2025年11月8日:「HTTPはどれだけ危険?」を追加
ConoHa VPSを利用して「アルファSSL」を導入し、Webサイトを常時SSL/TLS化する手順を解説します。まずはちょっと小難しい「SSL/TLS」についてシンプルにわかりやすく基礎知識をまとめました。
特に応用情報技術試験を受験する方が実践で知識を身につけられるように意識していますので、ぜひ最後までご覧になってくださいませ。
この記事を読んでほしい方
- ConoHa VPSを契約したばかりの方
- 初めて自分のサイトにSSL証明書を導入する方
- 応用情報技術者試験をこれから受験する方
- 前回記事の続きが待ちどおしい方
HTTPはどれだけ危険?
前回はテストページを公開するところまで解説しました。そのまま公開するとHTTP接続での接続になりますが、最終的な制作目標であるゲームサイトではHTTPS(SSL/TLS)接続にする必要があります。
HTTPのままでもちゃんと公開できるのになぜHTTPSにする必要があるのかについて少し説明します。
最近はほとんどのサイトがHTTPS接続になっているため、意識する機会が減りましたが、HTTP接続するとブラウザのアドレスバーに
と表示されることをご存じの方も多いと思います。そしてそれをクリックすると例えば以下のような警告が表示されます。
設定によってはブラウザには以下のように表示されるかもしれません。
この表示のされ方はChromeであれば下記のとおり設定できるのでこの機会に確認しておきましょう。
これがどれぐらい危険かというと、
例えば、HTTPのテストページを公共WiFiであなたが閲覧したとすると、同じWiFiに接続している攻撃者はわりと簡単に以下の情報を盗み見ることができます。
- どのユーザーが(IPアドレス)
- あなたが閲覧しているサイトの、どの記事を(完全なURL)
- どのような順番で読んだか(閲覧履歴)
- 記事のすべての内容(HTMLテキスト)
- サイト内で検索したキーワード
- コメント欄など入力フォームに入力した名前、メールアドレス、メッセージ、パスワードやクレジットカード番号
- ユーザーが使っているPCのOSやブラウザの種類・バージョン
ですので、公共のWi-Fiを利用する際は、VPNを利用するなどの追加対策も有効ですが、まずはサイトがHTTPSに対応しているかを確認することが基本となります。
というわけで、そんな危険なサイトを自らが作り出してしまわないために、今回は公開するWebサイトをHTTPS対応させるのに必要な前提技術であるSSL/TLSを中心に解説します。
SSL/TLSとは
SSL(Secure Sockets Layer)とTLS(Transport Layer Security)は、インターネット上で安全な通信を実現するための暗号化プロトコルです。SSLは古い規格で、現在は後継のTLSが使用されていますが、慣習的に「SSL」や「SSL/TLS」と呼ばれることが一般的です。
Webブラウザでアクセスする際、URLが「https://」で始まる場合、SSL/TLSによって通信が保護されています。これによりの機密データを安全にやり取りできます。
SSL/TLS証明書は、インターネット上でのデータのやり取りを暗号化するための仕組みです。これを導入することで、WebサイトのURLが「http」から「https」に変わり、通信の盗聴や改ざんを防ぎ、サイトの信頼性を高めることができます。
SSL/TLSは、以下の3つの主要な機能を提供します。
| 機能 | 機能 | 説明 |
|---|---|---|
| 暗号化 | ハイブリッド暗号方式 | 通信内容を第三者が読み取れないように暗号化し、盗聴を防ぎます。 |
| 認証 | サーバー証明書 | 通信相手が正当なサーバーであることを証明書で確認し、なりすましを防ぎます。 |
| 完全性 | ハッシュ関数 | データが改ざんされていないことを保証し、通信の信頼性を確保します。 |
応用情報技術者試験対策Q&A
SSL/TLSの主な機能はなんですか?
「通信を暗号化」し、「データが改ざんされていないことを保証」します。また、そのサーバーが「本物のサーバーであることを証明」します。
SSL/TLSはどのようにデータを暗号化しますか?
「共通鍵暗号方式」と「公開鍵暗号方式」を組み合わせた「ハイブリッド暗号方式」です。
TLSハンドシェイクとは?
クライアント(ブラウザ)とサーバー(ブログなどのWebサービス)が安全な通信を始めるために一連のメッセージをやり取りし、主に「暗号方式の決定」、「サーバーの証明書検証」、「共通鍵の共有」を行う仕組みです。
サーバー証明書とは?
「認証局(CA: Certificate Authority)が発行」し、クライアント(ブラウザ)がそれを検証することで、「サーバーの公開鍵」やドメインが正しいことを証明することができます。
アルファSSLとは
- ConoHa VPSおよびアルファSSLに関する一切の情報は2025年11月3日現在の情報に基づく内容です。ご契約の際は必ず公式サイトをご確認ください。
アルファSSLは、GMOグローバルサイン社が提供するSSL/TLS証明書の一つです。低価格かつ迅速な発行が特徴で、個人ブログや小規模なWebサイトのSSL化に適しています。
アルファSSLの特徴
- 低価格: 他の証明書に比べて費用を抑えられます。
- 発行が速い: オンラインでのドメイン認証のみで、数分から数時間で発行されます。
- 高い信頼性: 大手認証局であるGMOグローバルサインが発行しています。
「まとめトク」セットについて
- ConoHa VPSおよびアルファSSLに関する一切の情報は2025年11月3日現在の情報に基づく内容です。ご契約の際は必ず公式サイトをご確認ください。
無料で使える条件
料金体系の確認方法
事前に知っておくべきその他の技術要素
ここでは、アルファSSLを導入する上で知っておきたい技術的な要素を簡単に解説します。
1.DV証明書(ドメイン認証)とは
ドメイン(例: example.com)の所有者であることさえ証明できれば発行される証明書です。手続きが簡単で、個人が運営するサイトのセキュリティ対策としては十分なレベルです。
SSL証明書は、認証レベルによって主に3つの種類に分けられます。アルファSSLは最も手軽な「DV証明書」に分類されます。
| 認証レベル | 認証内容 | 特徴 |
|---|---|---|
| DV (ドメイン認証) | ドメインの所有権のみを確認します。 | 低価格で発行が速く、個人サイトやブログに向いています。アルファSSLはこのタイプです。 |
| OV (組織認証) | ドメイン所有権に加え、サイト運営組織が実在することを確認します。 | 企業の公式サイトなどで利用され、DVより信頼性が高まります。 |
| EV (拡張認証) | 最も厳格な審査基準で、組織の実在性を詳細に確認します。 | 金融機関などで利用され、ブラウザのアドレスバーが緑色で表示されることがあります。 |
2.暗号方式について(RSA 3072bit推奨)
「CSR(証明書署名要求)」作成時の暗号方式は、通信を暗号化する際のアルゴリズムの種類です。現在、セキュリティ強度と互換性のバランスからRSA 2048bit以上が推奨されています。
ただし、2030年12月31日でRSA 2048bitの利用期限が終了するため、RSA 3072bitで作成するのが良いと思います。(「2030年問題」)
3.デュアルアクセスの概要
1つのSSL証明書で、「wwwあり」と「wwwなし」の両方のURLに対応できる機能です。
https://example.comhttps://www.example.com
これにより、ユーザーがどちらのURLでアクセスしても、警告が表示されることなくサイトを安全に閲覧できます。アルファSSLはこのデュアルアクセスに対応しています。
4.証明書の更新について
アルファSSLは1年更新ですが、「まとめトク」で契約していて、設定が正しければたぶん自動更新されます。
※サポートページを検索するとWINGのサポートページに飛ぶので少し心配ですが、私もまだ1年経っていないので確信がありませんので、悪しからず。
5.証明書の再発行について
もし自動更新されない場合は再発行すればよいだろうと思っています。
事前準備チェックリスト
次回の作業をスムーズに進めるために、以下の項目が準備できているか確認しておきましょう。
- 環境と前提条件
- ConoHaのアカウントを持っている。
- 基本的なターミナル操作(SSH接続など)が分かる。
- ドメインの取得状況
- SSL化したい独自ドメインを取得済みである。
- ドメインのネームサーバーがConoHaに向けられている。
- VPSサーバーの準備状況
- ConoHa VPSでサーバーが構築済みである。
- Webサーバー(Apacheやnginxなど)がインストールされ、ドメインでアクセスできる状態になっている。
ConoHa VPSの契約方法はコチラ(PR)
ConoHa WINGの契約方法はコチラ(PR)
次回予告
お疲れ様でした。基本知識と準備はこれで万全です。
次回はサーバー上で証明書の申請に必要なファイルを作成し、アルファSSLの申し込み手続きをハンズオン形式で進めていきますので、お楽しみに!