DigiCert証明書の正規代理店株式会社アールエムエス
DigiCert サーバー証明書利用団体
  1. ホーム
  2. サポート
  3. 技術情報
  4. 常時SSL(Always On SSL、HTTPS everywhere)

常時SSLとは

常時SSLはなぜ必要か

オーダーフォームやログイン情報入力ページなど、機密性の高い情報を入力するページだけをHTTPS接続にし、SSL暗号化で安全性を確保するというのが、SSL利用の一般的な状況ではないでしょうか。
それに対し、情報入力フォームなどがないページを含めたWebサイト全体をすべて常時SSL化する手法を常時SSL(Always On SSL、HTTPS everywhere)と呼びます。

機密情報はパスワードやクレジットカード番号だけではありません

入力フォームなどとは関係のない静的なコンテンツだけのページの閲覧にも、サーバーとブラウザの通信にCookieやurlリクエストパラメータなどの動的要素が含まれていることがあります。
更にこうした動的要素の中に、セッションIDや閲覧履歴などの情報が含まれている場合もあります。

常時SSL化すればWebサイト利用者の安全性を高められます

盗聴

HTTP通信は平文で行われているため、HTTPSでない静的なコンテンツを閲覧中にセッションIDや閲覧履歴などの情報が容易に盗聴できます。
これらの情報は個人を特定する方法として悪用される可能性があります。

中間者攻撃(MITM)

中間者攻撃(MITM)とは、ブラウザとサイトとの通信に割り込み、両者の通信の仲介者となることで、通信を盗聴したり、改ざんしたりすることを言います。
公衆Wi-Fiでだれでもが簡単に中間者攻撃を実行できるといわれているFirefox のアドオン「Firesheep」や、「sslstrip」などの手法が有名です。

中間者攻撃が盗聴と比べてより危険性が高いのは、悪意あるサイトに誘導されることがあるためです。信頼できるサイトでショッピングをしていたはずなのに、決済の段階で中間者攻撃によって悪意あるサイトへ誘導され、そのまま偽サイトとは気づかずに決済させられてしまうこともあります。
これは、MITMを行う通信の仲介者が、決済の段階で、本来のサイトから、偽のサイトに接続を切り替えてしまうことで可能になります。接続を切り替えた先の偽サイトのデザインが本物とそっくりで、証明書も利用されていれば、非常に注意深い人でも気づかずに決済を行ってしまう可能性は高くなります。

一方、サイトが常時SSLになっている場合は、中間者攻撃を行うことは非常に困難です。
特にアドレスバーが緑になるEVサーバ証明書・EVマルチドメイン証明書は、中間者攻撃をほぼ完璧に防止すると言われています。

常時SSL化へ移行時のチェックリスト

Webサイトを常時SSL化することはそれほど難しくありませんが、意外に知られていないこと、見落としがちなこともあります。
以下のチェックリストを利用し、HTTPS本来の目的である安全性が達成できるサイトを作成してください。

  • 利用環境に応じ、最適なサーバ証明書を選択
    サーバ証明書の種類には、シングルドメイン(ホスト名)のStandard SSL(SSL Plus)・EV SSL Plus、ワイルドカード利用可能なWildCard Plus、異なるドメイン名で利用可能なマルチドメイン証明書・EVマルチドメイン証明書があります。
    必要に応じた種類の証明書をご選択ください。
  • 2048bitの鍵証明書を使用
    より高度な安全性を持つ2048bitの鍵証明書を使用してください。
  • サイト内のリソース参照とリンクは絶対パス指定を使用
    同一ホスト内のリソース参照を絶対パスで指定してください。また、一旦HTTPSでアクセスしたセッションがHTTPに戻されないよう、同一ホスト内のリソースへのリンクを絶対パスで指定してください。
  • 外部のリソース利用の場合はすべて、HTTPSプロトコル指定
    画像、iframe、スクリプト等、外部サイトのリソースを参照して利用をする場合は、HTTPSプロトコルを指定してください。
  • robots.txtのクロール設定を確認
    HTTPSサイトをクロール拒絶対象にしないでください。
  • 検索エンジンにページインデックスを許可
    可能な場合は、メタタグNOINDEXを避け、検索エンジンにページインデックスを許可してください。
  • Use HTTP Strict Transport Security (HSTS) の指定
    HSTS は、ブラウザに以降のアクセスをhttpsにするよう強制する仕組みです。
    サーバーは以下のようなHTTPレスポンスヘッダを送ります。
    Strict-Transport-Security: max-age=2592000; includeSubdomains
    ※max-age はHSTSの有効期限(秒)です。
    これを受け取ったブラウザは、サブドメインを含むこのサイトへのアクセスをhttpsに切り替えます。
    2014年8月18日時点でHSTSに対応しているブラウザは Google Chrome、Firefox、Operaです。IEは次期バージョンIE12でHSTSに対応予定とされています。
  • Cookieに必ずSecure属性を指定
    これを指定するとHTTPS通信時のみCookieが送信されます。指定がない場合、HTTPS利用時に作ったCookieがHTTP利用時に盗聴される可能性があります。
  • EVサーバ証明書を利用
    EVサーバ証明書(EV SSL Plus、EVマルチドメイン証明書)を使うと中間者攻撃は完璧といってよいレベルで防止できます。
SSL サーバ証明書とは?
30日間テスト証明書
30日間返金保証制度あり!
コードサイニング証明書
ドキュメントサイニング証明書
デジタル証明書ニュース
HTTPS入門
digicert.comトピックス&ニュース