SSL証明書は、利用者が正しいWEBサイトに接続し、通信の盗聴・改ざんなくサービスを利用するために使用され、WEBサイトの信頼性を高めます。数年前まではSSL証明書を使用したHTTPS通信の割合は50％程度でしたが、常時SSL化（パスワードや個人情報などの機微な情報の入力を求めるような場合に限定してHTTPS化していた従来とは異なり、無限定でHTTPS化する）の普及により、直近では90％近くまで上がっています。
なぜ常時SSL化の考えがここまで普及したかと言えば、常時SSL化を行わなければHTTP/2、HTTP/3といった通信パフォーマンスを強化する新たなプロトコルの恩恵を受けられないことに加え、Googleが常時SSL化を実施しているサイトを上位に表示するといったSEO方針を発表したことで、単なる信頼性の向上だけでなく、提供サービスそのものにも影響を及ぼすようになっているからです。そのため、昨今の環境においては、SSL証明書はWEBサイト運営に必要不可欠であると言えます。

図1：世界各国におけるChromeでのHTTPSの使用状況（Google透明性レポートより引用（※1））

2016年頃はHTTPSを使用しているフィッシングサイトの割合はあまり多くありませんでしたが、ここ数年でHTTPSを使用したフィッシングサイトの割合は急速に伸びています。急速な伸びの理由としては、標準ブラウザ側のデフォルト設定として、HTTPSに対応していないWEBサイトについては警告が出るようになったこと、Let’s Encryptのような無料でSSL証明書を発行できるサービスの出現により、簡易審査でSSL証明書を取得できるようになったことが挙げられます。

図2：HTTPSに対応したフィッシングサイト割合の推移（The PhishLabs Blogより引用（※2））

そのため、SSL証明書を保持しHTTPSに対応しているからといって、そのWEBサイトが利用者が期待するような健全な事業者や個人によって運営されているとは言えず、悪意を持った第三者が運営している可能性も排除できないことに留意する必要があります。また、暗号化されているHTTPSの通信経路上では中身を確認できないため、ドライブ・バイ・ダウンロード攻撃などを仕掛けられた場合、マルウェアを検知できないといったリスクもあります。そのため、コロナ影響によりインターネットへ接続する機会が増える現状においては、エンドポイントでの対策も重要と言えます。

HTTPS通信で使用されるSSL証明書は、認証局の審査の違いによりDV/OV/EVの3種類が存在します。厳密な存在確認を行ったうえで発行されるEV証明書は、取得コストはかかるものの、利用者が最も安心できる証明書となります。

図3：証明書の種類

フィッシングサイトでは、入手コストの安いDV証明書が利用されていることがほとんどのため、証明書の種類を確認するだけでもリスクを下げることができます。ブラウザによって画面表示は異なりますが、DV証明書であれば、ブラウザの鍵マークをクリックし、証明書の詳細タブにあるサブジェクトを確認した際に、ドメイン情報が記載されたCN（Common Name）のみ表示され、OV/EV証明書であれば、組織名や国名などその他の情報も記載されます。

図4：証明書の確認方法（Google ChromeでOV証明書を表示させた場合の例）

証明書の有効期間は今年短縮されたばかりですが、今後さらに短縮されるという話も出ており、証明書更新にともなう運用負荷の増加や、更新漏れなどのリスクが想定されます。そうなった場合、EV証明書のような発行まで期間がかかる証明書を利用する場合、証明書取得の申請からシステム内の証明書差し替え・動作確認といった運用設計がより求められることになるでしょう。

WEBサイトを利用したサービスが年々増加していく中で、SSL証明書はより重要性を増しています。運用者と利用者双方が正しい知識を持ち、WEBサイトが安全に利用されることを期待しています。