サイト制作者や会社のホームページ担当者であれば知っておくべきことの一つに「サイトSSL化」があります。
インターネットが普及し、様々なサービスが展開している中で、個人情報やクレジットカード情報など、インターネット上で個人を特定する情報をやりとりするケースが増えてきました。
そのようなやり取りを安全に進めていくためには、サイト上のセキュリティが不可欠となっており、インターネット会社大手のGoogleでは、サイトSSLを推奨し、SSL化されていないサイトには評価を下げるような取り組みも行われています。
ここでは、サイトSSL化の重要性やサイトSSLのメリット、SSL化までの道のりについてご紹介しています。
サイトSSL化って何?
あなたはサイトSSLと言う言葉を聞いたことがありますか?
サイトSSLとは、インターネット接続において、セキュリティが高いページであると言う証明のようなものです。
よくインターネットのブラウザの下部などに鍵のマークが表示されているのを見たことがある人も多いかも知れません。
現在のところは、インターネット通販で、クレジットカード情報を入力するとか、氏名、住所、電話番号などの個人情報を入力するページには設置してあるのですが、あとのページには設置されていないことが多いのです。
また、サイトが一定のセキュリティー・レベルに達していないとセキュリティ警告が発せられる場合もあります。
「保護されていません」と言う、おなじみの警告を見慣れたことがある人も多いかも知れませんね。
この警告を発するのは世界一のインターネット企業、Googleです。
Googleは創業当初は検索エンジンを運営する一企業でしかありませんでしたが、最近ではいろいろなサービスに手を広げ、まさに世界のインターネットを牛耳っている世界的な企業だということができます。
どのブラウザで警告されるのか?
サイトSSL警告はGoogleのブラウザ「Chrome」によって発せられます。
Googleはいまではブラウザを始め、スプレッドシートやエディタなどのサービスも展開していますが、たんなる検索サイトの時代から、セキュリティを最優先事項としており、Chromeブラウザが登場してからも、HTTPSサイトの優遇から始まり、個人情報などの入力があるHTTPサイトでは、警告するなどの行動を起こして来ました。
どのように警告されるのか?
HTTPSで始まるアドレスで「サイトSSL化」がされていないと、Chromeの68以前はインフォメーション・マーク、68からは「保護されていません」警告、さらに2018年10月リリースの70ブラウザでは、アラートが赤字で表示される予定となっています。
サイトSSL警告の経緯は?
GoogleのサイトSSL警告の経緯とは、どんなものなのでしょうか?
Googleは「セキュリティは、最優先事項」と言うくらい、重要視しています。
Googleのブラウザと言えば、今ではChromeが有名ですが、2010年に、まだ検索サイトしかやっていなかった時代からGoogleは自社の検索サイトをSSL化して来ました。
さらに2014年になると、検索結果でHTTPSサイトの優遇を始めました。
2017年にはChrome56ブラウザが登場し、HTTPサイトで、クレジットカード番号やパスワードの入力がある場合に、警告表示をはじめました。
同じく2017年、Chrome62ブラウザにて、HTTPサイトで入力フォームがある場合にはすべて警告表示を始めました。
さらに同年、Chrome63ブラウザにてFTP接続で警告表示を開始しました。
2017年には、GoogleのChromeはセキュリティに関しては、グッと前進したと言わざるを得ません。
Chromeの68以前にもGoogleにはブラウザが存在しましたが、以前のブラウザでは、アドレスの前に「i」のインフォメーション・マークだけが表示されていました。
そして2018年、7月リリースのChrome68ブラウザにて、HTTPサイトと言うだけで、「保護されていません」と言う警告を表示すると言う公式アナウンスがされました。
これにより、Googleの常時SSL化推進が一気に進んだとも言えますが、まだ大手のサイトでも、SSLに対応していないサイトもあるので、Googleにしてみれば、もどかしい思いをしたことでしょう。
さらに2018年の10月にはChrome70が登場予定です。サイトが常時SSL、つまりhttpsで始まるアドレスでなければ、ユーザーが警告やあるいはそれ以上の、赤字で「保護されていない通信」というアラートが出るなどの、SSL化されたブラウザを使っていない通信が、何らかの影響を受ける可能性が出て来ました。
なぜ、警告が必要なのか?
セキュリティを最優先に掲げているGoogleですが、Googleの提供するウェブブラウザChromeを使うメリットは、特に商品購入ページや採用、資料請求など、個人情報を扱うページであった場合、SSLで保護されていないページだと、アラートが出て、一目で保護されていないページだとわかります。
それにより、ユーザーは入力を控えたり、そのページから離脱したりします。
これもひとえにGoogleのユーザー保護に他なりません。もし、SSL化されていないサイトで個人情報を入力してしまったら、運が悪いと情報を盗まれてしまったりすることになりかねません。
また、ユーザーによく分かるようにアラートを表示することで、ユーザー、そのサイトの持ち主両方への啓蒙行為となります。
SSLサーバ証明書を手に入れたりして、サイトを常時SSLに対応させないと、いつまでたってもアラートが表示されることになり、サイトの持ち主にとってもいい結果は得られません。
赤字で表示される警告は、サイトの持ち主、ユーザーともにセキュリティ意識を持って欲しいと言う、Googleの願いでもあります。
常時SSLのメリットとは?
では常時SSLにすると、どのようなメリットがあるのでしょうか?
個人情報を守る事ができる
GoogleがサイトSSL化を推進している第1の目標はここにあります。
個人情報というと、クレジットカード情報や住所、氏名、年齢、電話番号などが思い浮かびますが、意外な盲点なのがcookieや閲覧履歴です。
これらのページは個人情報を入力するフォームなどが設置されているわけではありませんが、今までの閲覧履歴の中に、沢山の個人情報が含まれています。
具体的な例で言えば、スマホの公衆Wi-Fiです。
公衆Wi-Fiは安全ではなく、セキュリティが甘いと言われますが、この回線をSSL化するだけで、安全に使えるようになります。
このように、回線のSSL化は他人ごとではなく、自分の個人情報が公衆に晒されるか否かにも関係してくることなので、真剣に取り組んでいだたきたい事柄ではあります。
Googleの評価が上がる
元々はこの「常時SSL(HTTPS)をランキングシグナルに使用します」との発表をGoogleが行なったことにより、各サイトが常時SSL化に意識を向け始めました。
しかしすぐに常時SSL化されたサイトはごく僅かです。
意識改革だけでは叶わず、費用もかかることなので、各サイトとも意識を向けると共に、慎重に様子見といったところでしょうか?
しかしまだ「常時SSLサイト」としての認証を取ったサイトが少ないうちに、ちょっと頑張って常時SSLサイトとなると、Googleの評価もグッと上がるのではないか、との目論見も見え隠れします。
サイトの安全性の強化
例えばワードプレスなどで作られたサイトを常時SSL化しようとします。
ワードプレスのCMSサーバをそのままインターネットに晒すと改ざんや攻撃などの対象になり得ます。
しかし間にしかるべき静的サーバをかませ、ミラーサイトとして動かすと、ワードプレスの設定も変更しなくていいと言われています。
しかもこのミラーサイトが常時SSL化していますので、Googleの評価も最高ランクとなるようです。
ワードプレスの設定変更も不要なこの方法は、表示速度も速くなるため、推奨されています。
Googleアナリティクスの精度アップ
サイトを持ち、SEO対策をしている人なら必ず気にしているとも言える「Googleアナリティクス」ですが、サイトがSSL化していないと、Googleアナリティクスの重要な機能の1つである「リファラー」を参照することができません。
この「リファラー」は、英語のReferrer(参照元)から来ており、サイトの閲覧者がどこから訪問してきたか(Google、Yahoo!など)を表示してくれるのですが、SSL化されていないとdirect/noneと表示され、どこから来たかを知ることができません。
サイトSSL化されているとリファラーがすぐわかるので「Googleアナリティクス」での精度が上がると言えます。
サイトSSL化までの道のり
では、具体的にサイトSSL化までには、どんなことをしなければいけないのでしょうか?
証明書の取得
サイトSSL化の第一歩として、まずは、このサイトが常時SSLサイトである、という証明書みたいなものを取得する必要があります。
これは、証明書を発行する業者が沢山あり、まずはWebで申し込みをし、申込書やクーポンの発行後、指定のページにてSSL発行手続き、審査の通過後にSSLが発行されるといった流れになります。
証明書の設置・サーバ設定
常時SSL接続にしたら、「うちのサイトは常時SSL接続です」という証明書の発行が必要となります。
設置費用に加えて、年間費用も必要ですが、ミラーサイトを間にかます方法だと、この費用も不要となります。
既存ページの内部リンク変更
「内部リンク」という言葉を聞いた事がある方も多いかと思いますが、同じサーバ内にある、同じサイトの中で関連したサイトにリンクを張るという手法で、SEO的に大変効果があると言われています。
サイトSSL化すると、今まで内部リンクをしていた箇所もURLが変わってしまいますので、貼り直しが必要となります。
内部リンクの箇所が多いほど、大変な作業となりますが、サイトSSL化のメリットを考えると、避けられない作業です。
リダイレクト設定の追加・修正
サイトSSL化により、URLが変更になると、リダイレクトという作業をして、古いサイトから新しいサイトへ、言わばサイトを「転送」させなくてはなりません。
そのためには「301リダイレクト設定」をする必要があります。
この設定を怠ると、せっかく培ってきたサイトの「年齢」がリセットされて、0歳からになってしまう場合があり、SEO的にも大変重要な意味を持ちますので、必ず間違いなく設定しましょう。
https通信エラーページのチェック
サイトSSL化すると、HTTPSの通信エラーページのチェックも必要となります。
このHTTPS通信エラーページチェックは、正しくHTTPSページに対応できているかのチェックをする作業となります。
まず、テスト用の環境を用意しましょう。レンタルサーバなどでも、テスト用環境が提供されているケースが多いので、昔と比べたらずいぶんハードルが下がっています。
HTTPSのページの中に、従来のHTTPページが混在していると、サイトSSL化されたとは言えません。
従来は通販の決済サイトでクレジットカード情報や個人情報などを入力するページや採用のサイトなどではSSL化されていましたが、それ以外のページはHTTPSで接続はしていませんでした。
でもいまやサイトの安全性を確保するためには全ページのSSL化が求められています。
Chromeサイトで見ると警告が表示されますので、速やかにHTTPの箇所を修正しましょう。
証明書の更新・設置
ここまででサイトSSL化に関する手続きや作業は一通り終了しました。
しかしSSL証明書には期限があります。数年前までは有効期限が最長3年だったのですが、いまは2年に短縮されています。
期限が切れたかと言って、いきなり繋がらなくなるなどと言うこともなく、暗号化で通信できますが、サイトの評価に関わることなので、早めに更新したほうが良さそうです。
サイトSSLのまとめ
ここまで、サイト制作者や会社のホームページ担当者の方に向けて、サイトSSLとは何か、サイトSSLにするメリット、サイトSSLまでの道のりについてご紹介してきました。
ご説明してきたように、既存のサイトのページをすべてHTTPS?で始まるURLにし、「サイトSSL化」することは、非常に手間とお金がかかることでもあります。
しかし、世界のインターネットを牛耳るGoogleが、「常時SSL(HTTPS)をランキングシグナルに使用します」との発表をしている以上、それに従わなければ、サイトの安全性は保証されず、検索上位に入ることもできません。
また、サイトSSLの意味が分からず、何か自分から遠いもの、と思っていた人も、公衆Wi-FiがサイトSSL化すれば安全に使えるという例を挙げれば、いかに自分に近いものかが理解できるでしょう。
実情として、すべてのサイトがサイトSSL化してあるサイトはまだそれほど多くありませんが、サイトSSL化がいかに大切なものかを少しでも理解して頂ければ幸いです。