WebサイトのSSL化(HTTPS)の3つのグレード
- #Security
- #Encryption
- #Best Practices
- 2018/12/30
WebサイトのSSL化(HTTPS)の3つのグレード
SSLの認証とは認証機関にWebサイトの認証をしてもらうことでurlを http://ドメイン の形式から https://ドメイン の形式にすることができます。
httpsプロトコルで通信を行うことでよりセキュアなサービスを展開することができるため個人レベルのWebサービスでもSSL化をしている人は多いと思います。
現在はTVやインターネットでも安全なサイトの見分け方でurlを確認してhttpsのものを選ぶとかやっていたりするのでこの辺はやっておきたいところですね。。(ちなみに結構簡単にhttpsにすることはできてしまう)
※httpsは既に当たり前になっているのでhttpsだから安心というわけでは無いので注意です。
ちなみにHerokuでWebサービスを運用するときデフォルトでhttpsのurlがもらえていると思います。
AWSでのWebサービス運用でもACMの設定をすることでSSL化をすることが可能です。
さて、SSLには3つの段階(レベル)があることを知っているでしょうか?? 今回は3種類のSSL化について記載していきます。
これから先の時代httpsから始まらないurlは危険なURLとみなされてしまうこととなることが予想されますのでしっかり勉強をしておきましょう!!
ドメイン認証型(DV)
こちらは一番簡単でグレードの低いSSL化になります。
ドメイン認証は人の手を介さない認証となりますのでSSL化の中でも安全性は低いものとなっております。
一般的に認証機関に料金を支払うことでほぼどんなサイトでもSSL化することが可能です。
Chromeで確認するとhttps通信になっているサイトのことです。
ちなみにhttpプロトコルで通信を行っているサイトはChromeで保護されていない通信の様なメッセージが出力されるようになっております。
AWSのACMで設定できるSSL化はこのタイプになります。
SSL化していないよりはましなためこの認証をするようにしましょう!!
企業認証型(OV)
こちらはドメイン認証と違い人間の審査が入ります。SSL証明書を発行する際に組織情報の審査が入り、問題ないことが確認されてから証明書が発行されるためドメイン認証よりもセキュアなSSL化です。
ドメイン認証よりも工数がかかるため、一般に料金は少しお高めです。
Chromeで確認したときはドメイン認証となんら違いはありません(確か、現在は変わっているかも??)
企業のサイトやクライアントが使用するようなサイトに関してはこのへんをしっかりやっておきたいところではありますね!!
EV認証
最後にこちらですが先述した2つのSSL化よりもセキュアな認証となっております。こちらも審査があります。そして実在認証も行うためなりすまし防止などの担保も行っているSSL化となります。
EV認証を行った場合、Chromeで確認するとURLの前に企業情報が出力されます。
利用者は企業の実在と安全性を確認しサイトを閲覧、使用することができるようになります。
認証までの工数や安全性の担保より料金が他の2つと比べかなり高くなっております。
ですが、一目でサイトの安全性を誇示できるため大企業が運営しているサイトや個人情報を扱うサイトでは是非やっていたいところではあります!
最後に
SSL化の3タイプについてまとめました。サイトの規模間や用途に応じて適したSSL化をしていくことが重要だと思います。