合いが、料金の違いになります。料金が高ければ、より安心感の高いものを使っていますよと言えます。

実際に調べてみて、私が思っていた予想とは違っていました。ホームページ運用者が安全である証明としてのSSLであれば、料金の高いサービスは、商売人向けか企業向けのサービスだと思います。

SSLの導入に向けた調査 2

前回の続き。ここからは、さくらインターネットを題材にして書きます。

独自SSLについて

まず独自SSLは、IPアドレスベースとSNI SSL(ネームベース)の2種類があります。しかし、下の図を見てもらえばわかりますが、個人レベルだとSNI SSL(ネームベース)しか選択できません。ほどんどの人はライト、スタンダード、プレミアムのプランだと思います。

20170502-1blog-1

独自SSLの商品ライナップ

独自SSLはいろいろな会社の製品があります。下図が商品ラインナップです。

20170502-1blog-2

こう見ると「どれにしようかな?」と悩む必要はありません。金額的にラピッドSSLしかありません。あとは値段が高くて無理です。

商品の違いは?

値段差が随分ありますが、認証レベルの違いによるみたいです。認証レベルは1~3まであります。

  • 個人レベルでは認証レベル1
  • お問い合わせ程度の情報であれば認証レベル1
  • クレジットカード情報を扱うのであれば認証レベル2
  • オンラインバンキングを扱うのであれば認証レベル3

個人のホームページでお問い合わせフォームがある程度であれば、一番安いやつで十分です。

SSLを導入するときの結論

個人レベルなら「ラピッドSSL」で十分です。というか金額的にこれしか選択できないです。今回はさくらインターネットを例にしましたが、とりあえず認証レベル1の独自SSLを選択すれば問題ないでしょう。

 

SSLの導入に向けた調査 1

お問い合わせのページにSSLを実装したいと思います。そのための調査結果や諸々のことを何回かに分けて書きます。

SSLって何?

 結論を先にいうと、ホームーページのセキュリティを高める機能です。
 

(HTML5 プロフェッショナル認定試験レベル1 対策テキスト&問題集より画像取得)

 
ホームページのアドレスはhttpから始まります。このhttpというのは、ホームページが見ることができるテータ転送の規格のことです。
 
もう少し細かく説明すると、ブラウザとサーバー間のデータのやり取りの規格のことです。このhttpという規格を利用して、サーバーと自分のパソコンに立ち上げたブラウザの間でデータをやり取りすることで、ホームページが見られるようになります。
 
そのデータのやり取りですが、事前に暗号化してからデータのやり取りを行うのがSSLという方法です。SSLを行う理由は、カード情報など大切な情報を外部に漏れないようにするためです。

どうやってSSLを導入するのか?

 SSLを導入するには、SSLサーバー証明書が必要になります。そのSSLサーバー証明書はレンタルサーバー会社に申請します。
 
しかし、ここで問題があります。実は、SSLが何種類かあります。どれを選べばいいのかわかりません。なんで何種類かあるのか?長年疑問に思っていました。良い機会なので調べてみました。

独自SSLと共有SSLがある。

まず、大まかな違いです。レンタルサーバーでホームページを運用すると独自SSLと共有SSLの2種類があります。
 
独自SSLは、自分がサーバー証明書を申請します。SSL証明書を扱っているところは何社かあって、レンタルサーバー経由でそこに申請します。基本的に有料です。金額はピンからキリまで幅広いです。
 
共有SSLはレンタルサーバーが所有しているSSL証明書を使用します。さくらインターネットには「共有SSLは、お客様間で共有し利用できるサービスです。」と書いていました。お客様間で共有っておかしくない?と思いますが、無料なので仕方がないのでしょう。過剰な期待は禁物です。
 
下の図はさくらインターネットの両者の違いですが、共有SSLはドメイン名が変わってしまいます。
自分のウェブサイト(https://ichikawa-webdesign.com)で考えてみます。共有SSLだとhttps://secure○○.sakura.ne.jp/ichikawa-webdesign.comになります。うーん、ちょっと導入はやめておきます。
 
ということは、独自SSLの選択になります。この独自SSLは何種類かあるので、どれを選ぶか検討する必要があります。
 
次回は、独自SSLのどれを選んだらいいかについて書きます。