![SSL チェックツール 6 選の位置付け](/blog/ssl-check-tool-comparison/tool-map.svg) ## この記事でわかること - 主要な SSL チェックツール 6 選の機能と特徴 - 「使い勝手 / 詳細度 / 日本語対応」での比較 - シーン別(緊急対応 / 定期確認 / 監視)の使い分け - 各ツールが見ているチェック項目 ## SSL チェックツールが必要な場面 SSL 証明書を有効化した直後や、サーバー移転後、定期点検時には次の確認が必要になります。 - 証明書の有効期限はいつまでか - 暗号スイートのバージョンは古くないか(TLS 1.0 / 1.1 の混入)。TLS 1.2 を強制する場合の考え方と影響確認は [TLS 1.2 強制設定の考え方と影響確認](/blog/ssl-tls-1-2-only-config) で解説しています。 - 中間証明書の設定漏れはないか - HSTS や OCSP Stapling などのオプションは正しく設定されているか - 複数サブドメインで一貫した設定になっているか これらをブラウザの鍵マークだけで判断するのは現実的ではありません([ブラウザの鍵マークの仕組み](/blog/ssl-padlock-mechanism))。専用のチェックツールが必要です。 ## 主要 6 ツールの比較 ![6 ツールの比較表](/blog/ssl-check-tool-comparison/comparison-table.svg) ### SSL Labs by Qualys - **特徴**: SSL 業界標準のチェックツール。A+ / A / B / F の総合評価でサーバー設定品質を可視化 - **強み**: 暗号スイート / プロトコル / 中間証明書 / HSTS / 各種既知脆弱性まで網羅的に確認 - **弱み**: 結果の英語が専門的、初心者は理解に時間がかかる - **適している場面**: SSL 設定を本格的に点検したい時、社内向け技術レポートに添付したい時 ### Cryptcheck.fr - **特徴**: SSL Labs より厳しい評価基準で TLS 設定の弱さを指摘 - **強み**: 評価が辛口で本気で堅牢化したい人向け - **弱み**: フランス語インターフェース(翻訳機能で実用可能) ### TestSSL.sh(OSS) - **特徴**: OSS のコマンドラインツール - **強み**: 自社サーバーで実行できるため、外部に通信内容を渡さなくて済む - **弱み**: 環境構築(Bash / 関連バイナリ)が必要 ### Hardenize - **特徴**: SSL に限らず、DNS / DNSSEC / SPF / DKIM / DMARC / セキュリティヘッダまで総合チェック - **強み**: 1 つのレポートで Web インフラ全体を俯瞰できる - **弱み**: 詳細度は SSL Labs より浅い ### SecurityHeaders.com - **特徴**: セキュリティヘッダ(HSTS / CSP / X-Frame-Options など)の専門ツール - **強み**: HTTP セキュリティヘッダの状況をシンプルに評価 - **弱み**: SSL 証明書そのものの詳細は薄め ### Mozilla Observatory - **特徴**: Mozilla 公式の Web セキュリティチェック - **強み**: SSL と HTTP ヘッダを両方カバーし、改善方法のドキュメントが充実 - **弱み**: スコア表示の癖あり、A+ を取るのは難しめ ## シーン別の使い分け 実務での使い分けを整理します。 ### シーン 1: SSL 設定変更後の確認 サーバー移転 / 証明書再発行直後は **SSL Labs** を使い、A 以上の評価かを確認します。中間証明書漏れや暗号スイートの設定ミスはここで気づきます。中間証明書漏れが見つかったときの修復手順は [SSL chain incomplete の原因と修復手順](/blog/ssl-chain-incomplete-troubleshoot) で詳しく解説しています。 ### シーン 2: 定期点検(月次 / 四半期) **Hardenize** で SSL + DNS + メール認証まで一括チェック。一覧でレポートが出るので、複数項目をまとめて報告書化できます。 ### シーン 3: 緊急時(警告が出た / 障害発生) **SSL Labs** で詳細スキャン + **SecurityHeaders.com** でヘッダ確認。Chrome の警告と組み合わせて原因を特定します([Chrome「保護されていない通信」警告の直し方](/blog/chrome-not-secure-warning-fix))。 ### シーン 4: 機密性の高いサイト **TestSSL.sh** をオンプレで動かし、設定情報を外部に出さずに点検します。社外秘の業務システムや認証情報を扱うサーバーに向きます。 ### シーン 5: 自動監視 専用 SaaS([複数ドメイン SSL の一括管理](/blog/multi-domain-ssl-management))で常時監視。30 日前 / 7 日前のアラートで期限切れを防ぎます。 ## チェック項目の対応表 各ツールがどこまで見るかの簡単な対応表です。 | チェック項目 | SSL Labs | Hardenize | SecurityHeaders | Observatory | |---|---|---|---|---| | 証明書の期限 | ◎ | ◎ | × | ◎ | | 暗号スイート | ◎ | ○ | × | ○ | | 中間証明書 | ◎ | ○ | × | △ | | HSTS | ◎ | ◎ | ◎ | ◎ | | CSP / X-Frame | ○ | ○ | ◎ | ◎ | | DNSSEC | × | ◎ | × | △ | | メール認証(SPF/DKIM/DMARC) | × | ◎ | × | × | 詳細な SSL 周辺の運用は[SSL 自動更新の失敗](/blog/ssl-auto-renewal-failure)も合わせて。 ## 日本語で読み解きたいなら ここまで挙げたツールは全て英語ベースで、結果の読み解きに時間がかかります。日本語で「これは何か」「なぜ重要か」「次に何をすべきか」まで含めて解説してほしいなら、ドメイン番人の[SSL 設定 読み解きツール](/tools/ssl-explainer)が SSL Labs の日本語代替として使えます。SSL 証明書 / HSTS / CT log / セキュリティヘッダ 11 項目の取得値と意味を、Web 担当者向けに整理して表示します。登録不要・無料です。 ## まとめ - 用途別に SSL Labs(詳細)/ Hardenize(俯瞰)/ SecurityHeaders(ヘッダ)/ TestSSL.sh(オンプレ)の使い分け - 定期点検は Hardenize、緊急時は SSL Labs、機密サイトは TestSSL.sh - 期限切れ対策は専用 SaaS で自動監視を仕組み化 - ツールはあくまで点検手段、設定変更後は必ず複数ツールで突き合わせる ## まずは現状を把握しましょう 自社の SSL 証明書の有効期限と設定状況は、ドメイン番人の[SSL 単発チェック](/ssl/check)で確認できます。メール認証も含めた総合点検は[無料診断](/diagnose)をご利用ください。