2018年7月にアップデートされたブラウザ「Google Chrome 68」より、常時SSL化されていないホームページにはアドレスバーに「保護されていません」の警告が表示されるようになりました。Web業界では、以前よりホームページの常時SSL化が急務とされており、日本国内でも対応が進んできています。
Google社のレポートによると、日本国内のChromeでの常時SSL(HTTPS)の使用状況は69%(Windows版 / 2019年1月時点)。常時SSLは着々と普及しており、一部の大企業や大手サイトだけが導入すればいい時代ではなくなってきています。
今のところ、未対応の影響を感じていない方にも、今あらためて理解しておいていただきたい、常時SSL化が与えるホームページへの影響をまとめました。
SSLは「Secure Sockets Layer」の略で、WebブラウザとWebサーバー間でデータを暗号化してやりとりする仕組みです。SSLを利用することで、第三者によるデータの盗聴やなりすまし、改ざんなどを防ぐことができます。
自分が閲覧しているサイトが常時SSLに対応しているかどうかは、アドレスバーに表示されるURLで見分けることができます。常時SSL未対応のサイトは「http://」 から始まるURLですが、常時SSL化されたサイトはsecure(安全)を意味する「s」が加わり、「https://」から始まります。
以前は、お問い合わせやログインページなど、個人情報を取り扱うようなフォームにのみSSLが適用されることが一般的でしたが、「常時SSL」とは、サイト内すべてのページをSSL化することを意味します。
では今、なぜこれほど常時SSL化が求められるようになったのでしょうか。
前述したように、Googleは2018年7月にリリースした「Google Chrome 68」から、HTTPS対応されていないホームページを表示した場合、アドレスバーに通信が安全でないことを通知するラベルを表示するように仕様を変更しました。
Chromeのほかにも、Firefoxでは常時SSL未対応サイトに「斜線で消された鍵マーク」や「この接続は安全ではありません」のメッセージが表示されるなど、主要ブラウザでHTTP/HTTPSを区別し、ユーザーに通知することが一般的になってきています。
このような常時SSL化を広める動きは、「インターネットのセキュリティレベルを底上げしなければならない」というWeb業界全体の危機感に由来します。近年では、公衆無線LANが普及し、安全性の低いネットワークを使う人が急激に増えました。そのため、サイバー攻撃やネット犯罪のリスクは全世界的に高まっています。そこで、Google社をはじめとしたWeb業全体が、インターネット通信の安全性・信頼性を確保するため、自らHTTPS化を促進しているのです。
では、常時SSLに対応することで、自社のホームページには具体的にどのようなメリットがあるのでしょうか。
常時SSL未対応サイトは、ブラウザ上でアラートされることは前項でも述べました。「安全ではない」ことが通知されると、ユーザーが不安を感じたり、サイトを離脱したりしてしまう恐れがあります。このため常時SSLに対応することは「ユーザーに安心感を与える」というメリットにつながるのです。また、このほかにも常時SSL化は、ホームページによい影響があります。
Googleは2014年から、HTTPS対応のホームページの検索表示順位を未対応のホームページより優遇する仕組みを導入しました。HTTPS 配信に変更したからといって、検索順位が急激に上昇するわけではありませんが、今後もSEO対策上、重要な要素になってくる可能性があります。
近年、「HTTP/2」という新しい通信方法が普及してきています。これは、WebページのデータをWebサーバーから取得するための技術のひとつで、容量の大きなデータや複雑化したホームページをすばやく表示することができます。
この新しい通信方法を利用するためには、HTTPSで接続することが必要なのです。そのため、HTTPSに対応することは結果的に表示待ち時間の短縮につながります。
Google Analyticsなどで、アクセス解析をする際に気をつけたい内容です。ユーザーがHTTPSサイトからHTTPサイトに流入した場合、リファラー情報(※)は「ノーリファラー(参照元なし)」として計測されます。常時SSLの普及率が高まるなか、自社サイトが常時SSL未対応のままでは不正確な「ノーリファラー」カウントが増え続けてしまうのです。正しいアクセス解析をするためにも、常時SSL化は不可欠な要素です。
※リファラー情報とは:ユーザーがどのサイトから訪れているかを示す情報
常時SSL化を実施する前に、確認が必要なポイントがいくつかあります。ホームページの常時SSL化を検討されている方は、以下の内容をチェックしましょう。
常時SSL化には、「SSL証明書」という書類を取得する必要があります。無料で取得できるものもありますし、有料のものだと数千円から20万円くらいまで幅があります。
SSL証明書はサーバー管理会社が用意するため、事前にいくらかかるか確認しておきましょう。
そもそも、現在利用しているサーバーがSSL証明書に対応していなければ、常時SSL化を実施できません。
レンタルサーバーを利用されている場合、業者やプランによってはSSL証明書に対応していないこともあります。そのときは、プランの変更またはサーバーの乗り換えが必要になりますので、確認しましょう。
ホームページに、地図や動画など外部サービスを埋め込んで利用している場合、そのサービス提供元がHTTPSに対応しているかも確認しましょう。
GoogleマップやYouTubeだと、HTTPS対応の埋め込み用コードを発行しているため問題ありませんが、HTTPS非対応のサービスを埋め込んでいると、表示がブロックされるなど「安全ではないホームページ」と判断されますので、注意が必要です。
最後に、常時SSLに対応するための具体的な作業や手続きを確認しておきましょう。
まずは、現在利用しているWebサーバーが、HTTPSに対応しているかどうかを確認します。現在では、ほとんどのレンタルサーバー会社がHTTPS対応していますが、まれに古いサーバーでは利用できない場合があります。
SSL証明書には、無料で利用できるものと、有料で取得するものがあります。
無料サービスで代表的なのは「Let's Encrypt(レッツ エンクリプト)」です。アメリカに本拠地を置く非営利団体「電子フロンティア財団」がSSL証明書を発行します。無料といっても安全性は確保されており、有料の証明書と同様の暗号化強度を持ちます。
有料サービスで代表的な大手認証局は、「GMOグローバルサイン」や「シマンテック」「ジオトラスト」です。証明書の種類によっては、会社の印鑑証明や登記簿謄本などを提出したうえで審査が必要になるため、事前に申し込み方法や取得にかかる期間を確認しておきましょう。
常時SSL化にあたってはURLが「http://」から「https://」に変わります。SSL証明書のインストールが済んだら、サイト内のリンクの設定を変更する必要があります。画像ファイルやCSS、またサイト内に組み込んでいるYouTubeやGoogle Map等の外部サービスにHTTPが残っていると、混在エラーが起きてしまうため、注意が必要です。
URLが変わるため、外部サイトからのリンク(ブックマーク等)を引き継ぐためには、リダイレクト設定も必要です。リダイレクトとは、以前のURLにアクセスしても新しいページへ転送してくれる設定です。
このように、常時SSL化は、時代のニーズに合わせて「常識」として求められるようになってきています。今後は、未対応のホームページは信頼性や検索順位において不利な状況になることも考えられます。
しかしながら、常時SSLの対応には手間もかかるため、小規模サイトの運営者はなかなか手をつけられない状況もあるでしょう。最近のCMS(Content Management System)サービスのなかには、SSL対応が含まれているものもあります。思いきってサイト全体をリニューアルすることも選択肢に入れ、常時SSL化への対応を計画的に進めましょう。