サイトSSL化に向けて

セキュリティ

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

2018.11.06

セキュリティマーク — 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

一年くらい前に出ていた話で、お客様のサイトを全てSSL化するという話は、その後頓挫していましたが、GoogleがブラウザのChrome(クローム)でSSLでで保護されていないサイトで入力欄があるページに赤い注意マークを表示させるようになったことから、お客さんさからSSL(セキュア接続)をご要望される事が増えて、この度お客様のサイトのSSL化がやっと始まりました。

SSLとは、について調べてみました。

SSL（Secure Sockets Layer）とは、インターネット上におけるウェブブラウザとウェブサーバ間でのデータの通信を暗号化し、送受信させる仕組みのことです。
インターネット上で頻繁に送受信される氏名・住所・メールアドレスなどの個人情報や、ショッピングの決済に必要なクレジットカード情報、ログインに必要なID・パスワードといった情報は、常に悪意ある第三者から狙われております。
SSLは、これらの重要な情報を、悪意ある第三者による盗聴を防いだり、送信される重要な情報の改ざんを防ぐ役割を持っています。
GlobalSign(グローバルサイン)ホームページ「SSLとは？httpsとは？簡単説明」より引用
URL:https://jp.globalsign.com/ssl-pki-info/ssl_beginner/aboutssl.html

私は会社で一年程前にお客様のサイトのSSL化の話が出た時に自分でレンタルサーバーとドメインを取得してGoogleで検索をしながらやり方を試してみました。

特にSSLを導入しても、同じホームページにSSLでは無いアドレス(http://)からもアクセスできるので、SSL(https://)の方へリダイレクト(転送)させる方法について、調べたりしました。

おかげさまで、SSLでないURLでアクセスしても、SSLのサイトへ移行させるやり方などもわかりました。

話は少し脱線しますけれども、今回のSSL化なを強力に推進しているGoogle(グーグル)は、スマートフォンのAndroid(アンドロイド)でもアプリの製作者に上位のバージョンのAndroidにするように義務付けをしています。

これまで、アプリではiPhoneやiPadなどのiOS版はかなり厳しい審査基準があり製作者を悩ませていましたが、Android版のアプリは比較的寛容で製作者にとっても自由度が高かったのですが、だんだんと厳しくなってきました。

以下、Googleによるアプリ製作者に対しての義務付けに関する記事の引用です。

　APIレベルのポリシー変更のスケジュールは次のとおり。
2018年8月：新規アプリのターゲットがAPIレベル26（Android 8.0）以降であることが義務づけられる。
2018年11月：既存アプリの更新版のターゲットがAPIレベル26以降であることが義務づけられる。
2019年以降：ターゲットのバージョンの要件が毎年上がる。Androidの新しいメジャーバージョンがリリースされてから1年以内に、新規アプリと更新版アプリのターゲットが、そのバージョンに相当するAPIレベル以降であることが義務づけられる。
参照サイト:「Google、Androidアプリに新バージョンAPIへの対応を義務づけ」

URL:https://tech.nikkeibp.co.jp/it/atcl/idg/14/481709/122800391/?ST=cio-appli&P=3

新規で作るアプリや、更新するアプリのAndroid APIのバージョンが一定以上のバージョンでは無い場合、アプリを新規公開や更新して公開することができなくなりました。

2018年8月からは新しいアプリを申請するにはターゲット API レベル 26 以降が必須になります。

2018年11月からはすでに公開していて、更新するアプリは、API レベル 26 が必須になります。

我が社ではお客様のアプリを更新する事はあまり無いので、救われました。しかし、更新しなければならない時期が来るのは時間の問題だと思います。

再びパソコンの話ですが、ホームページを見ていて赤文字で「保護されてない通信」などと表示されたら心配になってしまいます。

しかし、視点を製作者から利用者に移してみると、Googleというブランドがあり信頼されている企業がホームページの安全性を知らせてくれるのは、ありがたい事だと思いますし、危険なフィッシングサイトなどから利用者が守られるならばその利点は大きいと思います。

製作者にとっては、手間が増えて大変ですがセキュリティが保たれるならば今回のGoogleの措置は適切だと思います。

SSLとは？

SSL（Secure Sockets Layer）は、データの暗号化や送信元の認証を行うための暗号化プロトコルの1つです。SSLは、Webサイトのセキュリティを強化するために使用され、Webサイトとユーザーのブラウザの間でのデータのやりとりを暗号化することができます。

SSLを使用すると、WebサイトのURLの先頭に「https://」が付きます。この「s」は、Secure（安全）を意味し、SSLが有効になっていることを示します。また、Webブラウザで表示される「鍵」マークも、SSLが有効であることを示しています。

SSLを使用することで、Webサイトとユーザーのブラウザの間で送信される情報が暗号化され、第三者による盗聴や改ざんを防ぐことができます。具体的には、ユーザーがWebサイトに入力したパスワードやクレジットカード番号などの個人情報が保護されます。

現在、SSLは、その後継プロトコルであるTLS（Transport Layer Security）に置き換えられる形で使用されており、TLS 1.2やTLS 1.3などのバージョンがあります。Webサイトには、SSL証明書を取得することで、SSLを導入することができます。SSL証明書は、信頼できる認証局（CA）によって発行され、Webサイトが本物であることを証明します。