1位：SSLとTLSの違いとは

2018年はGoogle Chromeブラウザの警告表示の強化やTLS1.0/1.1の廃止もあって、SSLサーバー証明書（以下、SSL証明書）を初めて知る人・利用する人が増えた年だと思います。そしてインターネットで「SSL」を検索すると、一緒によく出てくるのが「TLS」というワードです。

多くのサイトではインターネット通信を暗号化する仕組みを「SSL」と呼んでいますが、実際には「TLS」という規格が利用されているため、「一体何が違うの？」という疑問が生まれやすかったのかと思われます。その結果、2位に大差をつけて圧倒的なランキング1位となりました。

「SSL/TLS」と併記するサイトや「SSL」だけを記載するサイトもありますが、一般的には「SSL＝ウェブサイトの通信を暗号化すること」という認識が広まっている（また、httpsの"s"はSSLの"s"という説も広まっている）ので、「TLSってなに？」と思われてしまったのかもしれません。

SSLとTLSの違いとは

「SSLって何？」と聞かれると「インターネット通信の暗号化だよ」と答える人が多いと思います。「TLSって何？」と聞かれると「SSLと一緒によく見るけど何だろう…？」と回答に困る人が多いのではないでしょうか。本記事ではSSL、TLSについて解説します。

2位：Chromeの強制的な警告表示が2018年7月から開始

2018年はChromeのアドレスバーに表示される「保護されていない通信/保護されていません」という警告が全てのhttpサイトに表示されるようになった年でした。新しいバージョンのChromeが公開されるたびに、警告表示の内容が段階的に強化されたため、Chrome関連の記事も多く掲載されて閲覧も多くなりました。

Chromeを提供しているGoogleは、2017年頃から「httpサイト（通信が暗号化されていないウェブサイト）はプライバシーが保護されないため、注意喚起する必要がある」というスタンスで、httpsサイトには「保護された通信」、httpサイトには「保護されていない通信」とChromeのアドレスバーに表示するようになりました。

しかし、2018年中頃からは「ウェブサイトは暗号化されて当然である。ウェブサイトは暗号化されていなければならない」というスタンスへ変化し、httpsサイトの場合「保護された通信」という表示が撤廃され、鍵アイコンが小さく表示されるだけになりました。httpサイトの場合はグレー文字で「保護されていない通信」が表示され、テキストボックス等に文字を入力すると警告表示が赤文字に変化するようになりました。突然、自分のサイトに「保護されていない通信」と表示されて、驚いて検索された方も多かったと思います。

Chromeの強制的な警告表示が2018年7月から開始

2017年初頭から Google Chrome ブラウザは、SSLサーバー証明書（以下SSL証明書）を導入していないサイトに対して、アドレスバーによる警告表示を段階的に強化してきました。そして今回2018年7月リリース予定のChrome 68より、SSL証明書を導入していない全てのサイトで「保護されていません」の警告表示が開始されます。

3位：無料証明書と有料証明書の違い

2018年はSSL証明書が全般的に注目された中で、お金が掛かるイメージだったSSL証明書が実は無料で取得できる、という認識が広まった年でもありました。さくらのレンタルサーバでも2017年10月から無料SSL機能を提供していることもあり、「無料と有料は何が違うの？無料は問題無いの？」といった疑問が多く生まれた影響もあると考えられます。

“暗号化”という機能においては、有料・無料で機能差はありませんが、無料証明書はコストが掛からない反面、設定や運用などのハードルが若干高かったりします。検証環境には無料証明書を利用してコストを削減、本番環境には有料のEV証明書を利用してサイト訪問者に安心感を与える、といった形で用途に合わせて選ぶのが賢いSSL証明書の選び方とも言えます。

無料証明書と有料証明書の違い

SSLサーバー証明書には有料と無料のものがあります。「費用を抑えたいし無料でいいか」と思いつつも「本当に無料の証明書で大丈夫？」という不安を抱く方も多いはず。本記事ではそれぞれのSSLサーバー証明書の違いやメリット、デメリットについてご紹介します。

4位：SSLサーバー証明書の違い

この記事ではSSL証明書の認証レベルの違いについて解説されています。SSL証明書を購入する際、特に法人として利用する場合に悩まされるのが、この”認証レベル”による機能や価格の違いです。例えば、最も認証レベルの高いEV証明書は高価なこともあり、数年前まで銀行などの金融機関で主に利用されていましたが、最近は一般企業のコーポレートサイトでも利用されているため、このような証明書の種類について検索する方が増えたのだと考えられます。

こちらの記事にも書いてありますが、コーポレートサイトのSSL証明書を探している場合はEV証明書を強くおすすめします。さくらのSSLでは、年間54,450円とお求めやすい価格でEV証明書「SureServer EV for SAKURA」を提供しています。EV証明書も数年前までは、10万〜20万円といった価格帯の高いものが一般的でしたが、現在では低価格で購入しやすいものも増えています。

SSLサーバー証明書の違い

SSLサーバー証明書は、認証レベルにより「ドメイン認証」「企業認証」「EV認証」の3つに分けられます。それぞれどういった違いがあるのかを解説します。

5位：6月以降はTLS 1.0が使えない？PCI DSS準拠にまつわるSSL/TLSのお話

アドレスバー警告表示の強化と並んで2018年に世の中を騒がせたのが、PCI DSS準拠に関連したTLS1.0/1.1の廃止でした。Yahoo! Japanなどの大手サイトでもこの対応が取られたため、検索する方が増えたのだと考えられます。

さくらインターネットでも、コーポレートサイトや各種コントロールパネル、サーバーサービスなど広範囲でTLSの対応バージョンを変更しました。こういったSSL関連の変革は今後も起こる可能性があるので、定期的に情報を収集しておきましょう。

6月以降はTLS 1.0が使えない？PCI DSS準拠にまつわるSSL/TLSのお話

突然TLS 1.0の利用をやめなきゃいけない！と言われて焦っているWebサイト担当者の方へ、なぜTLS 1.0をやめなければいけないのか？どのように廃止していけばいいのか？について解説します。

2018年を総括！

2018年を総括すると、アドレスバー警告表示の強化やTLS1.0/1.1の廃止、無料証明書の普及など、各種仕様の変更や対応に追われた1年となりました。この中でも影響が大きかったのは、アドレスバー警告表示の強化と旧シマンテック証明書の無効化対応でした。こうしたGoogleの対応は性急すぎる、強引すぎるという批判の声もありますが、ウェブサイト閲覧の安全性を短期間で高めた、そしてSSLの普及に大きく貢献したとも言えます。

前回の記事でも触れていますが、2017年1月時点での日本国内のhttps使用率は32％（当時米国は60％）と世界各国の中でも大きく遅れていました。これが2018年1月時点で55％、2018年12月時点で72％と急速に普及できたのは、ブラウザシェアのトップであるChromeが半ば強引に実施した警告表示のおかげと言っても差し支えないでしょう。

各記事へのリンク

• 1位：SSLとTLSの違いとは | さくらのSSL
• 2位：Chromeの強制的な警告表示が2018年7月から開始 | さくらのSSL
• 3位：無料証明書と有料証明書の違い | さくらのSSL
• 4位：SSLサーバー証明書の違い | さくらのSSL
• 5位：6月以降はTLS 1.0が使えない？PCI DSS準拠にまつわるSSL/TLSのお話 | さくらのSSL

2019年のSSL業界はどうなる？

2019年の動向ですが、ChromeではChrome 70から本格的に始動した「暗号化（https化）は当たり前、非暗号化サイトは危険」というスタンスを継続すると考えられ、主にhttpサイトへの警告表示の更なる強化などが予想されます。これは、今までサイトのhttps化にあまり高いモチベーションが無かったレイトマジョリティ（後期追随層）への大きな圧力になると思われます。ウェブサイト運営者は「サイトのhttps化は待ったなし！」と言うよりも、「httpは使わないのが当たり前！」という考え方に移っていくのではないでしょうか。

また、2018年2月末に3年証明書が廃止され、SSL証明書の有効期間が最長2年（正確には825日間）に短縮されたばかりですが、既に2年証明書の廃止が検討されています。近い将来、有効期間が最長1年になり、さらに短縮されて6ヶ月、最終的にはLet’s Encryptと同じ90日間を目標として進んでいくのではないでしょうか。有効期間が1年を切った場合、大規模システムなどでは手動更新が現実的では無くなるため、SSL証明書の運用に対するコストアップが予想されます。大規模なシステム構築を行う場合、Let’s EncryptのようなAPI（証明書の発行・更新API）をシステム側で用意しなければならないため、非常に面倒でありコストも掛かります。それらを用意せずに、毎回手動でSSL証明書の差し替え作業を行う方法もありますが、毎年数百万円の運用コストが掛かるのであれば、Webインターフェースなどから簡単に更新できるような仕組みを初期構築時に実装しておいた方が安上がりになるかもしれません。

EV証明書のアドレスバー表示が簡素化されている傾向も今後はウォッチしていく必要がありそうです。これまでiPhone・iPadのSafariでは、アドレスバーに組織名が表示されていましたが、昨年９月に配信されたiOS12からは組織名が表示されなくなりました。Chromeでも緑文字で組織名が表示されていましたが、Chrome 69から目立たないグレー文字で表示されるようになりました。この先、アドレスバー表示の簡素化が進むのであれば、EV証明書だとしても組織名が表示されなくなる可能性もあるのではないでしょうか。今後どのような表示方法が標準化されていくのかはわかりませんが、「EV証明書は組織名が表示される代わりに高価である」という共通認識が形成されているため、動向には注目していく必要があります。

最後に

今後も油断のできないSSL業界ですが、間違いなく言えることはインターネット通信の暗号化は世界レベルで進んでいて、いずれは対応必須になる可能性が高いということです。今後もSSL証明書の誤発行や鍵の危殆化などを原因とした急な大量失効、ブラウザ警告の強化などが予想されますが、情報が手に入り次第、当コラムでも情報を発信していきます。2019年も、さくらのSSLをどうぞよろしくお願いいたします。