Webサイトを開いたとき、URLの先頭に「https://」と表示されていることがあります。
このHTTPS通信を支えているのが「SSL証明書」です。
SSL証明書は、Webサイトの通信を安全にするために欠かせない仕組みです。問い合わせフォーム、ログイン画面、決済ページ、WordPressの管理画面など、個人情報やログイン情報を扱うサイトでは特に重要です。
この記事では、SSL証明書とは何か、どのような役割があるのか、なぜWebサイトに必要なのかを初心者向けにわかりやすく解説します。
SSL証明書とは何か
SSL証明書とは、Webサイトの通信を暗号化し、そのサイトが正しいドメインで運用されていることを証明する電子証明書です。
簡単に言うと、Webサイトの「身分証明書」のようなものです。
たとえば、次のようなURLがあります。
このURLにアクセスしたとき、ブラウザは裏側で次のような確認をしています。
このサイトは本当に www.eguchi.net なのか
通信内容を安全に送れる状態なのか
証明書は信頼できる機関から発行されているのか
証明書の有効期限は切れていないか
この確認に使われるのがSSL証明書です。
SSL証明書が正しく設定されていれば、ブラウザはHTTPS通信を使って安全にサイトを表示できます。
SSL証明書の主な役割
SSL証明書には、大きく分けて3つの役割があります。
1つ目は、通信を暗号化することです。
2つ目は、サイトの正当性を証明することです。
3つ目は、訪問者に安心感を与えることです。
それぞれ詳しく見ていきます。
通信を暗号化する
SSL証明書の大きな役割は、Webサイトと閲覧者の間でやり取りされる情報を暗号化することです。
たとえば、Webサイトでは次のような情報を送信することがあります。
名前
メールアドレス
電話番号
住所
ログインID
パスワード
問い合わせ内容
クレジットカード情報
これらの情報が暗号化されていない状態で送信されると、第三者に盗み見される危険があります。
SSL証明書が設定されていると、ブラウザとサーバーの間の通信が暗号化されます。
つまり、通信内容をそのまま読み取られにくくするための仕組みです。
特に、問い合わせフォームやログイン画面があるサイトでは、SSL証明書は必須と考えるべきです。
サイトの正当性を証明する
SSL証明書には、その証明書がどのドメインに対して発行されたものかが記録されています。
たとえば、www.eguchi.net 用のSSL証明書であれば、その証明書には www.eguchi.net という情報が含まれています。
ブラウザはサイトにアクセスしたとき、URLとSSL証明書の対象ドメインが一致しているかを確認します。
もし、アクセス先のURLと証明書のドメイン名が一致しない場合、ブラウザは警告を表示します。
たとえば、次のような状態です。
URLは www.eguchi.net なのに、証明書は別のドメイン用になっている
証明書の有効期限が切れている
信頼できない認証局から発行されている
証明書の階層に問題がある
このような場合、ユーザーの画面には「安全ではありません」「この接続ではプライバシーが保護されません」といった警告が出ることがあります。
SSL証明書は、なりすましサイトや誤った設定を防ぐためにも重要です。
訪問者に安心感を与える
SSL証明書が正しく設定されているWebサイトでは、URLが「https://」で表示されます。
一方、SSL証明書がないサイトや設定に問題があるサイトでは、ブラウザに警告が表示されることがあります。
警告が表示されると、訪問者は不安になります。
特に、会社サイト、店舗サイト、採用サイト、問い合わせフォーム付きのサイトでは、SSL証明書がないだけで信頼性が下がります。
SSL証明書は、単なる技術設定ではありません。
訪問者に「このサイトは安全に通信できます」と伝えるための信頼性の表示でもあります。
SSLとTLSの違い
現在でも「SSL証明書」という言葉が広く使われていますが、実際に現在のWeb通信で主に使われているのはTLSです。
SSLは古い通信暗号化の仕組みです。
TLSはSSLの後継技術です。
厳密にはSSLとTLSは別のものですが、実務上は今でも「SSL証明書」という呼び方が一般的に使われています。
つまり、初心者の方は次のように理解すれば問題ありません。
SSL証明書とは、HTTPS通信を使うための証明書のことです。
TLSとは、現在実際に使われている暗号化通信の仕組みです。
一般的なWebサイト運用では、「SSL化する」「SSL証明書を入れる」という表現がよく使われます。
HTTPSとSSL証明書の関係
SSL証明書を設定すると、WebサイトをHTTPSで表示できるようになります。
HTTPとHTTPSの違いは、通信が暗号化されているかどうかです。
このように「http://」で始まるURLは、暗号化されていない通信です。
このように「https://」で始まるURLは、暗号化された通信です。
SSL証明書は、HTTPS通信を成立させるために必要なものです。
ただし、SSL証明書を設定しただけで、すべてのアクセスが自動的にHTTPSへ統一されるとは限りません。
そのため、HTTPからHTTPSへのリダイレクト設定も重要です。
SSL証明書が働く流れ
SSL証明書は、ユーザーがWebサイトを開いた瞬間に裏側で使われています。
流れを簡単に説明すると、次のようになります。
まず、ユーザーがブラウザでWebサイトにアクセスします。
次に、サーバーがブラウザにSSL証明書を提示します。
その後、ブラウザが証明書の内容を確認します。
問題がなければ、ブラウザとサーバーの間で暗号化通信が始まります。
この流れは一瞬で行われるため、普段の閲覧ではほとんど意識することはありません。
しかし、裏側ではSSL証明書によって安全な通信が成立しています。
SSL証明書に含まれる主な情報
SSL証明書には、いくつかの重要な情報が入っています。
代表的なものは次の通りです。
対象ドメイン
発行元
有効期限
公開鍵
署名アルゴリズム
証明書の階層
それぞれの意味を確認していきます。
対象ドメインとは
対象ドメインとは、そのSSL証明書がどのドメインに対して使えるかを示す情報です。
たとえば、証明書の対象ドメインに次の2つが含まれている場合があります。
eguchi.net
www.eguchi.net
この場合、そのSSL証明書は「wwwあり」と「wwwなし」の両方に対応しているという意味です。
ここは非常に重要です。
eguchi.net と www.eguchi.net は、見た目は似ていますが、技術的には別のドメイン名として扱われます。
そのため、片方しかSSL証明書に含まれていない場合、もう片方でアクセスしたときに証明書エラーが出る可能性があります。
Webサイトを運用する場合は、wwwあり・wwwなしのどちらを正式URLにするかを決めたうえで、必要に応じて両方に対応したSSL証明書を設定します。
発行元とは
発行元とは、そのSSL証明書を発行した認証局のことです。
認証局とは、ドメインの所有や管理を確認し、SSL証明書を発行する機関です。
代表的な認証局には、次のようなものがあります。
Let’s Encrypt
DigiCert
GlobalSign
Sectigo
たとえば、証明書の発行元が Let’s Encrypt となっている場合、その証明書は Let’s Encrypt から発行されたものです。
Let’s Encrypt は、無料でSSL証明書を発行できる認証局として広く使われています。
個人サイト、ブログ、企業サイト、WordPressサイトなど、多くのWebサイトで利用されています。
有効期限とは
SSL証明書には有効期限があります。
一度設定すれば永久に使えるものではありません。
有効期限が切れると、ブラウザに警告が表示される可能性があります。
たとえば、次のような警告です。
この接続ではプライバシーが保護されません
証明書の有効期限が切れています
安全ではありません
このような警告が出ると、訪問者はサイトを見るのをやめてしまう可能性があります。
Let’s Encrypt の証明書は有効期間が短めに設定されているため、通常はサーバー側で自動更新を行います。
SSL証明書を設定した後は、自動更新が正しく動いているかを確認しておくことが重要です。
公開鍵とは
公開鍵とは、暗号化通信で使われる鍵の情報です。
SSL通信では、ブラウザとサーバーが安全に通信するために鍵を使います。
証明書の詳細画面には、次のような情報が表示されることがあります。
RSA 2048bit
これは、RSAという暗号方式で、2048bitの鍵を使っているという意味です。
RSA 2048bitは、一般的なWebサイトでよく使われる標準的な構成です。
公開鍵は、通信を安全に始めるための重要な情報です。
署名アルゴリズムとは
署名アルゴリズムとは、SSL証明書が正しく発行されたものか、改ざんされていないかを確認するための方式です。
たとえば、次のような表示があります。
SHA-256 with RSA
これは、SHA-256という方式とRSAという方式を使って、証明書の正当性を確認しているという意味です。
ここで重要なのは、署名アルゴリズムは「証明書そのものが信頼できるか」を確認するためのものだという点です。
つまり、通信内容そのものを直接暗号化する方式というより、証明書の正しさを確認するための仕組みです。
証明書の階層とは
SSL証明書には階層があります。
一般的には、次のような構造になっています。
ルート証明書
中間証明書
サーバー証明書
ルート証明書は、信頼の起点になる証明書です。
中間証明書は、ルート証明書とサーバー証明書をつなぐ役割を持ちます。
サーバー証明書は、実際にWebサイトに設定されている証明書です。
たとえば、www.eguchi.net に設定されている証明書は、サーバー証明書にあたります。
ブラウザは、この階層が正しくつながっているかを確認します。
階層に問題があると、一部のブラウザや端末でSSL警告が表示されることがあります。
SSL証明書がない場合の問題
SSL証明書がない、または設定に問題がある場合、Webサイトにはさまざまな問題が起きます。
まず、ブラウザに警告が表示される可能性があります。
次に、訪問者が不安を感じて離脱しやすくなります。
さらに、問い合わせフォームやログイン画面の情報が安全に送信されません。
WordPressサイトの場合は、管理画面のログイン情報を守るためにもSSL証明書が必要です。
また、SSL化されていないサイトは、検索エンジンやユーザー体験の面でも不利になりやすいです。
現在のWebサイト運用では、SSL証明書は特別な設定ではなく、基本設定のひとつです。
SSL証明書とSEOの関係
SSL証明書を設定してHTTPS化することは、SEOの基本対策として重要です。
ただし、SSL証明書を入れただけで検索順位が大きく上がるわけではありません。
SSL化は、検索上位を狙うための特別なテクニックというより、Webサイトとして最低限整えておくべき土台です。
重要なのは、次の状態にすることです。
HTTPSで正しく表示される
HTTPからHTTPSへ転送される
wwwあり・なしが統一されている
証明書エラーが出ない
画像やCSSがHTTPで読み込まれていない
特に、SSL化した後に画像やスクリプトのURLがHTTPのまま残っていると、混在コンテンツという問題が起きることがあります。
混在コンテンツがあると、HTTPS化していてもブラウザに警告が出る場合があります。
WordPressサイトでSSL証明書が重要な理由
WordPressサイトでは、SSL証明書が特に重要です。
理由は、管理画面にログインするためです。
WordPressの管理画面では、ユーザー名とパスワードを入力します。
SSL化されていない状態でログインすると、ログイン情報の安全性に問題が出ます。
また、WordPressでは問い合わせフォームを設置することも多くあります。
問い合わせフォームでは、名前、メールアドレス、電話番号、相談内容などの個人情報を扱います。
そのため、WordPressサイトではSSL証明書を設定し、HTTPSで運用することが基本です。
SSL証明書を確認するときのポイント
SSL証明書を確認するときは、次の点を見るとわかりやすいです。
対象ドメインが正しいか
wwwあり・wwwなしの両方に対応しているか
発行元が信頼できる認証局か
有効期限が切れていないか
証明書の階層に問題がないか
ブラウザで警告が出ていないか
たとえば、www.eguchi.net にアクセスする場合、証明書の対象ドメインにも www.eguchi.net が含まれている必要があります。
また、eguchi.net でもアクセスさせたい場合は、eguchi.net も証明書に含まれている必要があります。
まとめ
SSL証明書とは、Webサイトの通信を暗号化し、そのサイトが正しいドメインで運用されていることを証明する電子証明書です。
SSL証明書があることで、WebサイトはHTTPSで安全に表示できます。
SSL証明書には、対象ドメイン、発行元、有効期限、公開鍵、署名アルゴリズム、証明書の階層などの情報が含まれています。
たとえば、www.eguchi.net のSSL証明書であれば、その証明書が www.eguchi.net に対応しているか、有効期限が切れていないか、信頼できる認証局から発行されているかを確認することが大切です。
また、eguchi.net と www.eguchi.net の両方を使う場合は、SSL証明書も両方に対応している必要があります。
SSL証明書は、Webサイトの信頼性、通信の安全性、SEOの基本設定、WordPressの管理画面保護に関わる重要な仕組みです。
現在のWebサイト運用では、SSL証明書の設定は必須と考えてよいです。
