Webサイトは常時SSLが主流ですが、個人や中小企業のサイトではまだ対策されていないところも多いですね。
常時SSL化とはWebサイト全体をSSL(HTTPS)による通信で暗号化し、サイトと通信を保護することです。
以前はお問い合わせフォームなどのユーザーが情報入力する部分だけ暗号化する施策が一般的でした。
それが2012年の米国のセキュリティカンファレンスで常時SSLが提唱されて注目を集めはじめ、2017年のGoogleが常時SSLを優遇する対策を打ち出したのを契機に一気に機運が高まりました。
今回はなぜ常時SSLが必要なのか、Webサイトの常時SSL化によって何が変わるのかをご説明します。
なぜ常時SSL化が必要なのか?
私たちがWebサイトを閲覧する時、通信の裏側では様々な情報がやりとりされています。
以前は閲覧中のWebサイトと文書や画像など、閲覧に必要な情報をやりとりするだけでした。
しかしインターネットの広がりに伴い、アクセス解析やWeb広告などの技術が普及し、現在はCookie(クッキー)という仕組みを使って、サイトの閲覧者の情報を集めるようになっています。
以前は情報集めというとアンケートフォームなどを使い、ユーザーに自分で情報を入力してもらうのが主流だったのですが、今は「どの地域の人が」「どんなサイトを閲覧しているのか(どんなジャンルに興味があるのか)」といったことをCookieを使って自動で集められるようになっています。
これらの情報一つ一つは個人を特定できるものではないのですが、複数の情報を組み合わせることにより個人を特定できてしまうケースもあります。
暗号化されていないページはこれらのCookie情報も暗号化されずにやりとりされていますので、簡単に盗み見ることが可能です。
これだけでもセキュリティ上の脅威として認識いただけると思いますが、さらにやっかいなのは暗号化されていないCookieを検出し、簡単に盗み見るツールが開発・公開されてしまいました。
今では専門知識を持たない子どもでも簡単にCookieを盗むことができる時代となっています。
たまに「ウチのサイトでは見られて困るような情報のやりとりはない」と考えている方がいますが、それは大きな間違いです。
例えばそのサイトにGoogleアナリティクスなどのアクセス解析用のタグがあった場合、それだけで上述したようなユーザー情報のやりとりが発生してしまいます。
ユーザーとの通信情報を守るだけでなく、みなさんのサイトに安心して訪問してもらうためにも、常時SSL化は必須といえるでしょう。
非SSL通信のデメリット
常時SSL化しないことによるセキュリティ上の脅威についてはお分かりいただけたかと思いますが、現在は単なる脅威にとどまらず、常時SSL化されていないサイトには分かりやすい形でデメリットが発生するようになっています。
Google Chromeでの警告
Google Chromeを利用中のユーザーがSSL化されていないページを閲覧した際、下図のようにアドレスバー横に「保護されていない通信」という文字が出現します。
多くのユーザーはサイトの閲覧に不安を感じ、直帰してしまいます。
Google Chromeのシェアは国内、海外ともにNo1(2020年2月時点)ですので、サイトのページビュー数に大きく影響が出てきます。
SEO対策に不利
GoogleはChromeだけでなく、検索エンジンでも常時SSLを優遇する措置を実施しています。
2014年にGoogleは以下の文書を発表しました。
こうした理由から、Google では過去数か月にわたり、Google のランキング アルゴリズムでのシグナルとして、暗号化された安全な接続をサイトで使用しているかを考慮に入れたテストを実施してきました。この実験ではよい結果が得られているため、ユーザーがもっと安全にサイトを閲覧できるよう、すべてのサイト所有者の皆様に HTTP から HTTPS への切り替えをおすすめしたいと考えています。
Google ウェブマスター向け公式ブログ:HTTPS をランキング シグナルに使用します
Google では常にユーザーのセキュリティを最優先に考え、長年にわたってウェブの安全性の向上やブラウジング体験の改善に取り組んできました。Gmail、Google 検索、YouTube では以前からセキュアな接続を実現しており、昨年は、検索結果での HTTPS URL の掲載順位を若干引き上げる取り組みにも着手しました。(中略)この流れの一環として、Google は、より多くの HTTPS ページを探すよう、インデックス システムを調整していることをお知らせします。
Google ウェブマスター向け公式ブログ:HTTPS ページが優先的にインデックスに登録されるようになります
つまり、常時SSL化されていないサイトは検索エンジンからペナルティを受けているような扱いとなり、SEO対策で不利になってしまいます。
アクセス解析や広告の運用がまともにできない
アクセス解析やWeb広告の表示にCookieが使われているのは上述した通りです。
設定にもよりますが、基本的にCookieはSSL通信時にのみ受け渡し可能となっています。
そのため非SSLページからはアクセス解析や広告表示に必要な情報を受け取ることがができないため、精度が低くなる傾向があります。
アクセス解析であれば正確な分析ができない。Web広告であればユーザーの嗜好に合わせた効果的な表示ができないといったデメリットになります。
常時SSL化は「推奨」から「必須」に変わった
常時SSL化によって、これらのデメリットは全て解消されます。というより、ビジネスを成功させるためには「必須」の対応です。
以前から暗号化されていない通信による問題は指摘されていましたが、それらは「やった方がよい」レベルのものでした。
しかし対策しないことによるデメリットが顕著になっていることから、現在は「やらないといけないこと」に変化してきています。
常時SSL化によって、初めてインターネットの世界でビジネスするためのスタートラインに立てると言えます。
通信の暗号化だけなら無料でできる
では、どうすれば自分のサイトを常時SSL化することができるでしょうか。
レンタルサーバーを利用している方であれば簡単で、設定画面上から簡単にサイト全体をSSL化することが可能です。
設定方法は会社によってまちまちなので、契約しているレンタルサーバー会社のサイトを確認してみてください。
SSLは通信を暗号化するだけでなく、Webサイトの運営団体が実在しているかなどの証明にも使われます。
そのため通常はSSL通信をするためには認証局からの証明書が必要となり、その取得にはお金がかかります。
しかし、暗号化通信だけであればレンタルサーバー会社が提供する無料のSSLによって実現できます。
自前サーバーであれば「Let's Encrypt」という機関が発行する証明書を使用することで無料でSSL化を行うことができます。
Let's Encryptは、米国の非営利団体「ISRG(Internet Security Research Group)」によって運営され、無料SSLの中では世界で最もメジャーな証明書発行機関です。
証明書の有効期間は90日間と短いのですが、簡単なスクリプトで自動更新することができるため、実質無期限に利用可能です。
実はレンタルサーバー会社の無料SSLも、ほとんどがこのLet's Encryptを使って実現しています。
無料で簡単に常時SSL化は実現できますので、自分のサイトもこの機会にぜひSSL化しましょう。