これまでも、サイトのSSL化の重要性は言われてきましたが、ついにGoogleが、ウェブマスター向け公式ブログで昨年の7/21に「Chrome の HTTP 接続におけるセキュリティ強化に向けて」という発表をしています。
また、Chromeは今後、httpsに対応していないサイトのテキストボックスなどに情報を入力する際、警告を表示すると告知しています(10月20日にリリースされたChrome 62から適用する予定だったのですが、まだ対応していないサイトもたくさんあるようです)
これまである程度は言われてきましたが、そこまで急がなくても・・・な感じで皆さん、ぼちぼちというとことだったんじゃないでしょうか?それが、いまでは、Googleの発表により、Web担当者や、サイトを運営する人にとっては、自分のサイトや担当するサイトの全ページの常時SSL化の必要性が差し迫ってきました。
Googleは、すでに公式に「長期的には、HTTP で配信されるすべてのページを「保護されていません」と明示することを計画しており、この新しい警告はその一環です。」ということをはっきりと発表しています。
それが誰もが思っていたよりも、身近に迫ってきているということになったのです。
それでは、一体どのようにしていけばいいのでしょうか?というより、何をすればいいのでしょうか?
特に、webにそこまで知識のない素人では全くわからない部分もあります。正直、わからない方は専門家に任せるのが、一番安心です!下手にやろうとすると、サイトが表示されなくなったり、もとに戻せなくなるケースも可能性としてありうるからなのです。
目次
常時SSL化(https)とは?
常時SSL化というのは、下記のように、サイトのURLが「http://〜」ではなく「https://〜」のような表記で、httpのあとに「S」がついており、全てのページをhttps(暗号化通信)にするという事になります。緑色で「保護された通信」と表示されているので、とても分かりやすいと思います。
これによって、サイトのログイン情報や、決済する場合の個人情報、他にもCookieへの不正アクセス(盗聴)などを防止するという働きがあります。
また、認証にもレベルがあり、そのレベルを上げれば、悪質な疑似サイトやフィッシングサイトへの誘導を防ぐことができるようになります。
現状、Chromeでは個人情報やパスワードを入力するページで、この https に対応していないページが表示された場合、「保護されていない通信」という警告がアドレスバーに表示される程度ですが、一応サイト訪問者に注意しています。
なぜいま常時SSL化に向けて取り組まなければならないか?
もう何年も前から、SSL化の流れが進んでいることはご存知のとおりです。しかし、まだSSL化が始まったばかりの頃は、SSL化するためには有料の証明書が必要だったり、アフィリエイトのサービスなどは対応していない事も多くあり、まだ導入するには、諸々の周りの環境が追いついていなく、ちょっと早いかなという感じでした。
高いコストを払ってSSL化しても、サイト内のアフィリエイト広告や、外部サイトからの埋め込み画像などがSSLに対応していないと、一部SSLでない箇所が残ってしまい、サイトそのものとしては「混在コンテンツ(http表記とhttps表記が混ざっている状態)」として、結局は、安全ではないサイトとみなされてしまうのです。
ですので、SSL化するなら、徹底的にやらなければならず、少しでも抜けがあると、全てが台無しになってしまうんですね。ただ、近年、特に2016年あたりから急激に、レンタルサーバーなどが、SSL証明書を無料で取得できるようサービスを始めたり、アフィリエイト広告に関係するサービスなども徐々にSSLに対応できるようになってきました。
これにより、SSL化するデメリットがだいぶ消えたので、いまであれば、個人ブログや小規模サイトなどでもSSL化にチャレンジできるような環境と時期になってきたのではないでしょうか。
常時SSLのメリット
情報に対するセキュリティが向上
SSL化をすれば、サイト内でのCookieを含めたすべての通信は暗号化通信になります。会員登録の個人情報や、オンライン決済などでのクレジットカード情報などを守ることになります。暗号化されたデータは盗むことが困難なので、パケットの改ざんや、なりすましの防止などにつながります。
例えば、このアトラクトブルーもそうなんのですが、WEBサイトの作りでいうと、WordPressのようなCMSは、記事を書いたりするのに、管理画面などにログインする必要があるのですが、そのログイン情報の漏洩などもSSLによって防ぐことができます。
サイトの信頼性=店(企業)の信頼性がアップ
SSL化をすると、第三者機関のSSL認証局から「SSLサーバ証明書」の発行が必要となります。
証明書には、何種類かありますが、SSLサーバ証明書はブラウザで確認することができるので、サイトを訪問してきたユーザーにとっては、サイトを通じてお店(企業)が信頼できる対象かどうか、をはかる1つの要素になります。ユーザーにとってセキュリティが高いというのは、サイトの信頼度向上につながりますね。
サイトのSEO効果が(若干)見込める
Googleは、検索順位を決定する要素として、この https を使用すると公式に発表してます。また、https の配信が全体ではなくページ単体らしいく、これが原因で劇的に順位変動が起きるかというと、そこまでではないとは思いますが、Googleのアルゴリズムというのは、かなりの数があるため、1つの要因として捉えておく必要があるといえるでしょう。とにかく、Googleなどの検索エンジンから「ユーザーが安心して利用できる優良なコンテンツである」と評価されるわけですね。
SSL対応のデメリット
デメリットというほどのデメリットは無いんですが、多少の気になる点はあります。もしかしたら気にしない人は気にしない点かもしれません。
使えないサービスがある(かもしれない)
自分のサイトを思い返してみてください。もしかしたら外部サイトから画像や動画を貼り付けていませんか?そういった場合、外部サイトのサービスがSSLに対応していないと表示できなくなってしまいます。
たとえば、ニコニコ動画を例にすると、2017年11月の時点では、httpsに対応していないために、SSL化をしたサイトやブログなどに外部プレーヤーを埋め込むと、正常に表示されないといったことが発生しているようです。
まずは、SSL化する前に、よく活用しているサービスについて調べてみて、まだSSLに対応していない場合は、少し様子を見てから、希望のサービスがSSL対応した際に、改めてSSL対応に踏み切るといいかもしれません。
SNSのシェア数がリセット
これは、人によっては大きなポイントになる場合があるかもしれませんが、全く大丈夫な人も多いと思いますので、大丈夫な人は読み飛ばしてくださいな。例えば、SNSを頻繁にバズらせるためとかで利用している人にとっては、それまでに積み上げてきたSNSの「シェア数」がリセットされてしまいます。正確にいうと、消えるというよりは、それまでの http でのサイトで書いていた記事と、https になってからの新しい記事とが、SNSからは別記事扱いされてしまうためです。
特に、このアトラクトブルーにもあるように、記事にSNSアイコンを並べて、しかもシェア数も表示させている人の場合は、また0からのカウントとなってしまうので、そこにステータス性を持たせてたりする場合、もしかしたらネックになると感じるかもしれません。
しかし、どのみちいつかはSSLに対応していかなければならないのは事実。それであれば、このままSSL非対応のままシェア数を増やしていくよりも、早い段階で一旦カウントを0にしてでも、対応しておいたほうがいい、という考え方もあります。
最近では、Twitterがツイート数の表示をなくすなど、シェア数で記事の価値をはかる風潮はすたれつつありますので、結局いわずともおわかりかと思いますが、コンテンツの内容が大事ではあるので、いっそのことシェア数表示は無くしてしまう、という選択肢もありますね。
SSLを取得・有効化するには
前に記事にもしましたが、今はレンタルサーバーが無料でSSLのサービスを提供しているところが多くなっています。ですので、まずは無料でできるサーバー提供のSSLを導入することをおすすめします。特にエックスサーバーなどは、手順も割りと簡単でやりやすいと思います。
ここではやり方や手順の詳細は割愛します。なぜかというと、説明しきれない細かい事も多々あるからなのです。SSL導入の敷居が低くなったとは言え、細かい部分においては、まだ素人には実行しにくい事も出てきますので。もし早急にSSL化したい、する必要がある、といった方は上記のボタンから「お問い合わせ」ください。迅速な対応をさせていただきます。
SSL化した後でするいくつかのこと
サーバーなどでSSL化自体が設定出来たからといって完全にSSL化が完了したわけではないので注意が必要です。完全にSSL化を完了するためには、それに付随して、細かいいくつかやらなければならない事も出てきます。
Googleへサイトの再登録
サイトをSSLに対応すると、その時点では、http://〜 のURLと、https://〜 のURLが2つ存在していることになり、実は別物とみなされます。そのために、Googleなどのサイトを登録するようなサービスには、再度、 https://〜のほうを登録し直す必要がでてきます。
Search Consoleを一度でも触ったことのある人であれば、何をすればいいのかわかるかと思います。もちろん、同時にGoogleアナリティクスとの連携し直し、設定し直しも忘れずに。
「.htaccess」でリダイレクト設定
これも専門的なことですので、細かい説明はしませんが、とにかく、http://〜 でアクセスしてきたユーザーを、https://〜 の方へ自動で誘導するための作業です。結構これを忘れる人が多いので、気をつけましょう。
管理画面にログインしての各設定変更(WordPressなど。)
これはWordPressに限っての作業にはなりますが、WordPressを利用している人も多いとは思いますので、WordPressの場合は、「表示設定」での、サイトのURLを http から https に変更しなければなりません。もちろん、サーバーでのSSL設定がきちんと済んでから変更しましょう。またプラグイン等をうまく利用して、サイト内のコンテンツに存在する http 表記のURLを https に置き換えていく必要があります。
プラグインでは置き換えられない箇所もあるので、注意が必要です。(ウィジェットやメニューのカスタムリンクなど)
SSL導入はサイトの新規立ち上げ時、リニューアルのタイミングが良いかも
サイトの常時SSL化は、サイトがどういう方針で運営されているのかということに、大きく関わってくるのではないかと思います。例えば、企業などでは、当然無料のものより、有料のレベルを上げたSSL証明が必要になってくるでしょうし、その場合は、SSL化後の運用にコストがかかってきますので、導入には十分な検討が必要にはなりますが、セキュリティや個人情報の安心・安全が当たり前になった今の時代では、サイトの常時SSL化のニーズは確実に高まっております。
なおかつ、先にも述べたように、Googleの動きを見ても、いずれはSSL化されていないサイトは表示されなくなるでしょうし、表示されたとしても、警告表示が出たりと、放っておくと自分のサイトが、ユーザーにとっては安心できないサイトになり下がってしまいかねません。
常時SSL化への少しでも早い対応が、サイト運営の戦略としての鍵の1つになるのではないでしょうか。
この記事へのコメントはありません。