SSL
SSLとは、Secure Sockets Layer の略のことで、1994年にNetscapeによって開発された世界標準のセキュリティーテクノロジーです。
現在は、Transport Layer Security(トランスポート・レイヤー・セキュリティ、TLS)が正式な名称ですが、TLSの元になったプロトコルがSSLであったため、現在でもSSLと呼ばれることが多いです。
TSLもSSLも、インターネットなどの公開されたコンピュータネットワークにおいて安全性を担保し通信を行うためのプロトコルです。
主な機能として、「通信相手の認証」、「通信内容の暗号化」、「改竄の検出」があります。
バージョンは、以下のように推移しています。
SSL 1.0 :実装されず破棄されました。
SSL 2.0 :1995年
SSL 3.0 :1996年 後に脆弱性が問題になりTLSへ移行
TLS 1.0 :1999年
TLS 1.1 :2006年
TLS 1.2 :2008年 2017年12月現在に至る
TLS 1.3 :草案中
通信相手の認証
SSLを利用するためには、Webサーバーに証明書を登録する必要が有ります。
証明書のレベルにもよりますが、一定以上の証明と言えるでしょう。
しかし、フィッシング詐欺に使われることもありますので、注意が必要です。
SSLサーバ証明書は大きく分けて2つの種類があります。
ドメイン認証型と企業認証型のSSLサーバ証明書です。
企業認証のSSLサーバ証明書は、SSLによる暗号化機能に加えて、Webサイト運営組織が本当に存在しているかをSSL証明発行者が直に確認して発行されるSSLサーバ証明書です。
企業・組織の実在性を、登記事項証明書や第三者データベースに基づくインターネットを経由しない「電話による確認」が行われるため、ドメイン認証型よりも高い信頼性を実現しています。
そのため企業認証型のSSLサーバ証明書は、個人や個人事業主が取得することはできません。
ドメイン認証のSSLサーバ証明書は、SSL/TLSの暗号化のみに特化したSSLサーバ証明書です。
ドメイン名の所有名義を確認して、SSLサーバ証明書を発行します。
個人でも取得できます。
ドメイン名を所有していれば、誰でもSSLサーバ証明書の取得が可能なため、Webサイト運営組織が本当に存在しているかどうかは確認できません。
そのため、悪意のある個人や組織がパスワードやクレジットカード番号を盗み取ろうとするフィッシング詐欺に利用されるケースもあり、利用者側で注意が必要になります。
通信内容の暗号化
SSLを利用すると、通信される情報を暗号化できます。
インターネットは送受信中に情報を見られることがあります。
しかし、暗号化することによって情報が守られ、簡単に盗み見されることはありません。
ただし、SSLに使われる暗号方式によっては、危険があります。
例えば、TLS 1.2ではすでに危殆化したDES、RC4、MD5、SHA1が選択可能であり、この事が脆弱性の原因となっています。
TLS 1.2を使用しかつDES、RC4、MD5、SHA1で暗号化していた場合、最悪情報は盗み見されます。
しかし、あくまでも可能性の話ですので、適切にSSLを利用したWebサイトを利用している限りほぼ大丈夫です。
WordPressにおけるSSL
WordPressにおいてのSSLは、WebサーバーとWebブラウザーとの間で、データを暗号化し送受信できる通信方法です。
WordPressはもともと情報発信をするブログなので個人情報やクレジットカード情報をやり取りすることはありません。
コメントを登録する際に個人情報の一部を登録することになりますが、ニックネームやyahooメールなどを利用すれば十分ですので、あえて本名やメインメールアドレスを書くことはないと思います。
企業がWordPressで大々的な販売システムや情報システムやホームページを運営している場合は、上のことは当てはまりませんが、個人でブログ運営は上の通りと思います。
しかし、今やGoogle社が考えている通り、通常からSSLを使用する(常時SSL)のが当たり前となりそうです。
実際、WordPress環境を提供するレンタルサーバー会社は無料のSSLを提供しています。
ここは時代の流れと思い、WordPressにもSSL化をすべきでしょう。
ピンバック: WordPressのSSL化 | WordPressでブログ
ピンバック: 常時SSLとは | WordPressでブログ