## この記事でわかること - SSL(TLS)が「Web サイトと閲覧者の通信を保護する仕組み」であること - 鍵マークが付いていないサイトで何が起きるか - Web 担当者が最低限押さえておくべき 3 つの備え - 「HTTPS」「SSL」「TLS」の関係と用語の整理 ## SSL は「鍵」ではなく「金庫の運搬車」 「SSL」と聞くと「鍵マークを出すもの」というイメージを持つ方が多いのですが、実態としてはもう少し広い役割を担っています。SSL は次の 3 つを同時にやってくれる仕組みです。 1. **暗号化**: 通信を盗み見されないようにする 2. **改ざん検知**: 通信の途中で内容を書き換えられたら気付ける 3. **本人性確認**: 通信相手が「本当にそのサイトの運営者か」を証明する ![SSL が同時に担う 3 つの役割](/blog/ssl-basics-smb/ssl-three-roles.svg) Web 担当者・情シス・制作会社が一番ピンとくるのは 3 番目です。SSL 証明書が正しく設定されていないと、ブラウザは「保護されていない通信」と表示し、訪問者の多くはその時点でサイトを離れます。フォーム送信や決済も、ブラウザの判断で止められます。具体的な警告パターンと復旧手順は [Chrome「保護されていない通信」警告の直し方](/blog/chrome-not-secure-warning-fix) を参照してください。 なお SSL という呼び方は古い名称で、現在の正式な仕組みは **TLS(Transport Layer Security)** と呼ばれます。1999 年に TLS 1.0(RFC 2246)が後継として標準化され、SSL 2.0 は 2011 年(RFC 6176)、SSL 3.0 は 2015 年(RFC 7568)に正式に非推奨となりました。それでも「SSL 証明書」「SSL サーバー証明書」という慣用表現は今も広く残っており、本記事でも一般的な呼び方として SSL を使います。 ## SSL 証明書が無いと、何が起きるか 設定が不十分な状態で起きるトラブルは、典型的には次の 4 つです。 ### 1. ブラウザが赤い警告を出して、訪問者がほぼ全員離脱する Chrome・Edge・Safari などの主要ブラウザは、SSL 証明書に問題があるサイトで「この接続ではプライバシーが保護されません」「この接続は安全ではありません」といった警告ページを表示します。一般のユーザーがこの画面を突破して閲覧を続けることはほとんどありません。サイトのアクセス数は実質ゼロになります。 ### 2. 取引先からの問い合わせフォームが機能しなくなる 警告が出ているサイトでは、フォーム入力欄も警告色で表示されます。クレジットカード入力欄やパスワード欄は、ブラウザが自動補完をオフにする・「危険」と表示するなど、入力をためらわせる設計になっています。 ### 3. 検索順位が下がる Google は HTTPS 対応をランキング要素として明言しています。SSL 証明書が切れている、あるいは設定されていないサイトは、同じ内容の競合サイトよりも検索結果で下位に表示されます。 ### 4. 内部ツール・連携サービスが動かなくなる メール送信時のバウンス通知、決済代行サービスからのコールバック、外部 API との連携など、サーバー間通信でも SSL は前提です。期限切れの瞬間に「なぜか売上集計が止まった」「メールが届かない取引先がある」といった連鎖障害が起こります。 ## 最低限やるべき 3 つの備え Web 担当者が SSL について押さえておくべきラインは、難しい設定の話ではなく**運用面の備え 3 つ**です。 ![サイト運営者が最低限やるべき 3 つの SSL 備え](/blog/ssl-basics-smb/three-defenses.svg) ### 備え 1: 自動更新を有効化する 無料で利用できる Let's Encrypt は、90 日ごとに自動更新する設計が前提です。Web サーバーや利用中のレンタルサーバーが対応していれば、管理画面のチェックボックス一つで自動更新が動きます。「年に 1 回手作業で更新する」運用は、担当者の異動・長期休暇のタイミングで事故が起きやすいため、自動化を強く推奨します。 ### 備え 2: 期限前アラートを複数人で受け取る 自動更新を入れていても、「自動更新が壊れていることに気付かない」ケースが現場では珍しくありません。サーバー再起動後に acme クライアントが落ちる、ドメイン認証用のチャレンジファイルが配置できなくなる、といった故障モードがあります。期限の 30 日前・7 日前に複数人へ通知が飛ぶ仕組みを、別系統で用意しておくと取りこぼしが減ります。 ### 備え 3: 年 1 回の棚卸し 自社が保有するすべてのドメインと、それぞれに紐づく SSL 証明書を、年 1 回はスプレッドシートに書き出して棚卸しします。「使っていないサブドメインに古い証明書が残っている」「キャンペーン用に取得したドメインが期限切れになっている」といった状態を可視化できます。詳細な確認手順は [SSL 証明書の有効期限を確認する 3 つの方法](/blog/ssl-expiration-check) で解説しています。 ## 「証明書の種類」もよく聞かれます SSL 証明書には **DV(ドメイン認証)/ OV(組織認証)/ EV(厳格認証)** の 3 種類があり、認証局が「サイト運営者の何をどこまで確認したか」で分かれます。多くのサイトでは無料の Let's Encrypt(DV)で十分です。違いと選び方の詳細は [SSL 証明書の種類と違い|DV / OV / EV と Web 担当者の選び方](/blog/ssl-certificate-types-dv-ov-ev) で整理しています。 自動更新の仕組みや、実際に運用している中で「気付いたら更新が止まっていた」を防ぐ手立ては [SSL 自動更新の仕組みと現実解](/blog/ssl-renewal-automation) で解説しています。 ## SSL と HTTPS と TLS の関係 混乱しやすい 3 つの用語の関係を整理しておきます。 - **TLS**: 通信を保護する技術仕様(RFC 8446 など)。現在の主流は TLS 1.2 / 1.3 - **SSL**: TLS の前身。技術的には 1999 年に廃止されたが、慣用表現として残る - **HTTPS**: HTTP(Web の通信プロトコル)+ TLS。Web サイトを SSL/TLS で保護した状態の呼び方 つまり「SSL 化する」「HTTPS にする」「TLS で保護する」は実務上ほぼ同じ意味で使われます。担当者間でやり取りするときは、一番伝わりやすい「HTTPS」「SSL」のどちらかで統一すれば十分です。古い TLS バージョンを無効化して TLS 1.2 のみに揃える場合の考え方は [TLS 1.2 強制設定の考え方と影響確認](/blog/ssl-tls-1-2-only-config) で解説しています。 ## まずは現状を把握しましょう 自社サイトの SSL の状態は、ドメイン番人の [SSL 証明書 単発チェック](/ssl/check) で 30 秒で確認できます。有効期限・発行元・HSTS の設定・HTTP/2/3 対応・CT log への発行履歴をまとめてレポートします。 総合的に SSL とメール認証の両方を点検したい場合は、[無料のドメイン診断](/diagnose) もご利用ください。SSL に加えて SPF / DKIM / DMARC の状態も確認できます。 棚卸しから自動更新セットアップまでを任せたい方は、[SSL 棚卸し・自動更新支援](/ssl)(5 万円〜)で対応します。「自社のドメインがいくつあるかも把握できていない」という段階でも構いません。状況に応じて個別にお見積りします。判断に迷う場合は [お問い合わせフォーム](/contact) からお気軽にご相談ください。