フィッシングサイトに引っかかるな!独自SSLの話

SSL ブログ

前書き

最近個人でゲーム開発を始めたのですが、そこで開発の過程や技術的なことを記事にしてブログを始めたのですが、ブログ始めたのはいいが調べてみると準備や設定など、やること沢山あります。その中の一つはSSLの設定です。

SSL設定って必要?

SSL設定はしなくてもサイトの運営ができますが、しておいたほうが自分にとっても、サイトに訪れた人にとっても安心です。導入することをおすすめします。無料の独自SSLなら誰でも簡単にできますので、ぜひやってみてほしい。

独自SSLの役割・メリット

  1. あなたのサイトの通信を暗号化して守ってくれる
  2. サイトの所有者証明になる

サイトの通信を暗号化してくれる

SSL設定をしないとメール送信やお問い合わせなどの情報は丸裸同然です。
普通の人はやらないと思いますが、ちょっと悪意を持った人がツールを使ってメールの内容や問い合わせの内容を解析できたり、簡単に悪用できるので怖いです。

サイトの所有証明になる

証明には3つの認証レベルがある。それぞれ

  • DV認証(ドメイン認証)
    • 一番簡単に取れる認証。ほとんどの個人ブロガーはこちら。本ブログもこちら
    • 無料でできる
  • OV認証(企業認証)
    • 実在する企業や団体に対して発行する認証
    • お金かかる
  • EV認証(最高レベルの認証)
    • こちらも実在する企業や団体に対して発行する認証ですがOV認証よりも信用度が高い
    • お金かかる

認証レベルについての詳しい話はググれば沢山出てくるので、興味があれば検索してみてください。

SSLを悪用するフィッシングサイトの話

前述のようにSSLを導入すると、通信が暗号化されて利用する人にとって安心だと書きましたが、悪い人たちはこれを逆手に取ってフィッシングサイトにSSLを導入して、あたかも安心安全なサイトを装うことができます。

前述のように、DV認証であれば誰でも無料で簡単に導入できるので、SSL(HTTPS)が導入されているサイトだから安心だ!と安易に信用せず、まずそのサイトの認証レベルを確認してみてください。

認証レベル・発行元の確認方法

Google Chromeの場合ですが

  1. 検索バーの左上の南京錠マークをクリック
  2. このサイトは保護されていますをクリック
  3. 証明書は有効ですをクリック
  4. 詳細な情報をクリック
  5. 発行者名・組織を確認してください
    • Let’s Encryptとなっているならば、ちょっと疑ったほうがいいかもしれないです
    • もちろん通常の個人運営のブログは全く問題ありません
    • あくまで、有名所のホームページを似せて作られたサイトの話です
    • なぜなら、有名所のホームページは無料でSSLの認証を受けることはまずありません
    • SSLの役割でも説明したようにサイトの所有者証明になるので、有名所は無料で誰でも発行できるようなSSLはありえません

Let’s Encryptとは

ウィキペディア(Wikipedia)はこちらです。
要するに無料のSSLを発行してくれる非営利の証明書認証局です。

コメント

タイトルとURLをコピーしました