COLUMNコラム

結局のところSSLを導入すると通信がどう変わるのか。

こんにちは。デザイントランスメディアの宍戸です。

GoogleChromのバージョン68が7月24日(アメリカ時間)にリリースされました。
以前の記事で「SSL証明書の種類の違いとは」という記事でも少し書かせていただきましたが、このバージョンからSSL通信を行なっていないサイトは、下記のように、アドレスバーの横に「保護されていない通信」と表示されるようになります。



これにより、SSLが導入されていないサイトでは表示が目につきやすくなり、今まであまり気にしていなかった利用者も、気にするようになるのではないかと思っています。

実際にホームページ制作を行う際に、弊社でもSSLの導入をお客様に薦めていますが、世の中の流れ的に、導入は当たり前になってきています。
「制作会社に言われるがまま、導入しているけど、結局何が変わるのかよくわからない。」というような事もあるかと思います。
そこで今回は、SSL導入によりどのような通信が行われるのか、簡単に説明したいと思います。
※ そもそもSSLの種類の前に、このコラムを書くべきでしたね。。。

SSL通信と非SSL通信で何が変わるのか


SSL通信のメリットの一つとして通信の暗号化があります。
世の中には、ありとあらゆる情報がインターネットを経由して飛び交っています。特に無線LANによるインターネット通信や携帯によるインターネット閲覧などは、目には見えないですが、空気中を飛び交っています。

ちょっと考えて見てください。

「インターネットで買い物を行い、個人情報を入力します。買った商品や、住所・電話番号など、空気中にそのデータが飛んでいる。もしかしたら、隣の人の目の前を自分の情報が通り過ぎているかもしれない。」

極端な話ですが、そう考えたら、ちょっと怖くないですか?
特にWi-Fiによる通信は、空気中を飛び交っているので、悪意のある人に傍受されやすい環境になっています。

このような場合、SSLを導入していると、通信を行なった際に、送信された内容などが暗号化され、傍受されても内容が読み取れないような状態になります。
これにより、利用者は安心してサイトを閲覧することが可能となります。

通信データの違い



SSL導入を導入しているサイトと導入していないサイトで、通信の内容がどのように違うのかを見たいと思います。今回はテスト用に用意したページで、自分のPCの通信を解析しています。
まずは下記のような、よくあるログインフォームを用意します。



このフォームに
ID : shishido / パスワード : shishido-password
を入力し、送信した際にデータが暗号化されているかどうかを確認します。

SSL非対応の場合



SSLに対応していないサイトの場合、下記のような内容のデータがサーバーに送られています。



見てわかる通り、入力したIDとパスワードがそのままデータとして送られています。
悪意のある人間が通信を傍受した際に、IDとパスワードがそのまま取得できてしまいます。

SSL対応の場合



SSLに対応したサイトの場合、下記のようになります。



SSL非対応とは通信方式が違うので、内容が異なるのですが「Encrypted Application Data(暗号化されたアプリケーションのデータ)」となり、送信されているデータが暗号化された状態になっています。
これにより、通信を傍受されても情報を抜き取られる可能性が低くなります。



このように、SSLを導入した場合としていない場合で、通信データの内容に大きく違いがあります。
今回は、一部を抜粋して通信内容を記載していますが、実際にはどこのサーバーとやり取りしているかなどの情報もわかるため、IDとパスワードなどが漏れてしまったら、どこのサイトで使用されているものなのかわかります。

もし自分自身がサイトで個人情報を入力しようとした場合、上記のような内容を見てもSSL化されていないサイトで入力するでしょうか?

SEOの効果やブラウザの仕様変更に合わせて導入をしなければいけないと思いがちですが、導入しないといけない本当の理由は、サイトの利用者が安心・安全に自社のサイトを利用できるようにするというのが、本質ではないかと思います。
この記事を書いた人 宍戸 陽介 Creative & Development Division