非同期スニペット

「ssl」タグのブログアーカイブ

無料 ご相談承ってます!

電話 03-6876-2707 or 078-585-6383(平日 -)お気軽にご連絡ください!
打合せなどで電話に出れない場合がございます。その場合は、フォームもしくは 070-5503-3830までお手数をおかけしますがご連絡ください。

私たちの実績
(→ 実績一覧へ

Webデザインやグラフィックデザインの実績をご紹介しております。

お知らせ

ブログ最新の10件
(→ 記事一覧へ

事務所案内

  • ワサビ株式会社
  • マーケティング部(東京オフィス)
  • 〒142-0041
    東京都品川区戸越1-21-15 創建ビル4F
  • TEL. 03-6876-2707
  • 受付時間: 平日 -
  • 本社・デザイン室・開発室
  • 〒658-0065
    兵庫県神戸市東灘区御影山手4-10-21
  • TEL. 078-585-6383
  • 受付時間: 平日 -
会社の詳細情報は、こちら

Work with us!

私たちのビジネスの成功は、社会に貢献できると確信してます。

ワサビは、才能や情熱を持った方との出会いを待ってます。

インターネットで出来る事、その可能性を仕事にしたい方は、ご連絡ください!

採用の詳細は、こちら

ソーシャルメディア

SSLの導入 2018年7月版

投稿日:

最近お客さんと打ち合わせをする中でホームページのSSL対応の話題が多くなりました。

SSLとは何ぞや?という方に簡単にお伝えすると、よく知られているキーワードとして「暗号化通信」と「セキュリティ向上」があります。

誤解含みで言うとSSL対応しているホームページは保護された安全なサイトということです。

日本においてSSL対応しているホームページというのは海外に比べあまり多くありませんでしたが、今後増えてくることが予想され導入を検討していく段階になっているとも言えます。
とはいえ、他社もSSL対応しているから自社でも導入をということではなくそのメリットや検討材料を集めて導入検討することが必要です。

SSLに関しては過去に何度かブログを書いているのでよろしければそちらも併せてご覧ください

参考:2013年レンタルサーバーにSSLは、必要なのか

参考:2016年自動返信メールは必要?注意すること。

参考:2016年「この接続ではプライバシーが保護されません」表示されてるけど大丈夫?

参考:2017年SSL対応は必要?不要? SSL化のメリットデメリット

なぜ今SSLが話題?その背景

SSLは今年新しくできた新技術というわけではなく昔から存在する技術です。
ではなぜ今話題になっているのでしょうか。

背景としてGoogleの発表があります。
Googleは今までにもSSLに関してアナウンスをしています。

・2014年 HTTPSへの切り替えをおすすめ
参考:HTTPS をランキング シグナルに使用します

・2017年 シークレットモードでのアクセス、入力フォームがあるサイトに警告表示の開始
参考:Chrome の HTTP 接続におけるセキュリティ強化に向けて

そして今回、
・2018年 Chrome 68 よりhttpすべてのサイトに「保護されていません」と警告表示されるように
参考:保護されたウェブの普及を目指して

SSLに限らずGoogleはアルゴリズムの変更などシステムやデザイン、UIで色々なマイナーチェンジを繰り返していますが目的としてはユーザーに有益な検索結果を安全に表示させるということがあります。
今回話題になったアナウンスはSSL対応していないサイトに対してSSL対応を促すための変更なのですが、これまでに比べてもインパクトが大きい変更になるので話題になっています。

具体的にはSSL化していないサイトに対しては常にブラウザのURL表示部分に「保護されていません」の表示がされるという変更です。
実はこの表示はシークレットモードでは既に導入されていましたがそれが通常の検索状態でも表示されるということです。

「保護されていません」=ただちに危険というわけではないですし、URL表示部分であまり目立たないかもしれませんが、気付いた人にとってはインパクトが大きい変更になります。

Googleの思惑には簡単に乗らない。SSL対応のメリットとは

今話題になっている背景から考えるとSSL対応は必須に思えてきますが、Googleの思惑に簡単に乗ってしまうのも面白くないので改めてSSL対応のメリットを確認してみます。

その前に一つ注意点として上記SSL対応に関する表示はGoogleのブラウザ、Google Chromeに限っての表示なのでマイクロソフトのブラウザ、EdgeやIEなどには当てはまりません。
自社サイトの訪問ユーザーの多くがマイクロソフト派だということでしたら取り急ぎの対策は必要ないという考えもありかもしれません。

以下SSL対応による主なメリットです。

  1. ・セキュリティの向上
  2. 情報の盗聴や、通信過程での改ざん、フィッシングの防止に繋げることができ、そういった被害にあった場合でも対抗力を持つことができます。

  3. ・リファラー(参照元)の取得
  4. アクセスログ分析の項目でリファラー(参照元)というものがあります。
    他社のウェブサイトに自社のサイトがリンク付きで紹介されていて、そのリンク経由でサイトに訪問した場合、どのサイトから訪れたかというのを知ることができます。
    被リンクはSEOにおいてもウェイトが高いのでリファラーも重要なポイントですが、他社のサイトがSSL化していて、自社サイトがSSL化していない場合リファラーが記録されなくなり分析ができなくなります。
    自社サイトをSSL化することでリファラーを取得できるようになります。

    他社(リンク元)→自社(リンク先)
    http→http ○ 
    http→https ○
    https→http ×
    https→https ○

    リファラーを増やすということはSEOの外部対策の評価判断としても大切なことなのでSSL化のメリットとも言えます。

  5. ・ウェブページの表示速度があがる
  6. 次世代プロトコル「HTTP/2」が登場しウェブページ表示速度の向上が図られているのですが、その効果はhttpsだけに対応しています。
    表示速度の向上はユーザー利便性に繋がります。

  7. ・ユーザーの安心感・信頼性
  8. 「保護されていません」よりは「保護された通信」とURLに表示されればユーザーの安心感が増し無用な離脱を防ぐことができますし、予め検索結果に表示されるURLで判断するユーザーの流入も増やすことができます。

  9. ・SEOへの効果
  10. 過度な期待は禁物ですしGoogleが明確に順位が上がるなどと発表しているわけではありませんが、普及を目指して推奨し変更を加えていることからもSEO指標の一つとしてプラス影響することは考えられます。

メリットを考えるとSSL対応は必要だと思えますが、コストや手間も必要になってくるのでSSL対応が必須かどうかと問われると最後はサイトの目的や企業ポリシー、タイミング等にもなってきます。
ただ無視できる段階ではなく検討すべき段階に来ているということは言えます。

SSL対応の必要性

SSL対応の現状として自治体別では3分の2の地方自治体のホームページは常時SSLに対応していないというデータもあります。
参考:自治体の6割超、常時SSL接続未対応 – 実施率高いのは愛媛県

総務省国土交通省といった行政機関のサイトも現在はSSL対応しておらず(今後は分かりませんが)、一方的な情報発信による情報提供が目的のサイトや企業の会社案内的なサイトなどは実務的な必要性が低いともいえます。

実務的な必要性が低いというのはSSLのメリットの一つにセキュリティの向上、不正アクセスや改竄を防止ができると述べたのですが、情報を暗号化してやりとりすることは重要でもサイバー攻撃の対象などになった場合それだけでは対応ができず、改竄を検知するための仕組みなどのセキュリティ対策が必要になってくるからです。

とはいえ、皆が皆SSLに関して詳しく知っているわけでもないですし、「保護された通信」と表示されるか、「保護されていません」と表示されるかだと後者の方がマイナス印象になるのは避けられないと思うので今後SSL対応したサイトにリニューアルする企業も増えていくでしょう。

SSLのタイプ選択。ドメイン認証SSL?企業認証SSL?EV SSL?

検討の結果、SSLを導入することが決定したら次のステップとしてはどのタイプのSSL(サーバー証明書)をどこの会社(認証局)から導入するかを検討する必要があります。

SSLには廉価(無料)で対応できるものから、月1万円以上かかる高額なものとピンキリです。

どこで値段の違いがでてくるのでしょうか。

SSLの役割である暗号化の機能に関しては、一部旧型の携帯機種などの対応への違い以外は無料でも高額なものでもほとんど差異はありません。

サーバー証明書の認証レベルによって料金の差が出てきます。

というのも仮に通信が暗号化していても相手方が本物のサイトに似せてつくったフィッシングサイトだった場合等は意味がなくなってしまいます。
安全性を担保するには相手方が信頼できるサイトなのかといった審査が必要になってきますが全てを厳重にしていたのではコストも時間もかかってしまうので信頼性の認証レベルに主に3段階の差を設けることで対応しています。

ドメイン認証(DV:Domain Validation)SSL

3段階の中では一番手軽に取得できるSSLサーバー証明書です。
法人登録していない個人でも認証できます。
ドメインの所有者に対してメールで所有権を確認したり、サーバーに指定のファイルを置くことで確認認証します。
手軽な反面ドメイン管理者であれば誰でも認証できてしまうため、フィッシングなどの悪意のあるサイトも通してしまい信頼性に劣ります。
ドメイン認証の中には無料で利用できるSSL(Let’s Encrypt)もあります。

企業認証(OV:Organization Validation)SSL

法人サイトではよく使われている認証です。
書類審査や電話確認などにより、法的に存在している企業や団体のサイトであることを認証します。
手間がかかりその分コストや時間がかかりますが、企業としての信頼性を担保するのならば企業認証レベルのSSLは必要になってくるでしょう。

EV(Extended Validation)SSL

3段階の中では一番コストと手間がかかる認証です。
企業認証+α、登記簿の調査や現地調査等が加わります。

企業認証でも企業としての信頼性には繋がりますが、コストと手間をかける特典としてURLのアドレスバーが緑色になったり、そこに組織名称が表示されることにより視覚的にも分かりやすく信頼性アップに繋がります。

予算さえ許せばEV SSLで行きたい所ですが、自社のサイトの特徴とコストを比較して検討が必要です。

独自SSL、共有SSL

SSLサーバー証明書の認証レベルによる違いを説明しましたが、お金さえかければ誰でもアドレスバーを緑色(EV SSL)にできるという分けではありません。

まずは法人である必要があるということと、使用しているウェブサーバーが対応しているかどうかというのもポイントの一つです。

共用のレンタルサーバーによっては指定のSSL証明書以外、独自で取得したSSL証明書の持込ができないことなどもあります。新規でウェブサイトを立ち上げる時は事前に考慮できますが、既に公開運用しているサイトでSSL対応する場合は注意が必要です。

また、独自ドメインで運用する独自SSL以外に共有SSLというものもあります。

よくあるのが、ショッピングカートなどを導入していてクレジットカードや個人情報の入力ページになるとURLがhttps//secureユーザID.sakura.ne.jp/独自ドメイン等独自ドメイン以外にサーバーのURLなど他の表記が加わるものです。

標準オプションでついていたりコストをかけずに導入できる共有SSLですが、URLが途中から勝手に変更されるということで人によっては不信感を与えてしまうということや、そもそもレンタルサーバーが取得したものを使用するので運用企業の信頼性が担保されなかったり、場合によっては本質的な暗号化通信を盗聴される恐れもあるようなので可能であれば独自SSLの導入の方が良いといえます。

認証局の違いによるSSLの違い

これまで認証レベル、独自か共有かの違いを説明しましたがSSLサーバー証明書を発行する認証局にもブランドというものがあります。

イメージ的にはドコモやソフトバンク、auといった大手キャリア内での違いや格安スマホを取り扱うuqモバイルやマイネオ等の違いといった所でしょうか。
電話をかけてメールを送受信できる点ではどこも同じだとしてもサポートや知名度などが異なってきます。

有名ブランドほど費用は高くなりますが、有名だからといって完全に安心かというとそうでもないようです。
ウイルス対策などで有名なシマンテック系のSSL (Thawte、VeriSign、Equifax、GeoTrust、RapidSSL なども)の一部が無効になってしまうようです。
既にSSLを導入されている場合注意が必要です。

参考:Symantec の PKI の無効化について: 要対応確認

まとめ

SSLの導入に関してはサーバーの要件や費用もかかることなので必要な企業がタイミングを見計らってというのが一番ですが、Googleの仕様変更によりその動きが加速化するのは間違いないと思いますのでどの企業も一度導入を検討する時期にあると言えます。
ただその際に中途半端なSSLを導入してもあまり意味がないですし、適切に管理していないと有効期限切れ等逆効果になってしまうので企業認証もしくはEV SSLを導入し適切に管理する必要があります。

参考:2016年「この接続ではプライバシーが保護されません」表示されてるけど大丈夫?

SSL対応は必要?不要? SSL化のメリットデメリット

投稿日:

ウェブサイト制作やリニューアルにおいてSSL対応するかどうかは一つのポイントです。

SSL対応することによるメリットはありますが、デメリットもあります。

結論としてはSSLに対応するかしないかはどちらが絶対に良いというものではないので、メリットデメリットやタイミングなどを踏まえた上で判断する必要があります。

SSL対応とは

そもそもSSL対応とはなんでしょうか。
SSLとはインターネット上でデータを暗号化して送受信する仕組みのことです。

通常ウェブサイトのURLの先頭はhttp:となっていることが多いですが、SSL対応している場合https:となります。
URLの変化だけではなくブラウザやSSLの種類によってはマークがついたり色が変わったりします。

SSLには主に2つの役割があります。

暗号化通信

インターネットの世界は自宅からアメリカのウェブサイトを閲覧できたりと国境などがなくどこにでも接続できるのが特徴であり強みですが、技術を悪用すれば情報を盗聴(盗み見る)もできてしまいます。
例えばそれがネットショッピングでの個人やクレジット情報だったりすると本人が知らずのうちに被害は大きくなってしまいます。

SSL化で暗号化することでそういった被害を防ぐことができます。

サイト運営元の確認

世の中には海賊版や偽ブランドといったコピー商品が出回っていたりしますが、インターネットの世界でもコピーサイトを作ることは比較的簡単に出来てしまいます。
フィッシングと呼ばれ、元のサイトとそっくりな偽サイトを作成しそこに入力した情報を不正に取得されてしまいます。

そんな時に公式サイトか偽サイトかの判断の一つとしてSSL化しているかどうかが役立ちます。

SSL化するにはSSLサーバー証明書と呼ばれる電子証明書が必要で登録する際に審査があるので、SSL化されているということは実態があるちゃんとした企業が運営しているサイトという証明にもなります。

httpsだから絶対安全というわけではない httpだから危険というわけでもない

やりとりを暗号化してくれて、偽サイトかどうかを判断する目安の一つとしてのhttpsですが、URLがhttpsになっているから安全!という決めつけは危険です。

実際に偽造したサーバー証明書を使用したSSLのフィッシング詐欺サイトが確認されたとセキュリティ企業のシマンテックが過去に発表しています。
ブラウザの警告情報などにも注意を払うことが必要です。

参考:他社にて発生した不正な証明書発行について
参考:フィッシング対策の心得

逆にhttpだから危険なサイトかというとそういうわけではありません。様々な要因で未だSSL化していないウェブサイトは多いですし、通常の閲覧利用において問題になることは少ないかもしれません。

SSLが広まっている背景

昔はネットショップのカートや、大きな公的機関ぐらいしかSSL化したサイトを見かけなかった気がしますが、最近はSSL化したサイトが多くなっています。

グーグルの発表によるとWindowsChromeの2016年測定で55%がhttpsだったようです。
参考:https://www.blog.google/topics/safety-security/say-yes-https-chrome-secures-web-one-site-time/

背景としては検索エンジンのグーグルがSSL化に舵をきったのも大きいと思います。

グーグルとSSL主な経緯

2012年:デフォルトでのグーグル検索をSSL暗号化

2014年:SSL化をSEOの順位評価の要因に

2017年10月以降:ウェブブラウザのグーグルクローム最新バージョンにおいてSSL対応していない入力フォームのページでは「保護されていません」との表示が出る。シークレットモードにおいては全てのhttpのページに「保護されていません」との表示が出る。

SSLまめ知識 SSLは存在しない!?

今までさんざんSSLと言ってきましたが、今ではSSLを利用しておらず、SSLは存在しないようです。

???

というのはSSLのバージョンアップの過程でSSL3.0からTLS1.0という規格に移行したようで、現在ではTLSといった規格が使用されています。
但し、暗号化=SSLという名称で広く普及したため混乱を回避するためにも一般にはSSLの名称をそのまま使用したり、SSL/TLSと併記するようです。

SSL化のメリット

少し余談を挟みましたがウェブサイトのSSL化のメリットはどんな所があるでしょうか。

  • ユーザーの安心感
  • 「保護された通信」とURLに表示されればユーザーの安心感が増します。

  • セキュリティの向上
  • 情報の盗聴や、通信過程での改ざん、フィッシングの防止に繋げることができ、そういった被害にあった場合でも対抗力を持つことができます。

  • リファラー(参照元)の取得
  • アクセスログ分析の項目でリファラー(参照元)というものがあります。
    他社のウェブサイトに自社のサイトがリンク付きで紹介されていて、そのリンク経由でサイトに訪問した場合、どのサイトから訪れたかというのを知ることができます。
    被リンクはSEOにおいてもウェイトが高いのでリファラーも重要なポイントですが、他社のサイトがSSL化していて、自社サイトがSSL化していない場合リファラーが記録されなくなり分析ができなくなります。
    自社サイトをSSL化することでリファラーを取得できるようになります。

    まとめると下記です。

    他社(リンク元)→自社(リンク先)
    http→http ○ 
    http→https ○
    https→http ×
    https→https ○

    逆を言うと自社サイトをSSL化することでSSL化していない他社サイトにリファラー情報を渡せないというデメリットも生じますが、タグを修正(meta name=”referrer”)することで対処は可能です。
    但し、IE(インターネットエクスプローラー)では対応していないなど万能ではありませんが。

  • ウェブページの表示速度があがる
  • 技術的な話題になりますが、次世代プロトコル「HTTP/2」が登場しウェブページ表示速度の向上が図られているのですが、その効果はhttpsだけに対応するようです。
    表示速度の向上はユーザー利便性に繋がります。

    参考:実はHTTPSは速い!次世代プロトコル”HTTP/2″でサイト表示が高速化

  • SEO効果、サイトの順位が上がる!?
  • SEOの評価指標になっているので効果はあると思います。
    但し、SSL化していないことが順位低下の要因にはなりませんし、SEOの比重の多くはウェブサイトのコンテンツの質や内容と被リンクにあるため効果は限定的だと思います。
    SSL化したから順位が上がるわけではないということです。

SSL化のデメリット

メリットがあればデメリットもあります。

  • 手間と費用がかかる
  • 最大のデメリットはこれかもしれません。
    新規のウェブサイト制作の際にSSL対応するのであればそこまで手間はかからないかもしれませんが、既存のウェブサイトを修正してSSL化する場合は、やはり手間が生じます。

    ・SSL証明書の申請、購入
    ・SSL証明書のインストール、サーバー設定
    ・HTTPSページ内のHTTPリソースの書き換え
    ・CMSを利用している場合はCMS内の設定変更
    ・全ページの動作確認
    ・HTTPからHTTPSへのリダイレクト設定
    ・グーグルアナリティクスやサーチコンソールといった解析ツールの設定変更
    等々・・・。

    制作業者に依頼する場合は費用も発生します。

    費用にはウェブサイト制作業者への作業費以外にも、SSLサーバー証明書を発行する機関への取得や更新維持費がかかってきます。
    ピンキリで数千円から数十万円など。

    SSLサーバー証明書には大きく3種類あり、種類によって費用や審査の難易度が変わってきます。
    ・ドメイン認証型SSLサーバー証明書
    ・企業認証型SSLサーバー証明書
    ・EV SSLサーバー証明書

    EV SSL サーバー証明書は最も費用や審査難易度が高いですが、その分信頼性が高くURL表示が緑になるという特典も。

    グーグルクロームの場合

    IE(インターネットエクスプローラー)の場合
    ssl ie

  • サーバーが対応していないことも
  • 現在使用しているサーバーがSSLに対応していない場合、更にSSLに対応したサーバーへ移行させるという作業が必要になります。
    基本的には維持コストも高くなります。

  • ソーシャルシェアボタンのカウントがリセットされる
  • 最近はブログなどの記事にソーシャルシェア(いいね等)のボタンを設置するケースも多いですが、SSL化してURLがhttpsに変更になった場合、別の記事とみなされて今までのカウントがゼロになってしまうようです。

    ソーシャルシェアのボタンの数字の数は良質なコンテンツの目安にもなりますし、長い間運営していればしているほどSSL化に踏み出しにくいデメリットかもしれません。
    但し、対処法は色々と紹介されているのでそちらも含めての検討が必要です。

  • SSLサーバー証明書の期限がきれたまま放置すると逆効果
  • 一度制作してしまうと自社サイトは中々自分ではチェックしないものです。

    SSLサーバー証明書には有効期限があるので更新などの手続きが必要ですがそれを怠ると「この接続ではプライバシーが保護されません」等のメッセージが表示されることがあります。

    このように表示されてしまうとSSL化していないhttpのサイトよりも危険な印象を与えてしまい、せっかくの訪問機会を逃すことになります。

    参考:「この接続ではプライバシーが保護されません」表示されてるけど大丈夫?

まとめ

ウェブサイトのSSL化にはメリットもあればデメリットもあります。

特に問い合わせフォームなどを設けていないサイトに関しては運営者側としては必要性や緊急性は薄いかもしれませんし、フォームを設けている場合でもサイト全体ではなく問い合わせフォームのページなどだけをSSL対応するという方法もあります。

また新規のウェブサイト制作よりも既存のウェブサイト修正での対応の場合はハードルが上がるのでSSL化だけをするのか、これを機会に全体リニューアルを図るのかなどメリットやデメリットを考慮しタイミングをみて検討する必要があります。

但しグーグルの方向性としてはSSLを推し進める方向にあるので今後必ず検討は必要になってくるでしょう。

「この接続ではプライバシーが保護されません」表示されてるけど大丈夫?

投稿日:

色々なウェブサイトを閲覧しているとたまにエラー警告が表示されるページに出会うことがあります。
https
※ブラウザによって表示され方は異なります。

フィッシング詐欺などにあわない為にもこういった警告は訪問者にとっては便利ですが、仮に自分のウェブサイトで表示されてしまっていたらどうでしょうか。

まだ既存のクライアントに閲覧された場合でしたらおかしくなっている旨の連絡をくれたりと大きな影響はないかもしれませんが、新規で訪れた人に警告が表示されてしまっては大きな機会損失に繋がりますし信頼度は大きく下がってしまいます。

自社サイトなので悪意をもって制作しているわけではないとすると、原因としてはsslの不具合になるかと思います。

SSLとは

SSL(SSLサーバー証明書)とはSecure Socket Layerの略で、直訳しても分かりにくいですが、ポイントとしては情報を暗号化することにより、クレジットなどの機密情報や個人情報をサイト上で扱う際に守る仕組みです。

対応の見分け方としてはアドレスがhttpsとなっていたり、鍵マークがつくので分かりやすいかと思います。

SSLサーバー証明書には暗号化と実在証明の役割があります。

暗号化

key
暗号化とは例えば自宅のパソコンからネットショッピングをする際にクレジットカード番号などを入力した場合、その情報はインターネット網というリアルな世界で言えば公道を通ることになるので悪意をもった人には盗聴されてしまうリスクが存在します。

そんな時に仮に盗聴されても中身が分からないようにSSLサーバー証明書を使い暗号化します。

実在証明

暗号化によりせっかく中身が分からないようにお店まで情報を運んだのにそのお店が実は意図したお店と違った場合暗号化も意味がありません。
実はハリボテの架空店舗で情報だけ取られているかもしれません。
それを防止するのが実在証明です。
認証事業者がサイトの運営元を審査し証明します。
認証がおりれば証明書をダウンロードしてサーバーへインストールすることで有効化できます。

証明書の有効期限切れなどに注意

SSLの主な役割が分かったところで本題に戻ると自社サイトでエラーが出るとはこのSSLの証明が上手く設定できていなかったり、有効期限が切れてしまっている場合が考えられます。
認証は永続的でなく更新が必要になるのでこちら更新も忘れないようにしないといけません。

「この接続ではプライバシーが保護されません」以外にもいくつかメッセージがあるので対応参考下記から確認下さい。
認証事業者によっても異なります。

参考:セキュリティ警告と対処方法(シマンテック)

参考:エラーについて(グローバルサイン)

実在証明などある程度の信頼性の目安となるSSLですが、期限切れなど適切に対応していなければ逆に信頼を損ねて機会損失してしまうことにもなるので気を付けましょう。

ページトップへ