エックスサーバーでも格安、無料で提供されているSSL。
「常時SSL化」も一部で騒がれているだけに、気になりますよね。
- そもそもSSLとは何なのか?
- メリット、デメリットは何か?
- 導入すべきか、見送るべきか?
この記事では、「常時SSL化」について検証していきます!
- 「http」と「https」の違いとは?
- 「SSL」とは?
- 「常時SSL化」とは?
- 「SSLサーバ証明書」とは?
- 「SSLサーバ証明書」の3つの種類と比較
- 「常時SSL化」のメリット
- 常時SSL化のデメリット
- 導入に費用がかかる
- 「HTTPS」に非対応のツールや広告が非表示になり、広告収入が減る
- 「リファラー」が渡せなくなる
- SSL/TLSで暗号化されたことにより、攻撃データも暗号化される
- 使っているサーバが、常時SSL化に対応しづらい場合がある
- SSL対応していないファイルを読み込むと警告が出てしまうブラウザがある
- 信頼性の低い認証は逆効果になる
- サイトの読み込み速度が遅くなる場合がある
- SEOの直接的効果は、2016年時点ではまだ薄い
- ソーシャル系ボタンのカウントがリセットされる
- 「常時SSL化」の移行中は一時的に検索トラフィックが落ちる可能性がある
- 「http」と「https」は別サイト扱いとなり、「サイトの引っ越し作業」が必要になる
- 「常時SSL化」をしているサイト事例
- 「常時SSL化」はするべき?するならいつ?
- 「常時SSL化」をする方法
- まとめ:「常時SSL化」はやっておきたい施策
「http」と「https」の違いとは?
URLの先頭の文字「http」はブラウザへの命令を意味する
「SSL」を説明する前に、まずURLの仕組みを説明します。
例えば、こんなURLがあったとします。
http://xserver.osusume-houhou.com/index.html
これは、「osusume-houhou.comというインターネット上の住所にある、xserverという名前のサーバーから、index.htmlというハイパーテキストを持ってきて、私のブラウザに表示してください」という意味になります。
この命令を受けたブラウザが、指示されたサーバーに行ってファイルを受け取り、ホームページを表示します。
URLを分解するとこうなります。
- http:プロトコル。ブラウザへの命令
- xserver:サーバーの名前
- osusume-houhou.com:ドメイン名。ネット上の住所
- index.html:ファイル名
「http」は命令文の「ハイパーテキストを持ってきて、私のブラウザに表示してください」に該当します。
「http」は「Hyper Text Transfer Protocol」の略称です。
直訳すると「ハイパーテキスト移動手続き」。
意味は「ある手続きに従って、ブラウザが表示するコンテンツを送りなさい」となります。
- 「ハイパーテキスト」は、直訳すると「文章を超えたもの」。ブラウザが表示するコンテンツのこと。
- 「Transfer(トランスファー)」は「転送、移転、送る」。
- 「Protocol(プロトコル)」は、「取り決め、手順、手続き、協定、ルール」。
「http」はブラウザへの命令です。
「http」の部分を、別の文字に変えるとブラウザは違うことをします。
例えば、このような意味になります。
- 「ftp」:ファイルを転送しなさい
- 「local」:ハードディスクのファイルを表示しなさい
- 「mailto」:メールソフトを立ち上げて新しいメールを書く準備をしなさい
URLの先頭の文字を「https」にすると、「データに鍵をかけて守れ」という意味になる
「http」はWWWという文字列でできた異世界から、見たいWebページを呼び出す命令(通信形式)です。
「http」を使うと、ブラウザを通して色々なページを見ることができます。
ところが、「http」はちょっと訓練した人にはサイトの内容を解読できてしまいます。
Webページを見るだけなら良いですが、Amazonなどの会員専用サイトだと問題があります。
買い物をする際は、ログイン情報、個人情報、クレジットカード情報を入力します。
「http」だと、第三者から解読できるので、このような重要な情報が解読され、盗まれる可能性があります。
この解読を防ぐために開発された形式が「https」です。
「https」は「Hyper Text Transfer Protocol Secure」の略称です。
「Hyper Text Transfer Protocol over SSL/TSL」という説もあります。
「Secure(セキュア)」とは「鍵がしっかり掛かって安全」という意味です。
「https」は「http」に加えて「鍵をしっかりかけて安全に通信しなさい」という命令になります。
「over SSL/TSL」とは、「SSL/TSL」という暗号を使いますよ、という意味です。
つまり「https」は、「SSL/TSL」という暗号を使って安全にやり取りしなさい、という命令になります。
「SSL」とは?
「SSL」は「Secure Sockets Layer」の略称で、インターネット上の通信を暗号化する技術のことです。
「SSL」は1994年にNetscape Communications社が提唱し、TLS(Transport Layer Security)はその後SSLを標準化したものです。
SSL3.0の次のバージョンがTLS1.0なので、「TLS」は「SSL」の後継になります。
「SSL」という言葉が広く一般に認知されたこともあって、今日でも「TLS」のことを「SSL」と呼ぶことがあります。
「SSL」は個人情報やクレジットカードなどの大切な情報を、第三者に知られないように、サーバー(Webサイト)とクライアント(PCやスマホ)の通信を暗号化し、安全なサイトの接続をします。
仮に、通信経路に盗聴器のような仕掛けがあり通信記録を見られても、SSL通信であれば通信内容を解読できません。
盗聴器のような仕掛けには、パケットスニファ(パケットアナライザ)という無線通信内容を解析するツールがあります。
本来はTWE-LITE(トワイライト)のソフトウエア開発時やシステムの動作解析を行う際に使いますが、悪用することもできます。
悪用の危険性がある以上、Webサイトは「SSL」で通信情報を守る必要があります。
個人情報を送信するWebサイトやクレジットカード情報などを登録するECサイトなどには、「SSL」が標準的に使われています。
「常時SSL化」とは?
「SSL」は、ログイン時や決済時などの、重要な個人情報を入力する際に部分的に使います。
一方「常時SSL」は、Webサイトのページ全てを「HTTPS化(SSL/TLS暗号化)」にしている状態を指します。
「常時SSL化」は、「常時SSL」にする、ということです。
近年、部分的に暗号化したページを持つ「SSL」のサイトではなく、全ページを暗号化した「常時SSL」のサイトが増えています。
その理由は、「SSL」のページと「SSL」ではないページが混在した場合、サイトの安全性が保てないからです。
個人情報の入力時のみ「SSL」で暗号化しただけでは、暗号化されていないページでCookieを盗聴される危険性があります。
悪意を持った第三者によって偽のCookieをセットされた場合、ユーザーが危険にさらされます。
そこで、サイト利用者とWebサイトが共有するすべての情報を暗号化し、Cookieを盗聴する機会を無くします。
「常時SSL化」は、「HTTP」「SSL」よりも安全なサイト運営をする方法なのです。
「SSLサーバ証明書」とは?
「SSL」を使い「HTTPS」で通信をするためには、「SSLサーバ証明書」が必要です。
「SSLサーバ証明書」とは、情報を暗号化する「SSL」の機能に加え、以下3点を持った電子証明書です。
- Webサイトの会社名や所在地など所有者情報を証明する機能
- 送信情報の暗号化に必要な鍵
- 発行者の署名データ(ネット上の実印のようなもの)
「SSLサーバ証明書」を導入することにより、情報の送信元と送信先以外の第三者による「なりすまし」「改ざん」「盗聴」の3つのリスクを防げます。
- なりすまし:サイトの運営者や、関係者等を装います。例えば、ECサイト運営者のふりをして、クレジットカードの番号や住所等の顧客情報等を取得します。
- 改ざん:情報の内容を書き換えます。例えばECサイトなどで、商品の注文数を書き換えます。
- 盗聴:情報を盗み見ます。例えばECサイトで個人情報のやりとりを行っている際に盗聴し、住所やクレジットカード番号等を取得します。
「SSLサーバ証明書」の3つの種類と比較
「SSLサーバ証明書」は、Webサイトの運営組織が認証局に企業や所在地などの発行先情報を送付し、証明書の発行を依頼して得るものです。
「SSLサーバ証明書」は、認証レベルによって証明書の呼び方が異なります。
認証レベルが上がるごとに、運営者の実在性の審査が厳しくなります。管理コストも上がります。
レベル1.ドメイン認証(DV: Domain Validation)型
「ドメイン認証型」は、ドメイン使用権の有無のみを認証する、SSL/TLSの暗号化に特化した「SSLサーバ証明書」です。
「SSLサーバ証明書」に記載のあるドメイン(コモンネーム)の使用権を、所有者が所有していると確認して、「SSLサーバ証明書」を発行します。
証明書に記載されるコモンネーム(URL)は偽装ができません。
そのため、アクセスユーザーは証明書(シール)を確認すれば、自分のアクセス先を知ることができます。
「ドメイン認証型」は、組織情報(企業情報)を審査対象から外しているため、証明書内に組織名や組織の所在地情報は含まれません。
通常、CSR生成時に登録された組織情報は、証明書の発行時には削除されます。
Webサイト運営組織が本当に存在しているかどうかは確認せず、誰でもSSLサーバ証明書の取得が可能です。
そのため、クレジットカード番号やパスワードを盗み取ろうとするフィッシング詐欺への対策としては十分ではなく、本格的な利用をしたい法人ユーザーには物足りないかもしれません。
逆に言えば、ドメインの使用権を保有してさえいれば、オンラインでドメインの実在確認を行うだけで、簡単に「SSLサーバ証明書」を発行することができます。
(企業認証(OV: Organization Validation)型、EV(Extended Validation) 証明書には、書類提出などが必要です。)
通信の暗号化のみを目的とするのであれば、比較的に低価格・短時間で取得が可能な「ドメイン認証型」の証明書で十分です。
レベル2.企業認証(OV: Organization Validation)型・実在証明型
「企業認証型」は、SSL/TLSによる暗号化機能に加えて、証明書の企業・組織が法的かつ物理的に実在し、その企業・組織が証明書に記載されるドメインの所有者であることを証明した「SSLサーバ証明書」です。
「SSLサーバ証明書」の審査は、システムではなく人が行います。
企業・組織の実在性が、商業登記簿謄本(登記事項証明書)や帝国データバンクにあることを確認します。
審査の最終ステップではインターネットを経由しない「電話での確認」をしてから「SSLサーバ証明書」を発行します。
発行される「SSLサーバ証明書」の属性やサイトシールに企業情報が埋め込まれるので、「なりすまし防止」の用途でも利用できます。
「ドメイン認証型」よりも高い信頼性を実現するのが「企業認証型」です。
ただ、認証過程がこのようなため「企業認証型」の「SSLサーバ証明書」は、個人や個人事業主が取得することはできません。
レベル3.EV(Extended Validation) 証明書
「EV(Extended Validatio)」は、「企業認証型」よりもさらに厳しく審査し、ブラウザを見ただけで実在認証されたと表現できる「SSLサーバ証明書」です。
「EV」は世界標準の認証ガイドラインがあり、「SSLサーバ証明書」の中で最も厳格な審査が行われます。
例えば下記のような審査を行うため、発行までに時間がかかります。
- ドメイン所有者の確認をWHOISデータベースに照会
- 組織の法的実在性の確認を公的書類、組織の実運用性を第三者データベース(帝国データバンク・DUNS・職員録)へ照会して確認
- 組織の設立日を確認
- インターネットを経由しない「電話での確認」をする
- 署名権限者確認者宛に「EV SSL 証明書 申請責任者確認書」を送付し、登録住所が実在しているかどうかを確認
- 署名権限者確認者が「EV SSL 証明書 申請責任者確認書」に署名をして返送
- 規格が定める基準を満たさない場合、銀行口座の保有情報を確認
特徴として「EV」だけ、ブラウザのアドレスバーが緑色になります。
緑色に加え、証明書の名義人(Web サイトの運営者)の名前が表示されるブラウザもあります。
一部の銀行、クレジットカード番号を入力するECサイト、企業Webサイトのトップページなどに導入しています。
「常時SSL化」のメリット
やりとりするデータが「暗号化」し、サイトのセキュリティが強化する
フォームに入力する名前やパスワード、クレジットカード番号、閲覧履歴やログイン情報などの個人情報が暗号化されます。
また、サイト内でのCookieを含めたすべての情報を暗号化し、暗号化されたデータは盗むことが困難になります。
よって、なりすまし、改ざん(パケットなど)、盗聴の防止ができます。
マルウェア対策、Free Wi-Fiからの接続の安全性確保などができます。
Webサイトの「所有者の証明」ができる
「SSLサーバー証明書」は、「CA(Certification Authority)」と呼ばれる認証局から発行してもらいます。
「CA」とは、SSL認証のための組織です。SSLサービスを運営している団体が集まって作られる、権威ある組織です。
その権威ある組織から「このサイトはSSLを導入していて、信頼できるサイトです!」というお墨付きを貰うことができます。
Webサイトの信頼性をアピールし、ユーザーに安心感を与えることができる
セキュリティが高いと、信頼性向上に繋がります。
現在は、「常時SSL化」をすれば、アドレスバーに鍵マークの表示ができます。
さらに「EV SSL」だと緑色のバーが表示され、一目でわかるのでユーザーも安心します。
今後は、「HTTPS」のWebサイトを「安全」、「HTTP」のサイトを「危険」と表示するために、よりわかりやすいセキュリティ情報を配信するシステムへ変化するようです。
「HTTP/2」対応ブラウザで、表示が早くなる
通信速度が速くなります。
今までは「HTTP/1.1」というプロトコルで通信をしていました。
「HTTP/1.1」は、リクエストを送ったらレスポンスが返ってくるまでダウンロード要求を送信できない、という問題がありました。
例えば、画像Aを表示しきってから、画像Bを表示するように伝え、表示しきってから画像Cを…というようにです。
そこで「HTTP/2」というプロトコルが開発されました。
「HTTP/2」は、多数のファイルを並行してダウンロードします。
例えば、一度に画像A・B・Cを表示するように伝え、同時に表示するようにします。
IE 11(Windows 10)、Microsoft Edge、Mozilla Firefox、Google Chrome、Safari、Opera、iOS Safari、Opera Mini、Android Browser、Chrome for Androidなど、最新バージョンのブラウザは軒並みHTTP/2に対応済みです。
今後、SEOに有利になる
Googleは2014年8月、「常時SSL化」されたWebサイトをSEOの評価として優遇すると発表しました。
HTTPS をランキング シグナルに使用します
Webサイトを「常時SSL化」すれば、検索エンジンは「ユーザーが安心して利用できる優良なコンテンツである」と評価する、ということです。
さらに2015年12月、Googleは「https」ページを優先的に登録するように変更すると発表しました。
HTTPS ページが優先的にインデックスに登録されるようになります
「http」と「https」の両方で接続が可能な「常時SSL化」のサイトで、一定の条件を満たしている場合、より安全な「https」のページを優先的に登録=インデックスしていく、ということです。
安全なサイトをユーザーに表示するためのアップデートのため、通常のサイトを運営している場合には影響はほとんどありません。
とはいえ、現在は200項目あるGoogleの検索エンジンのアルゴリズムの中の1%未満にしか影響しません。
Googleによれば「競合サイトがあって、すべてが同レベルならHTTPSのほうが評価は上がる」程度です。
しかし今後、長い期間をかけて強化する項目とのことです。
アクセス解析の精度が向上する
自分のサイトを「常時SSL化」して「https」にすることで、「http」、「https」両方のサイトから「リファラー」を受け取れるようになります。
「リファラー」は、どこのサイトから自分のサイトへ訪問したかわかるデータです。
Googleアナリティクス等でサイトのアクセスデータの解析を行う場合、「リファラー」データは非常に重要な項目です。
しかし、ユーザーが「https」サイトから「http」サイトに移動する場合は、この「リファラー」が渡されません。
参照元無しとなる「ノーリファラー(no referrer)」としてカウントされます。
「リファラー」を渡す元サイトが「meta name=”referrer”」を使えば、「https」→「http」へリファラーを渡せます。
けれども、受け取る側で制御することはできません。
「常時SSL化」がしてあれば、受け取る側で「リファラー」受け渡しの制御ができることになります。
SSLの有無で動線を分ける必要がなくなる
- フォルダ分けをする
- リンクの記述を変える
- Cookieの扱いに気をつける
といったことを考えずにすみます。
Webアプリ開発の効率が高まる
「HTTP」と「HTTPS」が混在している状況よりも、セッションがシンプルになります。
常時SSL化のデメリット
導入に費用がかかる
「HTTPS」を導入すると、以下が発生します。
- ドメイン代
- 月々のサーバー代
- 「SSLサーバ証明書」の購入費用
- 設定代行費用
- 転送設定やパスの修正などの改修費用
年間で数円千から10万円程度かかります。
基本的に1サイトごとに証明書が必要になり、多数のサイトを「常時SSL化」すると、その分費用がかさみます。
「SSLサーバ証明書」の購入費用は通常、最低でも3年間で3000円かかります。
ただエックスサーバーでは「Let’s Encrypt」ブランドを利用すれば無料です。
「HTTPS」に非対応のツールや広告が非表示になり、広告収入が減る
「HTTPS」のサイトはサイト内のコンテンツ全てがSSLに準拠していなければいけません。
このため、「HTTP」サイトの広告の掲載ができません。
Google AdsenceではSSL非準拠の広告を排除するので、オークションの競争率が低下して広告収益が低下する可能性があります。
ニコニコ動画、A8.netなども「HTTPS」非対応なため、サイトに掲載できません。
「リファラー」が渡せなくなる
自サイトから他サイトへ誘導するサイトの場合、「常時SSL化」すると「リファラー」が渡せず、誘導を計測できません。
対策として「meta name=”referrer”」を使えば、「https」→「http」へリファラーを渡せます。
ただし、対応しているブラウザが現時点では限定されており、全てを渡すことはできません。
SSL/TLSで暗号化されたことにより、攻撃データも暗号化される
SSL/TLSで暗号化されることによって、ユーザーのデータが暗号されます。
攻撃者のトラフィックも暗号化されてしまい、IDS/IPSなどのセキュリティ製品での検知が難しくなります。
使っているサーバが、常時SSL化に対応しづらい場合がある
特定のディレクトリ以下にファイルを置かないとHTTPSにならない、.htaccessが使えない、など
SSL対応していないファイルを読み込むと警告が出てしまうブラウザがある
Webサイト内でHTTPのjsやcssを読み込んだり、外部スクリプトの読み込みやコンテンツの取り込みをすると、警告が出るブラウザがあります。
鍵マークの表示が無いよりも危険な感じを受けます。
Webサイト内部はもちろん、外部のサイトも「SSL対応」をしているか、注意する必要があります。
信頼性の低い認証は逆効果になる
- 安価でセキュリティ強度の低い証明書を使用ている
- 期限切れの証明書を使用したままになっている
このようなサイトは、コンテンツの安全性を確認できないと判断される恐れがあります。
サイトの読み込み速度が遅くなる場合がある
ただ暗号化をしただけだと、暗号化の分、サイトの読み込み速度が遅くなります。
ブラウザのアップデートをしていないなどで「HTTP/2」未対応のブラウザを使用しているユーザーは、より速度が遅く感じるかもしれません。
SEOの直接的効果は、2016年時点ではまだ薄い
メリットの逆になりますが、2016年時点では、SEOに特別に効果があるとは言えません。
ただ、今後は影響があるだろうと推測できます。
ソーシャル系ボタンのカウントがリセットされる
「http」と「https」は別のサイトとして扱われます。
サイトのアドレスが変わるため、Twitter、Facebook、LINE、Google+などソーシャルシェアのカウントがすべてゼロになります。
ソーシャルのシェア数、過去の「バズり」実績で記事の価値を判断する場合が多いサイトは、大きなデメリットになります。
ユーザーのサイト滞在時間が減り、直帰率が上がります。
過去の記事が新たにバズることは少ないため、苦しい運用を迫られるかもしれません。
「常時SSL化」の移行中は一時的に検索トラフィックが落ちる可能性がある
「http」と「https」への移行は、サイトの移転扱いとなります。
転送設定が上手くいっても、Googleのインデックス更新までは少々時間がかかります。
そのため、一時的に検索順位が安定しなかったり、検索トラフィックが落ちる場合もあります。
一か月程度で元に戻ったという報告もあり、サイトによって検索順位の回復期間はまちまちのようです。
「http」と「https」は別サイト扱いとなり、「サイトの引っ越し作業」が必要になる
「http」と「https」は別のサイトとして扱われます。
つまり「SSLサーバ証明書」の導入だけではなく、「サイトの引っ越し作業」である、再登録、再設定、編集が必要になります。
例えば、以下の設定が必要になります。
「.htaccess」で「301リダイレクト」をする
「HTTP」から「HTTPS」のURLに301リダイレクトをすることで、被リンク等の検索エンジンからの評価を引き継ぎます。
CSSやJavaScript、画像などをHTTPSに変換する
CSSや画像が「HTTP」のままだと「常時SSL」ではなくなるため、「HTTPS」に変換します。
「HTTP」から「HTTPS」へcanonicalタグの設置をする
必要に応じて、rel=”canonical”を設置します。
「Googleアナリティクス」を変更する
設定している「デフォルトのURL」の「http://」を「https://」に変更します。
「Google Search Console(Googleウェブマスターツール)」に再登録が必要
URLが変更するので、「http」と「https」は別サイトの扱いになります。「Google Search Console」に「https://ドメイン名」を再設定します。
「常時SSL化」をしているサイト事例
実際に「常時SSL化」しているサイトを見ていきましょう。金融機関や政党など、より信頼性が必要だと思われる組織は、予算をかけてEV(Extended Validation) 証明書を取得しているようです。
Google自身、SSL化を主張しているだけに、当然、サイトは「常時SSL化」しています。
Microsoft
検索エンジン「Bing」はMicrosoftが提供しています。
Google同様、「常時SSL化」を主張しているだけに、サイトも「常時SSL化」しています。
拡散力に定評のあるTwitterも、「常時SSL化」しています。
実名で登録するFacebookも、「常時SSL化」しています。
PayPal
クレジットカードを扱うPayPalも、「常時SSL化」しています。
野村ネット&コール
金融機関、証券会社である野村証券の野村ネット&コールも、「常時SSL化」しています。
シマンテック
「SSLサーバ証明書」を提供している会社だけあって、シマンテックも「常時SSL化」しています。
九州大学
国立大学の中で、九州大学は先んじて「常時SSL化」しています。慶應義塾大学など、私大の方が「常時SSL化」している大学が多いです。
自由民主党
政党である自由民主党も、「常時SSL化」しています。
Amazon
ネット通販サイトAmazonも、「常時SSL化」しています。
「常時SSL化」はするべき?するならいつ?
Googleは、「常時SSL」を優遇する方針です。
あくまでも方針であって、2016年時点はまだ、明らかに検索結果で優位だという保証はありません。
ですから、SEOの目的で、今すぐ、絶対に導入を急がなければいけない、わけではありません。
でも、いずれは対応しなければいけないものです。
世の中は、「常時SSL」になっていきます。
そうなるとあとはタイミングですが、導入コスト、手間暇もあります。
広告収入が減る可能性もあります。
「リファラー」も渡せなくなる可能性があります。
SNSのカウントはリセットされます。
「HTTPS」への移行に失敗して、インデックスが全部消えた、、なんて事例もあります。
ですから、
- サイトを新しく作る
- サイトを引っ越しする
- 「HTTPS」が検索エンジンに優遇されSEOに影響するようになった
- ASPが「HTTPS」に対応した
このような状況なら、「常時SSL化」をしても良いと思います。
時期的には、2018~2020年までには、切り替えをすると良いのかもしれません。
「常時SSL化」をする方法
「常時SSL化」をする方法は、下記にまとめてありますので参考にしてください!
「常時SSL化」をする方法 まとめ。(エックスサーバー)
まとめ:「常時SSL化」はやっておきたい施策
今すぐ必要ではなくとも、いつかは必ずしなければいけないのが「常時SSL化」です。
ようはサイトの引っ越しをすることになるので、手間を考えれば、移行は早いほど良いです。
ただ、「常時SSL化」は単純な引っ越しではなく、サイト構成やアフィリエイトの種類といった要素が絡むので、全てのサイトで「今すぐ絶対移行すべき!」ものではありません。
様子見をする方は「常時SSL化」を見越したサイト構成を、少しずつしていくと良いかもしれませんね。
以上、
常時SSL化(https)のメリット・デメリットまとめ。あなたのサイトもいつかhttpsに移行することになるかも!?
でした。
お疲れ様でした(^^♪
コメント