最近お客さんと打ち合わせをする中でホームページのSSL対応の話題が多くなりました。
SSLとは何ぞや?という方に簡単にお伝えすると、よく知られているキーワードとして「暗号化通信」と「セキュリティ向上」があります。
誤解含みで言うとSSL対応しているホームページは保護された安全なサイトということです。
日本においてSSL対応しているホームページというのは海外に比べあまり多くありませんでしたが、今後増えてくることが予想され導入を検討していく段階になっているとも言えます。
とはいえ、他社もSSL対応しているから自社でも導入をということではなくそのメリットや検討材料を集めて導入検討することが必要です。
SSLに関しては過去に何度かブログを書いているのでよろしければそちらも併せてご覧ください
参考:2013年レンタルサーバーにSSLは、必要なのか
参考:2016年自動返信メールは必要?注意すること。
参考:2016年「この接続ではプライバシーが保護されません」表示されてるけど大丈夫?
参考:2017年SSL対応は必要?不要? SSL化のメリットデメリット
なぜ今SSLが話題?その背景
SSLは今年新しくできた新技術というわけではなく昔から存在する技術です。
ではなぜ今話題になっているのでしょうか。
背景としてGoogleの発表があります。
Googleは今までにもSSLに関してアナウンスをしています。
・2014年 HTTPSへの切り替えをおすすめ
参考:HTTPS をランキング シグナルに使用します
・2017年 シークレットモードでのアクセス、入力フォームがあるサイトに警告表示の開始
参考:Chrome の HTTP 接続におけるセキュリティ強化に向けて
そして今回、
・2018年 Chrome 68 よりhttpすべてのサイトに「保護されていません」と警告表示されるように
参考:保護されたウェブの普及を目指して
SSLに限らずGoogleはアルゴリズムの変更などシステムやデザイン、UIで色々なマイナーチェンジを繰り返していますが目的としてはユーザーに有益な検索結果を安全に表示させるということがあります。
今回話題になったアナウンスはSSL対応していないサイトに対してSSL対応を促すための変更なのですが、これまでに比べてもインパクトが大きい変更になるので話題になっています。
具体的にはSSL化していないサイトに対しては常にブラウザのURL表示部分に「保護されていません」の表示がされるという変更です。
実はこの表示はシークレットモードでは既に導入されていましたがそれが通常の検索状態でも表示されるということです。
「保護されていません」=ただちに危険というわけではないですし、URL表示部分であまり目立たないかもしれませんが、気付いた人にとってはインパクトが大きい変更になります。
Googleの思惑には簡単に乗らない。SSL対応のメリットとは
今話題になっている背景から考えるとSSL対応は必須に思えてきますが、Googleの思惑に簡単に乗ってしまうのも面白くないので改めてSSL対応のメリットを確認してみます。
その前に一つ注意点として上記SSL対応に関する表示はGoogleのブラウザ、Google Chromeに限っての表示なのでマイクロソフトのブラウザ、EdgeやIEなどには当てはまりません。
自社サイトの訪問ユーザーの多くがマイクロソフト派だということでしたら取り急ぎの対策は必要ないという考えもありかもしれません。
以下SSL対応による主なメリットです。
- ・セキュリティの向上
- ・リファラー(参照元)の取得
- ・ウェブページの表示速度があがる
- ・ユーザーの安心感・信頼性
- ・SEOへの効果
情報の盗聴や、通信過程での改ざん、フィッシングの防止に繋げることができ、そういった被害にあった場合でも対抗力を持つことができます。
アクセスログ分析の項目でリファラー(参照元)というものがあります。
他社のウェブサイトに自社のサイトがリンク付きで紹介されていて、そのリンク経由でサイトに訪問した場合、どのサイトから訪れたかというのを知ることができます。
被リンクはSEOにおいてもウェイトが高いのでリファラーも重要なポイントですが、他社のサイトがSSL化していて、自社サイトがSSL化していない場合リファラーが記録されなくなり分析ができなくなります。
自社サイトをSSL化することでリファラーを取得できるようになります。
他社(リンク元)→自社(リンク先)
http→http ○
http→https ○
https→http ×
https→https ○
リファラーを増やすということはSEOの外部対策の評価判断としても大切なことなのでSSL化のメリットとも言えます。
次世代プロトコル「HTTP/2」が登場しウェブページ表示速度の向上が図られているのですが、その効果はhttpsだけに対応しています。
表示速度の向上はユーザー利便性に繋がります。
「保護されていません」よりは「保護された通信」とURLに表示されればユーザーの安心感が増し無用な離脱を防ぐことができますし、予め検索結果に表示されるURLで判断するユーザーの流入も増やすことができます。
過度な期待は禁物ですしGoogleが明確に順位が上がるなどと発表しているわけではありませんが、普及を目指して推奨し変更を加えていることからもSEO指標の一つとしてプラス影響することは考えられます。
メリットを考えるとSSL対応は必要だと思えますが、コストや手間も必要になってくるのでSSL対応が必須かどうかと問われると最後はサイトの目的や企業ポリシー、タイミング等にもなってきます。
ただ無視できる段階ではなく検討すべき段階に来ているということは言えます。
SSL対応の必要性
SSL対応の現状として自治体別では3分の2の地方自治体のホームページは常時SSLに対応していないというデータもあります。
参考:自治体の6割超、常時SSL接続未対応 – 実施率高いのは愛媛県
総務省や国土交通省といった行政機関のサイトも現在はSSL対応しておらず(今後は分かりませんが)、一方的な情報発信による情報提供が目的のサイトや企業の会社案内的なサイトなどは実務的な必要性が低いともいえます。
実務的な必要性が低いというのはSSLのメリットの一つにセキュリティの向上、不正アクセスや改竄を防止ができると述べたのですが、情報を暗号化してやりとりすることは重要でもサイバー攻撃の対象などになった場合それだけでは対応ができず、改竄を検知するための仕組みなどのセキュリティ対策が必要になってくるからです。
とはいえ、皆が皆SSLに関して詳しく知っているわけでもないですし、「保護された通信」と表示されるか、「保護されていません」と表示されるかだと後者の方がマイナス印象になるのは避けられないと思うので今後SSL対応したサイトにリニューアルする企業も増えていくでしょう。
SSLのタイプ選択。ドメイン認証SSL?企業認証SSL?EV SSL?
検討の結果、SSLを導入することが決定したら次のステップとしてはどのタイプのSSL(サーバー証明書)をどこの会社(認証局)から導入するかを検討する必要があります。
SSLには廉価(無料)で対応できるものから、月1万円以上かかる高額なものとピンキリです。
どこで値段の違いがでてくるのでしょうか。
SSLの役割である暗号化の機能に関しては、一部旧型の携帯機種などの対応への違い以外は無料でも高額なものでもほとんど差異はありません。
サーバー証明書の認証レベルによって料金の差が出てきます。
というのも仮に通信が暗号化していても相手方が本物のサイトに似せてつくったフィッシングサイトだった場合等は意味がなくなってしまいます。
安全性を担保するには相手方が信頼できるサイトなのかといった審査が必要になってきますが全てを厳重にしていたのではコストも時間もかかってしまうので信頼性の認証レベルに主に3段階の差を設けることで対応しています。
ドメイン認証(DV:Domain Validation)SSL
3段階の中では一番手軽に取得できるSSLサーバー証明書です。
法人登録していない個人でも認証できます。
ドメインの所有者に対してメールで所有権を確認したり、サーバーに指定のファイルを置くことで確認認証します。
手軽な反面ドメイン管理者であれば誰でも認証できてしまうため、フィッシングなどの悪意のあるサイトも通してしまい信頼性に劣ります。
ドメイン認証の中には無料で利用できるSSL(Let’s Encrypt)もあります。
企業認証(OV:Organization Validation)SSL
法人サイトではよく使われている認証です。
書類審査や電話確認などにより、法的に存在している企業や団体のサイトであることを認証します。
手間がかかりその分コストや時間がかかりますが、企業としての信頼性を担保するのならば企業認証レベルのSSLは必要になってくるでしょう。
EV(Extended Validation)SSL
3段階の中では一番コストと手間がかかる認証です。
企業認証+α、登記簿の調査や現地調査等が加わります。
企業認証でも企業としての信頼性には繋がりますが、コストと手間をかける特典としてURLのアドレスバーが緑色になったり、そこに組織名称が表示されることにより視覚的にも分かりやすく信頼性アップに繋がります。
予算さえ許せばEV SSLで行きたい所ですが、自社のサイトの特徴とコストを比較して検討が必要です。
独自SSL、共有SSL
SSLサーバー証明書の認証レベルによる違いを説明しましたが、お金さえかければ誰でもアドレスバーを緑色(EV SSL)にできるという分けではありません。
まずは法人である必要があるということと、使用しているウェブサーバーが対応しているかどうかというのもポイントの一つです。
共用のレンタルサーバーによっては指定のSSL証明書以外、独自で取得したSSL証明書の持込ができないことなどもあります。新規でウェブサイトを立ち上げる時は事前に考慮できますが、既に公開運用しているサイトでSSL対応する場合は注意が必要です。
また、独自ドメインで運用する独自SSL以外に共有SSLというものもあります。
よくあるのが、ショッピングカートなどを導入していてクレジットカードや個人情報の入力ページになるとURLがhttps//secureユーザID.sakura.ne.jp/独自ドメイン等独自ドメイン以外にサーバーのURLなど他の表記が加わるものです。
標準オプションでついていたりコストをかけずに導入できる共有SSLですが、URLが途中から勝手に変更されるということで人によっては不信感を与えてしまうということや、そもそもレンタルサーバーが取得したものを使用するので運用企業の信頼性が担保されなかったり、場合によっては本質的な暗号化通信を盗聴される恐れもあるようなので可能であれば独自SSLの導入の方が良いといえます。
認証局の違いによるSSLの違い
これまで認証レベル、独自か共有かの違いを説明しましたがSSLサーバー証明書を発行する認証局にもブランドというものがあります。
イメージ的にはドコモやソフトバンク、auといった大手キャリア内での違いや格安スマホを取り扱うuqモバイルやマイネオ等の違いといった所でしょうか。
電話をかけてメールを送受信できる点ではどこも同じだとしてもサポートや知名度などが異なってきます。
有名ブランドほど費用は高くなりますが、有名だからといって完全に安心かというとそうでもないようです。
ウイルス対策などで有名なシマンテック系のSSL (Thawte、VeriSign、Equifax、GeoTrust、RapidSSL なども)の一部が無効になってしまうようです。
既にSSLを導入されている場合注意が必要です。
参考:Symantec の PKI の無効化について: 要対応確認
まとめ
SSLの導入に関してはサーバーの要件や費用もかかることなので必要な企業がタイミングを見計らってというのが一番ですが、Googleの仕様変更によりその動きが加速化するのは間違いないと思いますのでどの企業も一度導入を検討する時期にあると言えます。
ただその際に中途半端なSSLを導入してもあまり意味がないですし、適切に管理していないと有効期限切れ等逆効果になってしまうので企業認証もしくはEV SSLを導入し適切に管理する必要があります。
参考:2016年「この接続ではプライバシーが保護されません」表示されてるけど大丈夫?
