Webサイトを丸ごとHTTPS(SSL)にした方が良いってホント?

  • 投稿日
  • 更新日
  • 著者 谷口 允(たにぐち まこと)
  • カテゴリー Webサイト運用支援

Googleが、2016年8月に次のようなアナウンスをしました。

ここでは、この記事の解説を通じて、WebサイトをSSL化するメリットを紹介しましょう。

HTTPS、SSLってなに?

HTTPSとは、Webページを見るときにアドレスの左側の出てくる図の部分のこと。

通信するときの方式を示したもので、これまではHTTPが使われてきました。

HTTPは危険?

HTTPという方式は、通信内容を加工せずに送受信してしまうため、途中で盗聴されてしまう恐れがあります。

とはいえ、通常Webページを閲覧する場合は、公開されている情報を閲覧するので、盗聴されてもそれほど困ることはありません。

困るときと言えば、お問い合わせフォームに個人情報を入力するときや、パスワ-ドをやりとりする時などです。

秘密の内容はHTTPSで

このような秘密にしたい内容は「暗号」にして通信することができます。中でも、Webの世界で使われているのが「SSL」という技術です。

この、SSLで暗号にして通信するときにアドレスが「HTTPS」になります。

では、皆さんのサイトもHTTPSにしてみましょう。Webブラウザーに表示されているアドレスを変更するだけです。しかし、もしかしたら図のような表示になってしまったかもしれません。

SSL証明書が発生している状態

証明書がないと利用できないSSL

このエラーは「証明書がない」というエラーです。SSLを利用する場合、安全性を確保するために、第三者が通信相手を証明するという仕組みがあります。

例えば、銀行のサイト「のように見える」サイトが、SSLに対応していたからと言って、パスワードを入れてみたら、実は偽物サイトだったと言うことがあります(フィッシング詐欺といいます)。

これを防ぐために、以下の図の部分などをクリックすると誰が通信しようとしているのかを知ることができます。こうして、より安全性を高めているのです。

SSLのサイト認証情報を表示する

では、Webサイトのオーナーは、どうしたらSSL通信を行えるでしょう? 次の手順に分かれます。

  1. サーバーの申請
  2. 証明書の取得
  3. 証明書のインストール

証明書は、いくつかの業者で取得することができるため、価格などから選んで申請をすることで取得することはできます。しかし、申請の手順や証明書のインストールは非常に煩雑。誰もができるわけではありません。

そこでおすすめは、レンタルサーバーオプションの利用です。

サーバーオプションでSSLを利用しよう

ほとんどのレンタルサーバーは、自社で提携しているSSL証明書を提供しています。この場合、手続きは非常に簡単で、オプションを申し込んで必要事項を記入するだけ。数時間から1-2日で使えるようになっているでしょう。

詳しくは、各レンタルサーバーのマニュアルや問い合わせをご利用ください。

なぜ、全ページをSSLに?

では、なぜ最近になって「Webサイト丸ごとSSL」というのがトレンドになっているのでしょう? これは、反対に「なぜ、これまでは全ページではなかったのか?」の方を説明しましょう。

せっかく、SSLの証明書を取得したのですから、全ページを暗号にした方が安全性が高くなるのは当然です。しかし、暗号にしたりそれを解読(複合化といいます)するのには、時間がかかってしまいます。複数の利用者が一斉にサーバーにアクセスしてくると、負担が大きくなってしまいます。

そこで、これまでは「必要最低限のページのみ」にだけ、SSLをかけるというのが一般的でした。しかし、これには次のような弊害があります。

  • SSLのかけ忘れ、外し忘れが発生する
  • SSLのなかに、非SSLの通信が混在することがある

簡単に言えば、ちゃんと作らないと、安全性が確保できないことがあるのです。そこで、動き出したのがGoogleです。

SSLを推奨したGoogle

Googleでは、Gmailなどのツール類はもちろん、検索サイトも含めてあらゆるサイトをSSLにしてきました。そして今回、世界中のWebサイトをすべてSSLにしようと「ランキングシグナルに使う」という先の記事につながったのです。

ランキングシグナルに使うというのは、すぐに検索順位が変化するというわけではありません。ただ、サイト自体をSSLにすることが、将来的にSEO的に有利になり得るということを発表したととらえると良いでしょう。

##Google Chrome、HTTPページに対する警告を強化

さらに、米Googleは、2017年10月にリリース予定のWebブラウザ安定版「Chrome 62」について、通信が暗号化されないHTTP接続を使ったWebサイトに対する警告を、さらに強化すると発表しました。

Google Chrome、HTTPページに対する警告を強化

Chromeでは全てのHTTPページを安全でないページとみなし、警告が表示されるように切り替えていく方針。日程は順次明らかにする予定だが、それを待たずにHTTPSへの移行を進めてほしいとGoogleは促している。

つまり、HTTPSに対応していないWebサイトの場合、ユーザーには警告が表示されてしまうため、信頼性の低いWebサイトとみなされてしまう日まで、秒読みだということです。

SSLを導入しよう!

結論を言えば、WebサイトのオーナーはすぐにでもSSLを利用するべきですし、全ページをSSLにしてしまうべきでしょう。

証明書の取得や維持には年会費が発生してしまいますが(数千円から数万円)、サイトの安全性の確保や信頼性のアップ、SEO対策の必要経費として考えれば、それほど高額な出費とは言えません。ぜひ、取り組んでいきましょう!

※上記記事は2017年4月のニュースを受けて、2016年10月の記事をリライトしました。