常時SSLとは、WebサイトのすべてのページをSSL/TLSで暗号化して通信すること
ブラウザのURL欄に「https://~」や🔒が表記されるものです。(SSL/TLS化されていないサイトは「http://~」)
以下のスクリーンショットは、SafariでSSL化されたWebページにアクセスして、🔓クリックでサーバ証明書を表示したところです。
SSLはインターネットにおける汎用的な暗号化方式ですが、正確には後継のTLSが利用されています。
SSLという名称が定着していることから、現在でもSSLやSSL/TLSと呼ばれることが多くなっています。
これまではIDやパスワード、個人情報が直接やりとりされるページのみが暗号化されていました。
しかし、以下のような背景により、常時SSLが進んでいます。
- 攻撃者がWebサイトとWebブラウザの間に割り込む「中間者攻撃」が発達し、改ざんや盗聴リスクが高まっている
- 通常の閲覧ページの盗聴だけで、紐付いたアカウント情報の乗っ取りや、行動パターンなどの個人情報を盗み見されるリスクが高まっている
- ブラウザでSSL化されていないページにアクセスする場合に警告メッセージが表示されたり、Googleが検索上位掲載の指針として常時SSLを採用している。常時SSLが社会的にも積極的なセキュリティ対策として評価されている
- SSLには暗号化に必要なサーバ証明書が必要で、構築には難易度が高かったが、最近ではクラウドサービスなどのWebサイト構築のオプションとして利用可能となっている