ウェブサイト制作やリニューアルにおいてSSL対応するかどうかは一つのポイントです。
SSL対応することによるメリットはありますが、デメリットもあります。
結論としてはSSLに対応するかしないかはどちらが絶対に良いというものではないので、メリットデメリットやタイミングなどを踏まえた上で判断する必要があります。
SSL対応とは
そもそもSSL対応とはなんでしょうか。
SSLとはインターネット上でデータを暗号化して送受信する仕組みのことです。
通常ウェブサイトのURLの先頭はhttp:となっていることが多いですが、SSL対応している場合https:となります。
URLの変化だけではなくブラウザやSSLの種類によってはマークがついたり色が変わったりします。
SSLには主に2つの役割があります。
暗号化通信
インターネットの世界は自宅からアメリカのウェブサイトを閲覧できたりと国境などがなくどこにでも接続できるのが特徴であり強みですが、技術を悪用すれば情報を盗聴(盗み見る)もできてしまいます。
例えばそれがネットショッピングでの個人やクレジット情報だったりすると本人が知らずのうちに被害は大きくなってしまいます。
SSL化で暗号化することでそういった被害を防ぐことができます。
サイト運営元の確認
世の中には海賊版や偽ブランドといったコピー商品が出回っていたりしますが、インターネットの世界でもコピーサイトを作ることは比較的簡単に出来てしまいます。
フィッシングと呼ばれ、元のサイトとそっくりな偽サイトを作成しそこに入力した情報を不正に取得されてしまいます。
そんな時に公式サイトか偽サイトかの判断の一つとしてSSL化しているかどうかが役立ちます。
SSL化するにはSSLサーバー証明書と呼ばれる電子証明書が必要で登録する際に審査があるので、SSL化されているということは実態があるちゃんとした企業が運営しているサイトという証明にもなります。
httpsだから絶対安全というわけではない httpだから危険というわけでもない
やりとりを暗号化してくれて、偽サイトかどうかを判断する目安の一つとしてのhttpsですが、URLがhttpsになっているから安全!という決めつけは危険です。
実際に偽造したサーバー証明書を使用したSSLのフィッシング詐欺サイトが確認されたとセキュリティ企業のシマンテックが過去に発表しています。
ブラウザの警告情報などにも注意を払うことが必要です。
参考:他社にて発生した不正な証明書発行について
参考:フィッシング対策の心得
逆にhttpだから危険なサイトかというとそういうわけではありません。様々な要因で未だSSL化していないウェブサイトは多いですし、通常の閲覧利用において問題になることは少ないかもしれません。
SSLが広まっている背景
昔はネットショップのカートや、大きな公的機関ぐらいしかSSL化したサイトを見かけなかった気がしますが、最近はSSL化したサイトが多くなっています。
グーグルの発表によるとWindowsChromeの2016年測定で55%がhttpsだったようです。
参考:https://www.blog.google/topics/safety-security/say-yes-https-chrome-secures-web-one-site-time/
背景としては検索エンジンのグーグルがSSL化に舵をきったのも大きいと思います。
グーグルとSSL主な経緯
2012年:デフォルトでのグーグル検索をSSL暗号化
2014年:SSL化をSEOの順位評価の要因に
2017年10月以降:ウェブブラウザのグーグルクローム最新バージョンにおいてSSL対応していない入力フォームのページでは「保護されていません」との表示が出る。シークレットモードにおいては全てのhttpのページに「保護されていません」との表示が出る。
SSLまめ知識 SSLは存在しない!?
今までさんざんSSLと言ってきましたが、今ではSSLを利用しておらず、SSLは存在しないようです。
???
というのはSSLのバージョンアップの過程でSSL3.0からTLS1.0という規格に移行したようで、現在ではTLSといった規格が使用されています。
但し、暗号化=SSLという名称で広く普及したため混乱を回避するためにも一般にはSSLの名称をそのまま使用したり、SSL/TLSと併記するようです。
SSL化のメリット
少し余談を挟みましたがウェブサイトのSSL化のメリットはどんな所があるでしょうか。
- ユーザーの安心感
- セキュリティの向上
- リファラー(参照元)の取得
- ウェブページの表示速度があがる
- SEO効果、サイトの順位が上がる!?
「保護された通信」とURLに表示されればユーザーの安心感が増します。
情報の盗聴や、通信過程での改ざん、フィッシングの防止に繋げることができ、そういった被害にあった場合でも対抗力を持つことができます。
アクセスログ分析の項目でリファラー(参照元)というものがあります。
他社のウェブサイトに自社のサイトがリンク付きで紹介されていて、そのリンク経由でサイトに訪問した場合、どのサイトから訪れたかというのを知ることができます。
被リンクはSEOにおいてもウェイトが高いのでリファラーも重要なポイントですが、他社のサイトがSSL化していて、自社サイトがSSL化していない場合リファラーが記録されなくなり分析ができなくなります。
自社サイトをSSL化することでリファラーを取得できるようになります。
まとめると下記です。
他社(リンク元)→自社(リンク先)
http→http ○
http→https ○
https→http ×
https→https ○
逆を言うと自社サイトをSSL化することでSSL化していない他社サイトにリファラー情報を渡せないというデメリットも生じますが、タグを修正(meta name=”referrer”)することで対処は可能です。
但し、IE(インターネットエクスプローラー)では対応していないなど万能ではありませんが。
技術的な話題になりますが、次世代プロトコル「HTTP/2」が登場しウェブページ表示速度の向上が図られているのですが、その効果はhttpsだけに対応するようです。
表示速度の向上はユーザー利便性に繋がります。
参考:実はHTTPSは速い!次世代プロトコル”HTTP/2″でサイト表示が高速化
SEOの評価指標になっているので効果はあると思います。
但し、SSL化していないことが順位低下の要因にはなりませんし、SEOの比重の多くはウェブサイトのコンテンツの質や内容と被リンクにあるため効果は限定的だと思います。
SSL化したから順位が上がるわけではないということです。
SSL化のデメリット
メリットがあればデメリットもあります。
- 手間と費用がかかる
- サーバーが対応していないことも
- ソーシャルシェアボタンのカウントがリセットされる
- SSLサーバー証明書の期限がきれたまま放置すると逆効果
最大のデメリットはこれかもしれません。
新規のウェブサイト制作の際にSSL対応するのであればそこまで手間はかからないかもしれませんが、既存のウェブサイトを修正してSSL化する場合は、やはり手間が生じます。
・SSL証明書の申請、購入
・SSL証明書のインストール、サーバー設定
・HTTPSページ内のHTTPリソースの書き換え
・CMSを利用している場合はCMS内の設定変更
・全ページの動作確認
・HTTPからHTTPSへのリダイレクト設定
・グーグルアナリティクスやサーチコンソールといった解析ツールの設定変更
等々・・・。
制作業者に依頼する場合は費用も発生します。
費用にはウェブサイト制作業者への作業費以外にも、SSLサーバー証明書を発行する機関への取得や更新維持費がかかってきます。
ピンキリで数千円から数十万円など。
SSLサーバー証明書には大きく3種類あり、種類によって費用や審査の難易度が変わってきます。
・ドメイン認証型SSLサーバー証明書
・企業認証型SSLサーバー証明書
・EV SSLサーバー証明書
EV SSL サーバー証明書は最も費用や審査難易度が高いですが、その分信頼性が高くURL表示が緑になるという特典も。
グーグルクロームの場合
IE(インターネットエクスプローラー)の場合
現在使用しているサーバーがSSLに対応していない場合、更にSSLに対応したサーバーへ移行させるという作業が必要になります。
基本的には維持コストも高くなります。
最近はブログなどの記事にソーシャルシェア(いいね等)のボタンを設置するケースも多いですが、SSL化してURLがhttpsに変更になった場合、別の記事とみなされて今までのカウントがゼロになってしまうようです。
ソーシャルシェアのボタンの数字の数は良質なコンテンツの目安にもなりますし、長い間運営していればしているほどSSL化に踏み出しにくいデメリットかもしれません。
但し、対処法は色々と紹介されているのでそちらも含めての検討が必要です。
一度制作してしまうと自社サイトは中々自分ではチェックしないものです。
SSLサーバー証明書には有効期限があるので更新などの手続きが必要ですがそれを怠ると「この接続ではプライバシーが保護されません」等のメッセージが表示されることがあります。
このように表示されてしまうとSSL化していないhttpのサイトよりも危険な印象を与えてしまい、せっかくの訪問機会を逃すことになります。
参考:「この接続ではプライバシーが保護されません」表示されてるけど大丈夫?
まとめ
ウェブサイトのSSL化にはメリットもあればデメリットもあります。
特に問い合わせフォームなどを設けていないサイトに関しては運営者側としては必要性や緊急性は薄いかもしれませんし、フォームを設けている場合でもサイト全体ではなく問い合わせフォームのページなどだけをSSL対応するという方法もあります。
また新規のウェブサイト制作よりも既存のウェブサイト修正での対応の場合はハードルが上がるのでSSL化だけをするのか、これを機会に全体リニューアルを図るのかなどメリットやデメリットを考慮しタイミングをみて検討する必要があります。
但しグーグルの方向性としてはSSLを推し進める方向にあるので今後必ず検討は必要になってくるでしょう。
