世の中にインターネットが一般的に普及するようになって20年以上経過している現在において、未だ SSL を搭載していないままお問い合わせフォームを設置し、個人情報の入力を求めているウェブサイト(ホームページ)が少なくない現状は驚きに値します。加えて、そういったウェブサイトの個人情報保護方針(プライバシーポリシー)ページに堂々と「個人情報を厳正に取り扱い、安全を保護する」云々と宣言していることに唖然としてしまうことがあります。

今一度、ウェブサイトにおける個人情報保護について見直しをしてみましょう。

次世代規格:TLS

SSL/TLS

本サイトでも通りが良いので SSL と表記することが多いのですが、実は SSL という技術自体はすでに過去のものとなっており、表記としては正確ではありません。

SSL とは、Secure Sockets Layer の略称で、通信を安全に行うために送信内容を暗号化するプロトコルを指します。SSL がなければ、通信される内容は第三者が盗み見ることが可能ですので、前述のお問い合わせフォームに個人情報を入力して送信することにはリスクが伴うことが容易に想像がつくことでしょう。

では「SSL を搭載すればウェブサイトは安全なのか」と言えば、そうでもありません。
SSL にもバージョンがあり、初期バージョン 1.0 では重大な欠陥があったとされています。SSL が一般的に利用されるようになった頃には、バージョンは 3.0 となっており、これがずっと使われてきました。

ところが、2014年になって SSL 3.0 にも重大な脆弱性が発見されてしまいます。
2015年6月にインターネット技術の標準化を推進する任意団体「IETF」によって SSL 3.0 は禁止とされ、今では、SSL ではなく、次世代規格である TLSTransport Layer Security)を使うことが常識となっています。

2022年6月現在、TLS 1.3 を使うことが最も安全性が高いのですが、実はサーバー側がこれに対応できていないために安全度が低くなっているウェブサイトは意外にも多いのです。おそらく企業サイトのウェブ担当者も SSL を搭載していることで安心をし、気にしていないというのが現状なのかもしれません。

SSL/TLS の実装状況を知るには?

SSL/TLS 搭載済みのウェブサイトの現状を知るにはどうしたら良いでしょうか。
実は、海外のWEBサービス「SSL Server Test」が大変便利です。

Hostname 欄にドメイン名を入力して「Submit」ボタンをクリックするだけで、SSL の現況を調べてくれます(結果が出るまでには2分ほどかかります)。

調査が完了しますと SSL Report が表示され、Summary 欄に判定結果が出ます。
「A」と判定されていれば問題ありませんが、それ以外が表示された場合は、ページ内の情報をしっかりと確認した方が良いでしょう。

万一、SSL 3.0 が有効となっているサーバーだと分かった場合は、サーバー移転を検討されることをお勧めいたします
なぜならば、セキュリティーに関心が薄いホスティング会社だと言えるからです。サーバーを提供するホスティング会社は、最新動向に明るく、サーバーを構成するあらゆる要素について常に最新バージョンにアップデートする姿勢を持っているところが望ましいです。

4CREATOR JAPAN では、(安全に SSL/TLS を利用できる)サーバー選びからお手伝いしております。

IETF News: TLS 1.3Google 翻訳版で読む