ssl化について簡単に説明します。なんとなく分かることを目的としています。
ssl化のポイント
- 通信先がドメイン名どおりのサイトであるかを保証するよ
- 通信内容を暗号化し情報の漏洩を防ぐよ
Contents
ssl化とは何?ひとことで説明
ssl化とは
通信時にssl証明書(企業に発行してもらう証明書)を使うことで、通信の暗号化を行う。また、その通信先がドメイン名どおりのサイトであることを証明すること
です。
ssl化とは何?詳しく説明
順番に見ていきましょう。
まずは予備知識として
- 暗号化
- 復号化
- ドメイン名
について説明します。
って項目は適当に読み飛ばしてください。
暗号化って何?何がいいの?
暗号化とは、そのままなのですが、文字やデータを暗号化することです。
暗号化すると何が良いのでしょうか?田中さんが通販サイトでポテトチップスを買う例で考えてみます。
暗号化されてない文(平文)
田中太郎です。9,800円のポテトチップスを買いました。
住所は○○です。
上の内容ですが、通信の内容を第三者から盗聴された場合は情報が丸見えとなります。
もし悪い人がいれば、この情報を見てあなたに嫌がらせをしてくるかもしれません。
ちなみに、こういう誰にでもわかる文章を、平文と言います。
その平文を暗号化すると...
暗号化した文
lkjklajkldjaskljdla%%sjd==ljdsajdjaskdljdkasjkd=lajdljaskldj;adkadl;aksdl%%
のような感じになります。暗号化することで、悪い人から盗聴されたとしても、
となって内容を読むことはできません。
復号化って何?何がいいの?
復号化は、暗号化した文章やデータを元に戻すことです。
暗号化されたままだと、通販サイトに届いた情報も読めませんよね。そこで暗号化した文を平文にもどすことで読めるようにします。
図にすると、上記のような感じです。
ドメイン名って何?
このブログのURL(Uniform Resource Locator(ユニフォームリソースロケータ)は、”https://sansanblog.com” です。
「https://」は スキームと呼びます(httpはプロトコル)。
「sansanblog.com」 の部分が、ドメイン名です。
ssl証明書ってなに?使う必要はあるの?
ssl証明書を使う理由
- 理由① : ssl証明書の発行先のドメインがそのサイトの所有者であることを保証する
- 理由② : 認証局から提供された暗号鍵(公開鍵)を使って、通信内容を暗号化/復号化する
順番に説明します。
理由① : ssl証明書の発行先のドメインがそのサイトの所有者であることを保証する
ssl証明書は認証局とよばれるところが発行しています。認証局はssl証明書を発行する会社という大雑把な理解で大丈夫です。
認証局にもいろいろ種類があり
- 世界的に有名な認証局
- 日本では有名な認証局
- 特定地域だけで知られていてあまりマイナー認証局
といった感じで認証局もピンキリです。
認証局はssl証明書をどんなサイトでも無条件で発行しているわけではありません。サイトの正式な所有者であるかを確認したうえで、ssl証明書を発行を行っています。
認証局がssl証明書発行先のサイトが安全で信頼できるを保証しているわけではないため、
世間的に有名な認証局が発行したssl証明書を使っているサイト ≒ そのサイトが信頼できるサイトである
というのは間違いです。
ssl証明書はあくまで、そのドメインの所有者であることを証明する身分証明書のようなものと考えてください。
なので、実際に安全なサイトであるかどうかそのサイトの今までの信頼性の積み上げ次第です。
以下の証明書は、yahooが使っているssl証明書です。発行者は"cybertrust japan"で、日本ではとても有名な認証局です。
個人の作成したサイトとかであれば、マイナーな認証局が発行したssl証明書を使っているサイトが多いです。たとえばこのサイトで使っているssl証明書は
”Let's Encrypt Authority” という認証局が発行したssl証明書を使っています。
くりかえしますが、有名なssl証明書をつかっているから安全というわけではありません。あくまでのそのサイト次第です。
理由② : 認証局から提供された暗号鍵(公開鍵)を使って、通信内容を暗号化/復号化する
認証局にはssl証明書に加えて、データを暗号化し復号化するための鍵もついてきます。この鍵のことを「暗号鍵(公開鍵)」と呼びます。
暗号鍵を使って、通信内容を暗号化しているサイトは、サイト名のURLの最初が"https://~"で始まっています。
逆にサイト名のURLの最初が"http://~" で始まっているサイトは、暗号化が使われていないということです。このようなサイトは
- そのドメインの所有者がそのサイトの持ち主ではないかもしれない(なりすまし)
- 通信データが暗号化されていない
という危険があるため、そのサイト利用時には注意が必要です。
これは半分あっていて、半分間違いです。
たしかに、通信内容が暗号化されているという意味で、第三者から通信内容をみられない(見てもわからない)という意味では、httpのサイトよりは安全ではあります。
しかし、理由①で説明した通り、ssl証明書は、あくまでサイトの持ち主がそのドメインの所有者であることを証明しているだけです。
少しだけhttpsのことを知っている人は、
httpsのサイト ≒ 安全なサイト
と思っているかもしれませんが、正確にいうのであれば、
httpsのサイト ≒ 通信内容が暗号化されているサイト
なだけで、httpsのサイトだからといって、信頼できるサイトというわけではありません。
ssl化ってつまり...
ここまで順に読んでいただけたのであれば分かると思います。ssl化は
認証局から発行された暗号鍵(公開鍵)使って、"http"を"https"にすることです。
「ssl化=安全なサイト」ではないですよ。ssl化しているサイトは安全なサイトであると思っている方は、もう一度ssl証明書とは何かを読んで理解してください。
ssl化のまとめ
まとめ
- 暗号鍵(公開鍵)を使ってサイトをhttp→https にする
- 有名な認証局の発行したssl証明が使用されているサイトだからといって、信頼性があるわけではない
お疲れさまでした。ここまで読んでいただきありがとうございます。