SSL証明書とは、Webサイトの通信を安全にするための「電子証明書」です。
簡単に言うと、SSL証明書には次の2つの役割があります。
1つ目は、Webサイトと閲覧者の通信を暗号化することです。
2つ目は、そのWebサイトが正しいドメインで運用されていることを証明することです。
たとえば、ブラウザで次のようなURLを開いたとします。
この「https」の通信を安全に成立させるために使われるのがSSL証明書です。
SSL証明書がないとどうなるか
SSL証明書がない、または正しく設定されていない場合、ブラウザに警告が表示されることがあります。
たとえば、次のような表示です。
「この接続ではプライバシーが保護されません」
「安全ではありません」
「証明書の有効期限が切れています」
「証明書の名前が無効です」
このような警告が出ると、訪問者は不安になります。
特に、問い合わせフォーム、ログイン画面、決済ページ、会員登録ページがあるサイトでは、SSL証明書がないと信頼性が大きく下がります。
SSL証明書の役割
SSL証明書の主な役割は、次の3つです。
1. 通信を暗号化する
SSL証明書があると、Webサイトと閲覧者の間でやり取りされる情報が暗号化されます。
たとえば、次のような情報です。
名前
メールアドレス
電話番号
住所
ログインID
パスワード
問い合わせ内容
クレジットカード情報
暗号化されていない通信では、第三者に通信内容を盗み見される危険があります。
SSL証明書があることで、通信内容をそのまま読まれにくくできます。
つまり、SSL証明書は「通信内容を守るための仕組み」です。
2. サイトの正当性を証明する
SSL証明書は、サイトがそのドメインで正しく運用されていることを示します。
たとえば、www.eguchi.net のSSL証明書であれば、
この証明書は www.eguchi.net 用に発行されています
という情報が含まれています。
ブラウザはアクセス時に、URLと証明書の対象ドメインが一致しているかを確認します。
もしURLが www.eguchi.net なのに、証明書が別のドメイン用だった場合、ブラウザは警告を出します。
これは、なりすましサイトや誤設定を防ぐために重要です。
3. ブラウザに安全なサイトとして認識させる
SSL証明書が正しく設定されていると、ブラウザのアドレスバーに鍵マークが表示されます。
現在のブラウザでは、SSL化されていないサイトは「保護されていない通信」と表示されることがあります。
つまり、SSL証明書は訪問者に対して、
このサイトは安全な通信に対応しています
と示すためのものでもあります。
SSLとTLSの違い
よく「SSL証明書」と呼ばれますが、現在実際に使われている技術は主にTLSです。
SSLは古い名称です。
TLSはSSLの後継技術です。
ただし、一般的には今でも「SSL証明書」という言葉が広く使われています。
つまり、実務上は次のように考えれば問題ありません。
SSL証明書 = HTTPS通信を使うための証明書
TLS = 現在実際に使われている暗号化通信の仕組み
厳密には違いますが、Webサイト運用では「SSL証明書」と呼ばれることが多いです。
SSL証明書が働く流れ
SSL証明書は、サイトを開いた瞬間に裏側で使われています。
流れを簡単に説明すると、次のようになります。
1. ユーザーがWebサイトにアクセスする
ユーザーがブラウザで次のように入力します。
2. サーバーがSSL証明書をブラウザに提示する
Webサーバーは、ブラウザに対してSSL証明書を見せます。
この証明書には、次のような情報が入っています。
対象ドメイン
発行元
有効期限
公開鍵
署名アルゴリズム
証明書の階層
3. ブラウザが証明書を確認する
ブラウザは、証明書を見て次の点を確認します。
この証明書は信頼できる認証局から発行されているか
アクセス先のドメイン名と証明書のドメイン名が一致しているか
有効期限が切れていないか
証明書が改ざんされていないか
中間証明書やルート証明書のつながりに問題がないか
4. 問題がなければHTTPS通信が始まる
証明書に問題がなければ、ブラウザとサーバーの間で暗号化された通信が始まります。
この状態になると、URLは「https://」で表示されます。
SSL証明書に入っている主な情報
SSL証明書には、いくつかの重要な情報が含まれています。
コモンネーム
コモンネームは、証明書の対象となる代表的なドメイン名です。
たとえば、
のようなドメイン名が入ります。
ただし、現在はコモンネームだけでなく、SANという項目が重要です。
SAN
SANは、Subject Alternative Name の略です。
これは、証明書が対応しているドメイン名の一覧です。
たとえば、証明書のSANに次の2つが入っている場合、
eguchi.net
この証明書は、wwwあり・wwwなしの両方に対応しているという意味になります。
現在のブラウザでは、このSANが非常に重要です。
発行元
発行元は、そのSSL証明書を発行した認証局です。
たとえば、
Let’s Encrypt
DigiCert
GlobalSign
Sectigo
などがあります。
今回のように Let’s Encrypt から発行されている場合は、Let’s Encrypt がそのドメイン用の証明書を発行したという意味です。
有効期限
SSL証明書には有効期限があります。
証明書は一度設定すれば永久に使えるものではありません。
期限が切れると、ブラウザで警告が出ます。
Let’s Encrypt の証明書は有効期限が比較的短いため、通常は自動更新の設定をして使います。
公開鍵
公開鍵は、暗号化通信に使う鍵の情報です。
たとえば、
RSA 2048bit
のように表示されます。
これは、RSAという方式で2048bitの鍵を使っているという意味です。
WebサイトのSSL証明書ではよく使われる一般的な構成です。
署名アルゴリズム
署名アルゴリズムは、証明書が正しいものかを確認するための方式です。
たとえば、
SHA-256 with RSA
という表示があります。
これは、証明書の内容が改ざんされていないか、正しく発行されたものかを確認するための仕組みです。
証明書の階層
SSL証明書には階層があります。
一般的には、次のような構造です。
ルート証明書
中間証明書
サーバー証明書
ルート証明書は、一番上にある信頼の起点です。
中間証明書は、ルート証明書とサーバー証明書をつなぐ役割です。
サーバー証明書は、実際のWebサイトに設定されている証明書です。
今回の画面で表示されていた www.eguchi.net は、サーバー証明書にあたります。
SSL証明書の種類
SSL証明書にはいくつかの種類があります。
DV証明書
DVは Domain Validation の略です。
ドメインの所有・管理を確認して発行される証明書です。
Let’s Encrypt の証明書は、基本的にこのDV証明書です。
個人サイト、ブログ、企業サイト、LP、WordPressサイトなどで広く使われています。
通信の暗号化には十分です。
OV証明書
OVは Organization Validation の略です。
ドメインだけでなく、組織情報も確認して発行される証明書です。
企業や団体の実在性も確認されます。
コーポレートサイトや法人向けサイトで使われることがあります。
EV証明書
EVは Extended Validation の略です。
より厳格な審査を行って発行される証明書です。
金融機関や大企業のサイトなどで使われることがあります。
ただし、現在のブラウザでは以前ほど目立つ表示がされなくなっているため、実務上はDVやOVが多く使われています。
Let’s Encryptとは何か
Let’s Encrypt は、無料でSSL証明書を発行できる認証局です。
多くのレンタルサーバーやクラウドサービスで採用されています。
たとえば、エックスサーバー、ConoHa WING、さくらのレンタルサーバ、Cloudflareなどでも、無料SSL機能として使われることがあります。
Let’s Encrypt の特徴は次の通りです。
無料で使える
自動更新に対応しやすい
多くのブラウザで信頼されている
個人サイトや中小企業サイトでも導入しやすい
有効期限は短め
有効期限が短いため、サーバー側で自動更新が動いているかが重要です。
SSL証明書とHTTPSの関係
SSL証明書が設定されると、WebサイトはHTTPSで表示できるようになります。
HTTPとHTTPSの違いは、通信が暗号化されているかどうかです。
これは暗号化されていない通信です。
これは暗号化された通信です。
Webサイトでは、基本的にHTTPSを使うべきです。
特にWordPressサイトでは、管理画面ログイン、問い合わせフォーム、会員登録などがあるため、SSL化は必須です。
SSL証明書が正しくないと起きる問題
SSL証明書に問題があると、次のようなトラブルが起きます。
証明書の有効期限切れ
証明書の期限が切れると、ブラウザで警告が表示されます。
訪問者がサイトから離脱する原因になります。
ドメイン名の不一致
たとえば、証明書が eguchi.net 用なのに、アクセス先が www.eguchi.net になっている場合、証明書エラーが出ることがあります。
そのため、wwwあり・wwwなしの両方を使う場合は、証明書も両方に対応している必要があります。
中間証明書の不足
サーバーに中間証明書が正しく設定されていないと、一部の環境でSSLエラーが出ることがあります。
通常、レンタルサーバーの無料SSL機能を使っていれば自動で設定されることが多いです。
混在コンテンツ
サイト自体はHTTPSでも、画像やCSS、JavaScriptなどがHTTPで読み込まれていると、警告が出ることがあります。
これを混在コンテンツといいます。
WordPressでは、SSL化後に画像URLや内部リンクが http:// のまま残っていると起きやすいです。
SSL証明書を確認するときのポイント
SSL証明書を見るときは、次の点を確認するとよいです。
1. 対象ドメインが合っているか
確認するポイントは、アクセスしているURLと証明書のドメイン名が一致しているかです。
たとえば、www.eguchi.net にアクセスするなら、証明書にも www.eguchi.net が含まれている必要があります。
2. wwwあり・なしに対応しているか
次の両方を使う場合は、証明書も両方に対応している必要があります。
eguchi.net
片方しか対応していないと、もう片方で警告が出る可能性があります。
3. 有効期限が切れていないか
SSL証明書には期限があります。
期限切れになると、サイトが危険に見えてしまいます。
自動更新が有効になっているかを確認しておくことが重要です。
4. 発行元が信頼できるか
Let’s Encrypt のような信頼されている認証局から発行されていれば、一般的なWebサイト運用では問題ありません。
5. 証明書の階層にエラーがないか
ルート証明書、中間証明書、サーバー証明書のつながりに問題がないかを確認します。
ブラウザで警告が出ていなければ、基本的には問題ないことが多いです。
SSL証明書があるとSEOにも関係するのか
SSL化されたHTTPSサイトは、現在のWebサイト運用ではほぼ必須です。
GoogleもHTTPSを推奨しており、SSL化されていないサイトは信頼性やユーザー体験の面で不利になりやすいです。
ただし、SSL証明書を入れただけで検索順位が大きく上がるわけではありません。
SSL証明書は、SEOで勝つための特別な施策というより、Webサイトとして最低限整えておくべき基本設定です。
重要なのは、
HTTPSで正しく表示される
httpからhttpsへリダイレクトされる
wwwあり・なしが統一されている
証明書エラーが出ない
混在コンテンツがない
この状態にすることです。
WordPressサイトでSSL証明書が重要な理由
WordPressでは、SSL証明書が特に重要です。
理由は、管理画面にログインするためです。
WordPressの管理画面では、ユーザー名やパスワードを入力します。
もしSSL化されていない場合、ログイン情報が安全に送信されません。
また、問い合わせフォームを設置している場合も、名前やメールアドレスなどの個人情報を扱います。
そのため、WordPressサイトではSSL化は必須と考えてよいです。
SSL証明書とリダイレクトの関係
SSL証明書を設定しただけでは、必ずしもすべてのアクセスがHTTPSになるとは限りません。
たとえば、次のようなURLがあるとします。
これらをどれか1つの正式URLに統一することが重要です。
たとえば、正式URLを次に決めた場合、
他のURLからアクセスされたときも、すべてこのURLに転送する必要があります。
これをリダイレクト設定といいます。
SSL証明書は「HTTPS通信を可能にするもの」で、リダイレクトは「正しいURLへ誘導するもの」です。
役割が違います。
まとめ
SSL証明書とは、Webサイトの通信を暗号化し、そのサイトが正しいドメインで運用されていることを証明する電子証明書です。
SSL証明書があることで、ブラウザはそのサイトをHTTPSで安全に表示できます。
SSL証明書には、対象ドメイン、発行元、有効期限、公開鍵、署名アルゴリズムなどの情報が入っています。
www.eguchi.net のようなサイトでは、証明書に www.eguchi.net が含まれている必要があります。さらに、eguchi.net も使う場合は、証明書に eguchi.net も含まれている必要があります。
Let’s Encrypt から発行されたSSL証明書は、多くのWebサイトで使われている一般的な証明書です。個人サイト、ブログ、企業サイト、WordPressサイトでも広く使われています。
SSL証明書は、サイトの信頼性、通信の安全性、SEOの基本設定、WordPressの管理画面保護に関わる重要な仕組みです。