デジタルマーケティングTips

Webサイトの常時SSL化について、今更他人に聞けない方のための要点まとめ

近年、ブラウザの仕様変更やSEOなどの事情により、Webサイト全体の常時SSL化(HTTPS化)の需要が高まっています。そこで、「どんなメリットがあるの?」「具体的にどうすればいいの?」「そもそもSSLって何?」とお悩みの方向けに、ポイントをまとめました。

もくじ

SSL/TLSとは

「Secure Sockets Layer (SSL)」や、その後継である「Transport Layer Security (TLS)」は、インターネット上でセキュリティを求められる通信に使用する通信規約(プロトコル)の名称です。

主な役割は、通信の暗号化/改竄防止、そしてサーバー運営者の実在証明です。

1. 通信の暗号化/改竄防止

Webの通信内容は、そのままだと中継地点でデータが悪意ある第三者に傍受/改竄されるリスクがあります。このため、セキュリティに配慮する場合は、データをSSLやTLSで暗号化処理し、第三者に読めない状態にして通信を行います。

2. サーバー運営者の実在証明

ユーザーが接続したWebサイトが、実は偽者によるなりすましサイトであった場合、パスワードや個人情報等の詐取、偽サイトによる虚偽の情報流布など、深刻な問題が発生します。これを防ぐため、SSL/TLSでは、「認証局」と呼ばれる専門の第三者機関が、サーバー運営者からの依頼により運営者の実在調査・確認を行ったうえで、「SSL/TLSサーバー証明書」(以下、SSL証明書)の発行を行います。これにより、サーバー運営者が本物であるという証明込みで、暗号化通信が行われます。

名称・バージョンについて

2020年現在、SSL/TLSの主流バージョンはTLS 1.2~1.3です。TLS1.0~1.1およびSSL全バージョンは、暗号解読技術の進歩により安全性が失われたため、現在使用は非推奨とされています。

なので現在使用されているのは基本的に「TLS」なのですが、実際には慣例的に「SSL」という呼び方が今でも広く使われています。

常時SSL化は、ユーザー側にもサイト側にもメリットがある

常時SSL化とは、Webサイトの全ページの通信を暗号化(SSL/TLS化)することです。常時SSL化されたサイトは、全ページのURLが「https://」から始まります。

常時SSL化によって、利用者は常に安心してWebサイトを利用できます。また、サイト側にも様々なメリットやリスク回避がもたらされます。

1. SSL/TLS不使用サイトに対する警告表示の回避

2018年以降、各種主要ブラウザでは、非SSL化サイト閲覧時アドレスバーに「保護されていません」新しいウィンドウで開きます「安全ではありません」等の警告が表示されます。常時SSL化することで、警告表示を回避でき、利用者へ安心感と信頼感を与えられます。

2. SSL/非SSL混合コンテンツのアクセス遮断回避

2020年春以降、Chromeは、SSLページ内に非SSL領域の画像等が混入した場合新しいウィンドウで開きますや、非SSL領域へのダウンロードリンクがある場合新しいウィンドウで開きます、非SSLコンテンツへのアクセスを遮断する仕様変更を進めています。中途半端なSSL化を放置しておくと、リンク切れや読み込み失敗のリスクを多数抱えることになります。

3. 検索順位評価の優遇

Googleは2014年に、SSL化の有無を検索順位に反映させる新しいウィンドウで開きますと明言しました。また、2015年にはSSL使用ページが非使用ページより優先してインデックスされる新しいウィンドウで開きますなど、SSL化サイトを重視する姿勢を続けています。 2020年現在でも、常時SSL化は検索順位評価の基本要素の一つ新しいウィンドウで開きますに位置付けられています。

4. アクセス解析の精度向上

非SSL化サイトは、SSL化サイトからのアクセスがあった場合、リンク元情報を検知できません。

2015年前後に大手検索エンジンやSNSが続々と常時SSL化したため、これらから自サイトへの流入を把握したい場合、常時SSL化は必須要素です。

5. HTTP/2対応による通信速度向上

HTTP/2新しいウィンドウで開きます」は、2015年に正式版となった新しい通信規約(プロトコル)で、通信の並列処理やヘッダー圧縮など、従来型のHTTP/1.1に比べて様々な高速化が行われています。コンテンツが多いWebサイトでは、通信速度の大幅な向上が見込めます。

このHTTP/2を利用するには、サーバー側のHTTP/2対応に加えて、サイトのSSL化が事実上必須となります。

昔のSSLは必要最低限の利用にとどまっていた

1990年代~2000年代は、処理速度やコストの都合上、SSL/TLSはパスワードや各種個人情報の送受信用ページに限って使用するケースが大半でした。2010年代中頃から、Googleなどの大手グローバル企業がWebサイトの常時SSL化を推進新しいウィンドウで開きますし始め、2020年時点では全世界のChromeによるWeb接続の8~9割がSSL化新しいウィンドウで開きますされています。

日本国内でも、政府機関のWebサイトについては2018年に常時SSL化が基準となる新しいウィンドウで開きますなど、政府機関や大手企業を中心に常時SSL化は着々と進行しています。

サーバー運営者の実在証明で、ユーザーや自社を詐欺から守る

SSL証明書は、サイトやサーバーを運営する企業の実在証明としても使用されます。なりすましサイトによるフィッシング詐欺等の犯罪から自サイトのユーザーや自社のブランドイメージを守るには、なくてはならない機能です。

SSL証明書は、認証レベルに基づいて、[ドメイン認証SSL] [企業認証SSL] [EV SSL]の3種類に分類されます。個人情報等を扱う企業サイトでは企業認証SSLやEV SSLの使用がおすすめです。

ドメイン認証SSLは手続きが簡単かつ安価ですが、運営者の実在証明は他の方式より大幅に簡略化・自動化されています。主に通信の暗号化だけができればよいサイト向けです。

企業認証SSLやその上位版であるEV SSLは、有人での実在確認に伴う手間・コストと引き換えに、運営企業の実在証明効果が十分に得られます。特に、EV SSL証明書は一部ブラウザで運営者名が明確に表示されるため、金融機関など強固ななりすまし対策が求められる企業のサイトを中心に広く採用されています。

SSL/TLSサーバー証明書の種類
ドメイン認証 (Domain Validation) SSL 証明書企業認証 (Organization Validation) SSL証明書EV (Extended Validation) SSL証明書
証明されること・ドメイン名の所有権・ドメイン名の所有権
・サーバー運営企業の登記事項
など
・ドメイン名の所有権
・サーバー運営企業の登記事項
・SSL証明書が登録企業に属されていること
証明書発行基準の厳格さ★★★★★
暗号の強度★★★★★
適しているサイトテストサーバやイントラネットユーザーから個人情報の収集を行う一般公開の Web サイトユーザーからの個人情報収集にあたり、より強度のセキュリティが要求される、ECや金融機関等のWeb サイト
フィッシング詐欺など偽の Web サイトへの個人情報登録防止に効果的
発行対象個人
組織/企業
組織/企業のみ組織/企業のみ
ブラウザアドレスバー 鍵アイコンクリック時の表示組織名は表示されない
組織名は表示されない
組織名が表示される

「SSLなら何でも信頼できる」という認識は古い

かつては「SSL化されたサイトなら信頼できる」と言われた時代もありましたが、その認識は過去のものとなりました。個人が手軽にドメイン認証のSSL証明書を取得できる現在では、詐欺サイトも常時SSL化するケースが増えており、SSLの有無だけで詐欺サイトか否かを見分けることはできません。

英国NetCraft社の調査新しいウィンドウで開きますによると、2017年1~3月にフィッシング詐欺で利用されたSSL証明書の約96%が、ドメイン認証で発行されたものでした。これらは本物の企業サイトと見間違えやすい別名のドメインを取得することで、巧妙に本物に成りすまし、ユーザーから個人情報等を詐取します。企業名の確認ができないドメイン認証のSSL証明書では、偽物との見分けがつきにくいため、フィッシングなどの詐欺からユーザーを守るのは困難です。

以下の表は本物の企業サイトのドメインと、それになりすました偽のドメインの例です。

本物にせもの
lloydsbank.co.ukIIoydsbank.co.uk
www.apple.comwww.аррӏе.com
twitter.comtωitter.com
gmail.comgmạil.com

常時SSL化の実装時の注意点

Webサイトの常時SSL化は、SSL証明書の取得だけで終わるわけではなく、Webコンテンツの改修やサーバー設定が別途必要です。作業コストを算出するには、サイト内を入念に調査したうえで改修の計画を行う必要があります。

コンテンツの改修

  • HTMLやCSS…基本はソース内URL置換(「http://~」⇒「https://~」)です。ただし、パス表記の形式ブレなどイレギュラーな部分があると、作業量が膨れ上がる場合があります。
  • JavaScriptやサーバサイドプログラム…複雑な作業になる場合があり、事前確認が重要です。http→httpsの置換だけでは不十分な場合があるほか、Cookieを使用するプログラムの場合は、Cookie関連の処理の改修も必要です。CMSやアクセス解析・広告効果測定ツールの管理画面で行う設定変更も別途必要です。
  • 画像・動画・Flash・PDF…内部にURL等が記載されている場合は、対象ファイルを個別に編集します。このときに、編集用元ファイル(*.psd, *.flaなど)があれば、そこでテキストを修正できますが、残っていない場合は、書き出された公開ファイルをベースに改修するか、新規に作り直す等の判断が必要です。
  • CMS内のコンテンツ…記事内のURLの更新(http://~→https://~)は、CMSの管理画面内で行います。
  • 移行中のダブルメンテナンス…現行サイトで常時SSL化改修の対象となるファイルは、SSL非対応版・SSL対応版の2種類のファイルを作成し、ダブルメンテナンスで管理します。
  • 外部サービス…外部サーバーからのコンテンツを自サイト内に埋め込んでいる場合、対象がSSL非対応の場合は、代替策を検討する必要があります。

サーバー設定・コンテンツ移設

  • SSL証明書のインストール…インストール手順はサーバーによって異なるため、各サーバーのマニュアルに則って作業を進めます。
  • リダイレクト設定…旧URL(http://~)へのアクセスを全て新URL(https://~)に転送する設定を、サーバー設定ファイルや.htaccessファイルに記述します。このとき、既存のリダイレクト設定との競合を避ける必要があります。
  • その他のサーバー設定…TLS1.2以降への対応を行うほか、HTTP/2を使用する場合は、その設定などもサーバー側で行います。
  • コンテンツの移設…同じサーバー、同じドメイン名であっても、SSL領域と非SSL領域でサーバー内のアップロード場所が変わる場合、コンテンツをSSL領域用の場所に移設する作業が発生します。

まとめ

サイトの常時SSL化は、今後企業のWebサイトがユーザーや自社に対して責任ある役割を果たしていくためには、ぜひとも実施しておきたい改修の一つです。大規模な作業が必要であるため、Webの専門知識を持ち、常時SSL化の経験・実績が豊富な協力会社と共同で行うことが重要になります。

マックスマウスでは、大規模サイトから中小サイトまで、Webサイトの常時SSL化サービスを、多くの企業様に提供しております。ご興味のある方はぜひお問い合わせください。