SSL/TLS とは、 Web 通信を暗号化するセキュリティプロトコルです。 SSL (Secure Sockets Layer) は Netscape が 1990 年代に開発した初期のプロトコルで、現在は後継の TLS (Transport Layer Security) に置き換えられています。「 SSL 証明書」という呼称が今でも広く使われていますが、実際に使用されているのは TLS です。
TLS の最新バージョンは TLS 1.3 (RFC 8446 、 2018 年) です。 TLS 1.0 と 1.1 は 2020 年に主要ブラウザでサポートが終了し、 TLS 1.2 以上が必須となっています。 TLS 1.3 はハンドシェイクが 1-RTT (1 往復) に短縮され、接続速度が大幅に改善されました。
SSL/TLS 証明書には 3 つの種類があります。 DV (Domain Validation) - ドメインの所有権のみを検証、 OV (Organization Validation) - 組織の実在性も検証、 EV (Extended Validation) - 最も厳格な検証。 DV 証明書は Let's Encrypt で無料取得でき、個人サイトや小規模サービスに適しています。 EV 証明書は金融機関や大企業で使用されますが、 Chrome が 2019 年にアドレスバーの組織名表示を廃止したため、 EV の視覚的な差別化効果は薄れています。
短縮 URL サービスでは、短縮 URL 自体とリダイレクト先の両方が HTTPS (SSL/TLS) で保護されていることが理想的です。 HSTS ヘッダーを設定して HTTPS を強制し、通信の安全性を確保してください。関連書籍は Amazon でも探せます。