SSL とは|Web 担当者向けにわかりやすく解説
目次
この記事でわかること
- SSL(TLS)が「Web サイトと閲覧者の通信を保護する仕組み」であること
- 鍵マークが付いていないサイトで何が起きるか
- Web 担当者が最低限押さえておくべき 3 つの備え
- 「HTTPS」「SSL」「TLS」の関係と用語の整理
SSL は「鍵」ではなく「金庫の運搬車」
「SSL」と聞くと「鍵マークを出すもの」というイメージを持つ方が多いのですが、実態としてはもう少し広い役割を担っています。SSL は次の 3 つを同時にやってくれる仕組みです。
- 暗号化: 通信を盗み見されないようにする
- 改ざん検知: 通信の途中で内容を書き換えられたら気付ける
- 本人性確認: 通信相手が「本当にそのサイトの運営者か」を証明する
Web 担当者・情シス・制作会社が一番ピンとくるのは 3 番目です。SSL 証明書が正しく設定されていないと、ブラウザは「保護されていない通信」と表示し、訪問者の多くはその時点でサイトを離れます。フォーム送信や決済も、ブラウザの判断で止められます。具体的な警告パターンと復旧手順は Chrome「保護されていない通信」警告の直し方 を参照してください。
なお SSL という呼び方は古い名称で、現在の正式な仕組みは TLS(Transport Layer Security) と呼ばれます。1999 年に TLS 1.0(RFC 2246)が後継として標準化され、SSL 2.0 は 2011 年(RFC 6176)、SSL 3.0 は 2015 年(RFC 7568)に正式に非推奨となりました。それでも「SSL 証明書」「SSL サーバー証明書」という慣用表現は今も広く残っており、本記事でも一般的な呼び方として SSL を使います。
SSL 証明書が無いと、何が起きるか
設定が不十分な状態で起きるトラブルは、典型的には次の 4 つです。
1. ブラウザが赤い警告を出して、訪問者がほぼ全員離脱する
Chrome・Edge・Safari などの主要ブラウザは、SSL 証明書に問題があるサイトで「この接続ではプライバシーが保護されません」「この接続は安全ではありません」といった警告ページを表示します。一般のユーザーがこの画面を突破して閲覧を続けることはほとんどありません。サイトのアクセス数は実質ゼロになります。
2. 取引先からの問い合わせフォームが機能しなくなる
警告が出ているサイトでは、フォーム入力欄も警告色で表示されます。クレジットカード入力欄やパスワード欄は、ブラウザが自動補完をオフにする・「危険」と表示するなど、入力をためらわせる設計になっています。
3. 検索順位が下がる
Google は HTTPS 対応をランキング要素として明言しています。SSL 証明書が切れている、あるいは設定されていないサイトは、同じ内容の競合サイトよりも検索結果で下位に表示されます。
4. 内部ツール・連携サービスが動かなくなる
メール送信時のバウンス通知、決済代行サービスからのコールバック、外部 API との連携など、サーバー間通信でも SSL は前提です。期限切れの瞬間に「なぜか売上集計が止まった」「メールが届かない取引先がある」といった連鎖障害が起こります。
最低限やるべき 3 つの備え
Web 担当者が SSL について押さえておくべきラインは、難しい設定の話ではなく運用面の備え 3 つです。
備え 1: 自動更新を有効化する
無料で利用できる Let's Encrypt は、90 日ごとに自動更新する設計が前提です。Web サーバーや利用中のレンタルサーバーが対応していれば、管理画面のチェックボックス一つで自動更新が動きます。「年に 1 回手作業で更新する」運用は、担当者の異動・長期休暇のタイミングで事故が起きやすいため、自動化を強く推奨します。
備え 2: 期限前アラートを複数人で受け取る
自動更新を入れていても、「自動更新が壊れていることに気付かない」ケースが現場では珍しくありません。サーバー再起動後に acme クライアントが落ちる、ドメイン認証用のチャレンジファイルが配置できなくなる、といった故障モードがあります。期限の 30 日前・7 日前に複数人へ通知が飛ぶ仕組みを、別系統で用意しておくと取りこぼしが減ります。
備え 3: 年 1 回の棚卸し
自社が保有するすべてのドメインと、それぞれに紐づく SSL 証明書を、年 1 回はスプレッドシートに書き出して棚卸しします。「使っていないサブドメインに古い証明書が残っている」「キャンペーン用に取得したドメインが期限切れになっている」といった状態を可視化できます。詳細な確認手順は SSL 証明書の有効期限を確認する 3 つの方法 で解説しています。
「証明書の種類」もよく聞かれます
SSL 証明書には DV(ドメイン認証)/ OV(組織認証)/ EV(厳格認証) の 3 種類があり、認証局が「サイト運営者の何をどこまで確認したか」で分かれます。多くのサイトでは無料の Let's Encrypt(DV)で十分です。違いと選び方の詳細は SSL 証明書の種類と違い|DV / OV / EV と Web 担当者の選び方 で整理しています。
自動更新の仕組みや、実際に運用している中で「気付いたら更新が止まっていた」を防ぐ手立ては SSL 自動更新の仕組みと現実解 で解説しています。
SSL と HTTPS と TLS の関係
混乱しやすい 3 つの用語の関係を整理しておきます。
- TLS: 通信を保護する技術仕様(RFC 8446 など)。現在の主流は TLS 1.2 / 1.3
- SSL: TLS の前身。技術的には 1999 年に廃止されたが、慣用表現として残る
- HTTPS: HTTP(Web の通信プロトコル)+ TLS。Web サイトを SSL/TLS で保護した状態の呼び方
つまり「SSL 化する」「HTTPS にする」「TLS で保護する」は実務上ほぼ同じ意味で使われます。担当者間でやり取りするときは、一番伝わりやすい「HTTPS」「SSL」のどちらかで統一すれば十分です。古い TLS バージョンを無効化して TLS 1.2 のみに揃える場合の考え方は TLS 1.2 強制設定の考え方と影響確認 で解説しています。
まずは現状を把握しましょう
自社サイトの SSL の状態は、ドメイン番人の SSL 証明書 単発チェック で 30 秒で確認できます。有効期限・発行元・HSTS の設定・HTTP/2/3 対応・CT log への発行履歴をまとめてレポートします。
総合的に SSL とメール認証の両方を点検したい場合は、無料のドメイン診断 もご利用ください。SSL に加えて SPF / DKIM / DMARC の状態も確認できます。
棚卸しから自動更新セットアップまでを任せたい方は、SSL 棚卸し・自動更新支援(5 万円〜)で対応します。「自社のドメインがいくつあるかも把握できていない」という段階でも構いません。状況に応じて個別にお見積りします。判断に迷う場合は お問い合わせフォーム からお気軽にご相談ください。