WebサイトのSSL化を実施するべきといわれてから数年ほどたちます。
2018年7月リリースのGoogle ChromeからWebサイトのアドレスバーに「保護されていません」という表示になることがきっかけで、SSL化が広がりました。
この記事では、実際に常時SSL化によってどんな影響があるの?メリットや注意点は?
という点に焦点をあて、Web担当者としておさえておきたいポイントについて解説していきます。
もくじ
- 常時SSL化(常時HTTPS化)とは?
- 常時SSL化のメリット
- セキュリティの強化
- SEOに有利
- アクセス解析への有効活用
- SSL化しないとどうなる?
- HTTP→HTTPSへの変更手順
- サーバー確認
- SSLサーバー証明書の発行/インストール
- リンクの置換
- リダイレクト設定
- 常時SSL化をするうえでの注意点
- facebook、TwitterなどのSNSボタンのカウントがリセットされる
- 【まとめ】常時SSL化はメリットのみ!
常時SSL化(常時HTTPS化)とは?
そもそもSSL(Secure Sockets Layer)とは、インターネット上でのWebブラウザとWebサーバー間の通信を暗号化し、データをやりとりする仕組みのことです。
SSL対応されているWebサイトは、URLが「https://」からはじまるのに対し、非SSL対応のWebサイトのURLは「http://」となります。
インターネット上で送受信される氏名や住所、電話番号やクレジットカードなどの個人情報は悪意のある第三者から狙われ、改ざんや悪用される可能性があるのです。
SSLは、インターネット上で狙われやすい情報を暗号化し、第三者からの悪用を防ぐ役割を持っています。
そして常時SSL化とは個人情報などの重要な情報を扱うページだけではなく、Webサイト全体をSSL化することをいいます。
常時SSL化のメリット
常時SSL化をすることによってどんなメリットがあるのでしょうか。
具体的に3つのメリットをあげてみましたので、みていきましょう。
セキュリティの強化
常時SSL化の最大のメリットはセキュリティが強化されることです。
通信内容を暗号化することで改ざんや盗聴を防ぐことができますが、具体的なメリットに以下のようなものがあります。
Webサイトのなりすまし防止
SSL化には、SSLサーバー証明書というものが必要です。
証明書のなかでもドメイン認証型(DV認証)と組織認証型がありますが、組織認証型のOV/EV証明書は、取得時に電話や登記簿謄本による実在確認が行われます。
そのため、本物になりすまして個人情報を盗むフィッシング詐欺などに有効にはたらきます。
Cookieの盗聴を防ぐ
ひと昔前はWebサイトの大部分がHTTP通信で、フォームなど一部のページだけがHTTPS化していることがありました。
ただこれではHTTP通信(SSL非対応)のページを閲覧したユーザーのCookie情報が漏えいしてしまう危険性があります。
一部のページだけでなく、Webサイト全体をSSL化(HTTPS化)させることでCookieの盗聴を防ぐメリットがあります。
2020年1月にGoogleから発表された3rd party cookieの廃止は、広告のためのCookie利用制限ですが、個人情報保護の観点においてもCookieは重要な役割をもっています。
[14日 ロイター] - 米アルファベット(GOOGL.O)子会社グーグルは、今後2年以内に同社のブラウザ(閲覧ソフト)「クローム」でターゲティング広告のためのクッキー(ネット閲覧履歴のデータ)利用を規制する計画だ。個人情報保護強化を求めるユーザーからの声に対応する。14日にブログで明らかにした。
ユーザーからの信頼
昨今サイバー攻撃や個人情報の流出で、一般ユーザーも知識を持っている人が増えました。
専門家やWeb担当者でなくても保護されている通信か、そうでないかを見分けられる人も多くなり、企業に対する信頼にも影響してきます。
常時SSL化だけをすれば良いわけではありませんが、少なからず安心してWebサイトを利用できるという点で、ユーザーからの信頼度も変わってくるでしょう。
SEOに有利
2014年8月に、Googleは検索順位を決める要素にWebサイトがSSL化されているかどうかを含めるという発表がありました。
また翌年の2015年12月には、同じコンテンツでHTTPとHTTPSの2つのページがある場合、HTTPS通信のページを優先的にインデックスさせるという発表もしています。
Googleは、ユーザーが安全にWebサイトを利用できるという観点でSSL化を推奨しているため、検索結果にも影響するのです。
アクセス解析への有効活用
SSL化はアクセス解析にも影響します。
どのようなものかというと、流入元がわかるリファラ情報がSSL通信のページから非SSL通信のページへの遷移の場合は、送られないというものです。
具体的に解説すると、あなたのWebサイトが非SSLだったとします。
ユーザーがGoogle検索からあなたのWebサイトに訪問した場合、Google検索自体が常時SSL化されているため、リファラ情報が送られません。
そのため、どこから流入してきたユーザーなのかが不明確になってしまうのです。
逆に、あなたのWebサイトが常時SSL化されていれば、リファラ情報は送られるので、「Google検索から流入してきたユーザー」だというのがわかります。
常時SSL化することはWebサイトの環境を整える第一歩だといえます。
SSL化しないとどうなる?
常時SSL化をしないとどうなるのでしょうか?
もちろん先ほどご紹介したSSL化することで得られるメリットの逆のことが起こります。
セキュリティに不安が残ったり、ユーザーからの信頼を落としてしまうことにもつながりかねません。
もうひとつSSL化をしないことのデメリットとして、「混合コンテンツのブロック」があり、Googleは2019年10月に、混合コンテンツ(Mixed Content)を段階的にブロックすることを発表しました
「混合コンテンツ(Mixed Content)」とは、HTTPSのなかにHTTPで呼び出されているコンテンツのことを指します。
具体的には、「https://~」ではじまるWebサイトのなかに、「http://~」からはじまる画像や動画、htmlデータやスクリプトなどがある状態です。
Googleが提供しているChromeブラウザでは、安全性の強化のため混合コンテンツの対策がされていない場合、そのコンテンツは非表示になってしまいます。
このブロックは2020年2月を期限としていたためすでに実施されています。
まだ対策ができていない場合、早急に対応しましょう。
常時SSL化は、正しい情報提供をするためにも必要不可欠といえますね。
HTTP→HTTPSへの変更手順
では実際にHTTP→HTTPSへの変更手順をご紹介していきます。
サーバー確認
まず最初におこなうのは、サーバーの確認です。
自社のサーバーがHTTPS通信に対応しているサーバーかどうかを確認してみてください。
レンタルサーバーであっても、なかにはHTTPS通信に対応していないものもありますので注意が必要です。
SSLサーバー証明書の発行/インストール
次にSSLサーバー証明書の発行です。
常時SSL化にはこのSSLサーバー証明書が必要ですが、発行するためにはCSR(Certificate Signing Request)という証明書署名要求が必要になります。
CSRは契約しているサーバーやプランによって生成方法が異なるため、自社で利用中のサーバーでの生成方法を確認してみてください。
CSRが生成できたら、SSLサーバー証明書の申し込みをします。
申し込みは、サーバー会社のWebサイトなどに記載されていますので、確認してみましょう。
SSL証明書には、共有SSLと独自SSLの2種類ありますが、常時SSL化には独自SSLが必要です。
そして前述しましたが、証明書にはドメイン認証型( DV )、法人向けで組織情報の審査をしてから発行される企業認証型( OV )、そしてOVよりもさらに認証が厳格におこなわれるEV認証型の3種類があり、認証が厳格になるほど費用も高額になります。
認証が完了し、SSLサーバー証明書が発行されたらインストールをおこないます。
これでWebサイトのページはHTTPS通信になります。
リンクの置換
WebサイトのページはHTTPS通信になりましたが、ページ内の画像、CSS、JavaScriptやその他ファイルのパスはまだ「http://」のままです。
付随するパスを「http://」→「https://」に変更しなければ、デメリットの箇所でお伝えしたように混合コンテンツ(Mixed Content)になってしまい、SEOにも影響が出てしまいます。
相対パスやルートパスで記述されているものは変更不要ですが、絶対パスで記述されているものに関しては「https://」に変更しましょう。
もちろんサイト内だけでなく、Google AnalyticsやサーチコンソールなどのURLを変更することもお忘れなく。
リダイレクト設定
リダイレクトとは、ユーザーがアクセスしたURLとは別のページに誘導することです。
例えば外部サイトに貼られていたリンクをクリックされた場合、古いURLのページは残っていないため、新しいページに誘導する必要があるのです。
リダイレクトの利用にはさまざまな理由がありますが、今回でいうと「HTTP通信のページにアクセスされたら、強制的にHTTPS通信のページに飛ばす」ということです。
リダイレクトについての詳細や方法は以下の記事でご紹介していますので、ぜひ読んでみてくださいね。
【関連記事】Web担当者になったら知っておきたいリダイレクトの知識
常時SSL化をするうえでの注意点
ここからは、常時SSL化をするうえでの注意点をご紹介していきます。
facebook、TwitterなどのSNSボタンのカウントがリセットされる
常時SSL化されてURLが変わったことによって、facebookやTwitterなどSNSのシェアボタンのいいね数やシェア回数がリセットされてしまいます。
このSNSシェアボタンは、過去のいいね数を引き継ぐことができないので対策が難しく、できるだけ早く常時SSL化を進めることがいちばんの対策といえるでしょう。
【まとめ】常時SSL化はメリットのみ!
いかがだったでしょうか。
常時SSL化はすでに実施されている企業も多いですが、メガサイトや大企業でもまだ全ページSSL化ができていないこともあります。
Webサイトが大規模になるほど手間やチェックにもある程度時間はかかりますが、セキュリティやSEOにも影響するので、できるだけ早めにしておくようにしましょう。
当社はSSL化対応したWebサイトはもちろん、非SSLからSSLへの移行もおこなっています。
まだお悩みの方や、疑問がある!質問だけしたい!という方もぜひ一度ジーピーオンラインにお問い合わせください。
WRITERぱら 広報
コンテンツマーケティング会社でSNS運用を経験したのち、2018年にジーピーオンライン入社。Webサイト制作に関する情報をWeb担当者さま目線で分かりやすくお伝えします。
