SSL化とは?なぜSSLする必要性があるのか?

ssl 暗号化通信
SSL 暗号化通信

 

インターネット上では、氏名や住所、パスワード、クレジットカード番号といった個人情報や重要情報が送受信されており、暗号化しないままでいると、 悪意のある第三者に情報を読み取られ 悪用されたり、Webページを 改ざんされてしまう恐れがあります。

 

常時SSLの必要性

 

SSLの役割

  • ·WebブラウザとWebサーバー間で送受信される情報を、 第三者に読み取られないように暗号化すること。

SSL化することで、個人情報(名前、カード番号、ログイン情報、閲覧履歴など)の通信を暗号化し、 盗聴なりすましWebサイト改ざんを防ぐことができます。

  • Webサイトの身元証明をすること

 

WebサイトをSSL ※01 )化することで、ユーザは安心してフォームに個人情報などを入力・送信することができます。

少し前までは、WebサイトのSSL化が必要なのは個人情報等を入力する。注文・問い合わせフォームがあるWebページだけで構わないとされていました。

 

これには、部分的なSSL化でも高価だったこと、サーバーの性能や通信技術の関係からSSL化するとWebサイトの表示速度が遅くなるといったものがあったからです。

しかし、サーバーの性能・処理能力向上や、HTTP※02)通信の新しい規格HTTP/2 ※03の登場、そしてSSL化費用の低減、セキュリティリスクの増大によって、SSLの導入は年々増加しています。

 

m(^^)m IT系の記事は、どうしても横文字が多くなってしまいます。お許しください。

 

※01. SSLSecure Sockets Layer)とTLSTransport Layer Security)は、いずれもインターネット上でデータを暗号化して送受信する仕組みです。個人情報やクレジットカード情報などの重要なデータを暗号化して通信の安全を確保しています。TLSSSL新しい規格ですが、SSLの方が一般的に知られていますのでこの記事ではSSLを使用しています。

 

Secure セキュア(安全な、危険のない、安定した、保証された)の名詞形が Security セキュリティ(情報の機密性、完全性、可用性を維持すること。安全保障)です。

 

※02. HTTPHyper text Transfer Protocol) Hypertextとは文書(Text)だけにとどまらず画像や動画などを含むものでTextを超えた(Hyper)通信・転送(Transfer)手順・規約(Protocol)

 

※03. HTTP/2ではHTTPS※04)接続が事実上必須となることなどにより、「SSL/TLSは遅い」というのは昔の話となりました。HTTP/2は、HTTP/1.1に比べ、Webページコンテンツの読み込み時間が50~70%短縮された。

 

HTTP/2HTTPの新しいバージョン(2015/5)のハイパーテキスト・トランスファー・プロトコル2

※04. httpsH yper t ext T ransfer P rotocol S ecure

 

 

常時SSL化は「やらなければならない」ことに変わった

常時ssl
常時SSL

 

常時SSL化の意味は、Webサイト全体の通信をSSL/TLSで暗号化することで、通信途上で盗聴なりすまし改ざんなどがされないことを保証することと、通信する相手(Webサーバー)が本物であることを確認(証明)する

 

常時SSL化とは、サイト全体(サイト内の全ページ)でSSLによる暗号化を行うことです。フォームがあるページなどサイトの一部だけをSSL化することは、常時SSLとは呼びません。

 

Webサイトを閲覧するにあたって、他人に見られたくない個人情報は、フォームへ入力するようなクレジットカード情報やID・パスワードだけではないはずです。閲覧履歴やサイト内での検索キーワードなども勝手に知られたくない情報と言えます。

 

Cookie(クッキー:ブラウザに保存される情報)にはサイトの閲覧履歴なども含まれることもあります。サイト全体がSSL化していないと、これらも悪意ある第三者に傍受されてしまう可能性があるのです。

 

暗号化によりWebサイトの安全性が高まります

  • SSL化対応することで、「 盗聴」「 なりすまし」「 Webサイト改ざん」被害などの 不正アクセスを防ぐことが可能となります。

SSLは、オンラインで閲覧するコンテンツがインターネット サービス プロバイダなどのネットワーク上の第三者によって傍受または改変されていないことを保証します。

不正アクセスとは、本来アクセス権限をもたない人が、サーバーや情報システムの内部に侵入することです。

 

Webサイトを運営する企業が実在することを証明

  • SSL化対応により、ユーザに安心してWebサイトを利用してもらうことで、リスク回避のみならず、機会損失を回避することが可能になります。

 

また、SEOの観点からもメリットがあることから、常時SSL=やらなければならないことに変化してきたのです。

 

  急激に広がる常時SSL化

Google透明性レポート
Google透明性レポート

 

常時SSL化したHTTPSサイトは、2017年から急激に増加しています。インターネットを流れるトラフィックの57%は暗号化されている状態です。

Chromeで、HTTPS経由で読み込まれたページの割合

  • 2017/01/07時点 : 32 %
  • 2017/12/30時点 : 57 %

出展:Google透明性レポートHTTPSに関する報告 https://transparencyreport.google.com/https/overview?hl=ja  

 

 

インターネットに占めるHTTPSトラフィックは2018年3月現在、約60%といわれ。また、アクセス数トップ100万サイトのうち、約40%がすでに常時SSLに対応しています。

 

SSL化対応しない場合どうなるの?

RISK リスク
RISK リスク

 

SSL未導入の危険性

  • SSLを導入していると、通信が暗号化されているのでセキュリティが高いのですが、SSLを導入していないと、 悪意のある第三者からの 盗聴改ざんの危険性が高くなります。また、 ユーザの信頼をなくしてしまうことにもつながります。
  • SSLを導入していると、安全性が高いと判断されサイト訪問者の数が増え、サイトビュー数が上がる可能性が高いですが、SSLを導入していないと、安全性が低いと判断され、ユーザの離脱率が増える可能性が高くなります。
  • 訪問さえしてもらえないかも知れません。今後SSL対応サイトが増えてくるとは、SSL未対応サイトは訪問者数減少につながります。

 結果的にユーザにサイトを閲覧してもらう機会が減ってしまうということになります。

 

SSL化対応を実施しない場合の、リスクを認識をしっかりしておく必要があります。

保護されていません」の警告メッセージ表示がされるだけに留まらないことを想定すべきです。

 

不正アクセスの危険性

  • 現在のWebサイトの運営においては「 盗聴」「 なりすまし」「 Webサイト改ざん」のリスクがつきまとい、また「フィッシングサイト」による詐欺被害が後を絶ちません。
  • 便利なウェブサービスが当たり前のように存在している現在、ユーザの個人情報保護に対する意識を高くするために、SSL導入は必須事項となっております。
  • SSLは、インターネット上で送受信される個人情報や決済情報などの重要なデータを、悪意ある第三者から守る有効手段です。

 

 盗聴

盗聴とは、問い合わせフォーム・申し込みなどに登録したデータやその他送受信されるデータを第三者が盗み見・収集することです。IDやパスワード、クレジットカード番号、メールの内容を盗み見られ悪用される可能性があります。

結果的に勝手に現金が引き出されたり、身に覚えのない請求が来たりして、知らない間に被害者になってしまいます。

 

 なりすまし

なりすましとは、他人のIDやパスワードを悪用してインターネットを利用し、その人になりすまし迷惑メールや誹謗中傷などを行うことや、 第三者が正当な取引者になりすまして、ログインし購入などを行う行為のことです。

 

フィッシングサイト」の詐欺被害が年々増加傾向であることとともに、個人情報保護法の施行以降、個人情報保護に対する意識はますます高まっています。

フィッシングサイト」とは、 悪意ある第三者が、会員制サイトやECサイトになりすまし、本物を装ったWebサイトへ誘導し、メールを送りつけ、パスワードや決済情報といった重要な個人情報を取得することを目的にしたWebサイトのことです。

 

 Webサイト改ざん

Webサイト改ざんとは、Webサイトの文章や画像を変更したりする行為のことです。改ざんが可能であれば、ウイルス配布先のWebサイトへのリンクを張ることも可能で、犯罪の踏み台として利用される可能性があります。(ユーザ登録や注文画面などで入力した内容等を、悪意ある第三者が途中で書き換える行為)

 

情報の暗号化:SSL化=https化で機会損失回避

https = 常時SSL
https=常時SSL

 

Webサイトで個人情報を送信する際に最も重要視すること

調査によると、個人情報を提供する際に最も重要視することとして『SSLによって情報の暗号化を行なっているか?』が1番となっています。

SSLはWebサイトにおける「 盗聴」「 なりすまし」「 改ざん」を防止する上で欠かせないもので、企業の信用問題に関わります。SSL化されたWebサイトは、ユーザに安心感を与え、サイトに訪問されないことによる機会損失を防ぎます。

 

 

今すぐ常時SSL化しよう!

StatCounter
出典 StatCounter ブラウザのシェア率

圧倒的に Chrome、続いてSafari(※)、IE、FireFox

主要ブラウザ(Chrome、FireFox、Edge、Safariなど)は、SSL化していないWebサイトは、「 保護されていません」という警告メッセージを出して、ユーザに Webサイトの危険性を知らせています。(safariのWindows版は2012/7/26以降バージョンアップされていない。2012/10/23 IPA 情報処理推進機構セキュリティホールが存在するため使用停止を勧告

 

Google Chromeのバージョン68(2018/07/24リリース)より、すべてのHTTP(非SSL)ページに対し『保護されていない通信』という警告の表示を開始しました。

警告を出さないためには、すべてのページをSSL化する【常時SSL】対応が必要です。

 

SSL=高いというイメージがある方も多いかもしれませんが、年間数千円からのプランもあります。どうしても予算がとれない方には、無料のSSLも存在します。

常時SSL化はサイトオーナーの急務です。一刻も早く常時SSL化の対応を進めることをお薦めします。

 

 

常時SSL化とGoogleからのアナウンス

ウェブのブラウジングはWebサイトとユーザとの間の私的な体験となるべきであり、傍受、中間者攻撃、データ改ざんの対象となってはいけません。Googleが「HTTPSeverywhere」の推進に取り組んできたのはこのためです。出典:Googleウェブマスター向け公式ブログ:HTTPSページが優先的にインデックスに登録されるようになります

https://webmaster-ja.googleblog.com/2015/12/indexing-https-pages-by-default.html

常時SSL化を推奨する理由はGoogleがセキュリティを最優先事項としていることの現れです。

SSLによる暗号化が実施済みのサイトの方がSEO的にも有利です。

 

  Chromeの新仕様で非SSLサイトすべてに警告表示

SSL
Chrome SSL未対応

 

2018/07リリースのChrome 68より、SSL化されていないサイトへアクセスすると、アドレスバーに「保護されていません」との文字列が表示されます。

Chrome 68では、警告の対象が広がり、フォーム掲載有無に関わらずSSL化されていない全てのページで警告が表示されるようになりました。 今までフォームのあるページだけ部分的にSSL対応していたWebサイトは、同様に全てのページで警告が表示されるようになりました。 これを知らないのだろうけど、放置されたWebサイトが目立ちます。

 

Safari、Edgeでも同様の表示

SSL FireFox Edge
SSL未対応 FireFox Edge

Webサイトにアクセスしたときに、アドレスバーの目立つ場所に「 保護されていません」との警告が表示されれば、ユーザは不安になってしまいます。

せっかく表示されたのに、「 保護されていません」の表示が出た途端にクリックするのをやめてしまう確率の方が高いとも言えます。いくら検索順位が高かったとしても見てもらうことができず、Webサイトとしての目的を果たせなくなってしまいます。

 

この警告が表示されないようにする方法は1つしかありません。サイト全体をSSLに対応( 常時SSL化 )させることです。

 

 

常時SSL化対応のサイト

SSL Chrome68
SSL Chrome68

HTTPSを使ったWebページについては、「Chrome 68」では緑の鍵マークと「保護された通信」の文字を表示していましたが、

SSL Chrome69
SSL Chrome69

9月にリリースされた「Chrome 69」からは鍵マークが灰色になり、「保護された通信」の文字も表示されなくなりました。

 

これについてGoogleは、「ユーザは、Webがデフォルトで安全であることを期待している」と指摘、デフォルトで何も表示のない状態こそ安全であることを前提にすると説明しました。

 

 

スマホでも

SSL
SSL 左:Chrome    右:Safari

現時点はスマホでもChromeはSafariと同様に?表示

 

 

SSL化することで可能になること(メリット・デメリット)

ウェブマスター向け公式ブログ

ユーザ・Webサイト間の通信を「暗号化」で保護し、パスワードやクレジットカード情報を保護します。信頼ある認証局によって「実在性が確認」されているWebサイトであることを証明します。

 

  • 常時SSL化しているWebサイトは検索順位で優遇される
  • 常時SSL化していないWebサイトがペナルティを受ける

 

常時SSL化のメリット

  • Webサイトのセキュリティが強化される
  • Webサイトへの安心感が高まる
  • Webサイトへの訪問者数が増える
  • Web表示速度が高まる

 

セキュリティが強化される メリット

スマホ利用が拡大し、無線LANの利用が増えることで、セキュリティ対策が施されていない無線LANのアクセスポイントから、いつの間にかHTTP通信を乗っ取り、利用者の機器に不正プログラム(マルウエア)を仕込む事例などもあります。こうしたセキュリティのリスクに対し、常時SSLはWebサイト運営者側で行うべき有効な対策とります。

 

不正アクセス防止 メリット

ユーザの個人情報、ID・パスワード等、重要な情報を暗号化して送信するため不正アクセス防止というメリットがあります。そのため、SSLの知識があるユーザは、離脱する可能性が減り、安心してWebサイトを利用することができます。

 

データの暗号化について

  • インターネットを流れているデータは送信元と受信先がIPアドレスで判別でき、内容は暗号化しない限りただのテキストデータとしてやり取りされます。
  • ログイン画面にはIDとパスワードを入力する画面がありますが、ログイン画面をSSL化していない場合、IDとパスワードは暗号化されていない状態でインターネットを流れます。
  • 悪意のあるWi-Fiアクセスポイントなどに接続した場合、通信内容が全て流出する危険があります。
  • パソコンに仕込まれた悪意のあるソフトウェアがネットワーク通信の内容を傍受し、外部へ送信するという可能性もあります。
  • WebサイトをSSL化した場合、Webサイトのサーバーとユーザパソコンの間で、暗号化が成立します。 悪意のある第三者が通信内容を傍受したとしても、内容を解読することは容易ではありません。
  • ただし、暗号化されるのは転送されるデータのみで、どのIPアドレスが、どこのサーバーへ、何かしらのデータを送信しているということは中間で傍受できます。完全に匿名にできるわけではありません。

 

安心感が高まる メリット

偽サイトにユーザを誘導するフィッシングの被害が多発していますが、常時SSLにより、サイトが正規の所有者(事業者)によって運営されていることを証明することが可能で、ユーザに安心感をもってもらえます。

 

 サーバーの証明について

  • サーバー証明とは、ごく簡略するとサーバーの持ち主(管理者)が 第三者認証機関(認証局)によりドメインの持ち主であると保証されるということです。この第三者認証機関は世界で認められた機関であり、この機関より発行されたSSLサーバー証明書は信頼性があります。
  • 正確には認証レベルにより証明される内容が異なってきます。
  • httpでのWebアクセスについては、どこの誰が作ったかがわからないサーバーと通信していることと同じになります。
  • 例えば、 abc.comと通信しているつもりでも中間経路でデータが 改ざんされていて、全く別のサーバーであるにも関わらず、あたかも abc.comと通信しているように見せかけることができます。
  • サーバーの証明書があれば、自分がアクセスしているWebサイトがabc.comであるということをブラウザのアドレスバーにある鍵アイコンや「保護されています」などの表示で確認できます。これにより、安心してWebサイトを閲覧することができます。
  • EV SSLを導入します。とアドレスバーに運営組織の名称を表示することができ、Webサイトの信頼性をさらに高めることができます。(Googleの例を後ほど示します。)
  •  

 データの改ざん防止について

  • 改ざんなりすましに似ていますが、 abc.comを完全に装うことを「 なりすまし」と言い、サーバーの証明により防ぐことができます。
  • 改ざんとは、ユーザが abc.comと通信し続けているように 見せながら、実はその内容を書き換えて攻撃者の任意のデータをユーザへ見せることを言います。
  • 見た目は abc.comにアクセスしながらも、実は 攻撃者が任意の内容に 書き換えたページを見せられてしまい、フィッシング・詐欺などの被害に遭ってしまう可能性があります。
  • WebサイトをSSL化することで、SSL証明書されたサーバーから送られたデータが、ユーザのもとに届く際に改ざんされていないことを証明できます。
  • ユーザへデータを送るとともに、SSL通信では送ったデータのチェック用データを合わせて送信し、実際に受け取ったデータを突き合わせることでデータの改ざん有無を検知します。

 

SEO効果で訪問者数が増える メリット

常時SSL化対応は、SEO順位向上要素の一つとなった。

SSLによる暗号化が実施されたサイトをSEO的に優遇することをGoogleがウェブマスター向け公式ブログで発表しています。

 

SEO効果

ウェブマスター向け公式ブログ
ウェブマスター向け公式ブログ
HTTPS ページが優先的にインデックスに登録される
HTTPS ページが優先的にインデックスに登録される

 

Google、Yahooでネット検索する方が圧倒的に多いのです。検索時のWebサイトの順位を決めているのは、Googleの検索エンジンです。(YahooもGoogleの検索エンジンを使用しています。)

マイクロソフトも12月7日に同社が開発するWebブラウザ「Microsoft Edge」を、Google Chrome、Operaなどが採用する「Chromium」ベースへと移行する計画を発表しました。 Chromium」は、GoogleのChromeのベースとなった検索エンジンです。

 

Webサイトをネット検索で上位表示するための取り組みを、「SEO」といいます。Googleは、ランキングシグナルの要素として、「HTTPS」を使用します。と2014年に発表しました。

 

http://googlewebmastercentral-ja.blogspot.jp/2014/08/https-as-ranking-signal.html  

 

ランキングシグナル
ランキングシグナル HTTPS

    

「HTTPS」=「SSL」の導入です。SSLを導入することで上位表示しやすくなるSEOのメリットがあるのです。Googleは2015年には「HTTPS」ページを優先的にインデックスします。と発表しています。

 

http://googlewebmastercentral-ja.blogspot.jp/2015/12/indexing-https-pages-by-default.html

gwmob-20151218-600-888-128.JPG
HTTPSページを優先的にインデックス

  

 

デメリット

 

費用がかかる

  • あらゆる対策には、なにがしかの費用がかかるものです。
  • 費用がかかることをデメリットとするならば、常時SSL化対応にも無料のSSLを選択するということもできます。
  • あくまでも費用対効果を考えてのことになると考えます。 SSLの種類、SSLの選び方を参考にしていただくことになると思います。
無料のSSL証明書"Let's Encrypt"

発行数が伸びているのが無料のSSL証明書 Let's Encrypt です。SSL証明書というとお金をかけて取得しなければいけないというイメージがあるかもしれませんが、Let's Encryptなら誰でも無料でSSLの証明書を取得できます。
2016年から出ているサービスで、CDNで世界的に有名なAkamai, Google, Facebook, Firefoxで有名なMozillaなどの大手のテクノロジー企業や団体が支援してきました。

 

サイトが重くなる

以前はSSLは、サーバー、クライアント双方に負荷をかけるため、通信速度が遅くなると言われていました。

  • 現在はサーバーの性能も向上しました
  • 新しい通信技術HTTP/2(も確立され、より少ない通信量で高速なWebページの表示が可能になったのです。

.HTTP/2は、HTTP/1.1に比べ、Webページコンテンツの読み込み時間が50~70%短縮された。Webコンテンツの大容量化に伴うページ表示高速化の要請に応えるため、新たに開発されたHTTPの新規格「HTTP/2」が標準化団体により(2015/5)策定されました。

結果的にhttp通信よりhttps通信の方が早くなり、SSL化によってWeb表示速度が高まることもあるのです(SSL化前後のサイトの構成が全く同じと言うことは考えにくいので一概には言えませんが、httpsが採用するHTTP/2の通信技術の方が早いですので)

 

SSLの種類

 

 SSLの選び方

 

 3種類(DV  OV  EV)の認証

SSLは3つの認証DV OV EV)があります。種類の違いは、認証方法の違いによるものです。簡単な審査だけで発行されるものから、非常に厳しい審査を通過しないと発行されないものがあります。

2つの機能

証明書には、大きく分けて2つの機能があります。

Webサイトとの送受信データの暗号化  「保護された通信」

Webサイトの運営団体の身元証明

 

.暗号化機能には、認証局や証明書による違いはほとんどありませんが、身元証明の機能は種類によって大きく異なり、求められる機能とかかる費用に基づく判断が必要となります。

 

1. ドメイン認証SSL( DV SSL)

オンラインでのドメイン実在確認のみで発行可能なSSL証明書です。書類提出は必要なく短時間で発行できます。簡単な審査で、個人ブログなどでも発行可能です。

  • 個人や内部向けのWebサイトで、重要な情報を記入するページがない場合は、ドメイン認証SSL(DV SSL)を選ぶ。
  • ドメイン認証SSL(DV SSL)は無料でお手軽に取得できるものもあります。しかし、注意が必要です。ドメイン認証SSL(DV SSL)は申請者のドメインの存在有無のみを確認するため、ドメインさえ取得しておけば審査をパスすることができます。
  • ドメイン認証SSL(DV SSL)は、Webサイトの運営組織の実在を認証しないことを悪用し、パスワードやクレジットカード番号を盗み取ろうとするフィッシング詐欺への対策としては十分ではありません。

 

2. 企業認証SSL( OV SSL)

企業や組織など顧客情報、機密情報を利用するWebサイト向けのSSL証明書です。商業登記簿謄本(登記事項証明書)や帝国データバンクの情報を元に認証局が企業や組織の実在を証明する電子証明書がセットになった証明書です。

  • 視覚情報は不要で、安全性だけ確保できればよいと考えるのであれば、企業認証SSL(OV SSL)で良いのかもしれません。
  • 企業認証SSL(OV SSL)やEV SSLは、SSLサーバー証明書発行の際に企業の実在性の確認や組織情報の審査などが行われるため、社会的信頼を鑑みると、企業認証SSL(OV SSL)以上を選定することが望ましいと言えます。

 

3.EV SSL

SSL証明書は、認証局によって資格審査基準が統一されていない時代があり、フィッシングサイトに流用されてしまうなどの事例がありました。そこで、資格審査の基準を策定し、それに準拠した新しいサーバー証明書が発行されることとなりました。それが、EV SSLです。

  • 選び方のポイントは、Webサイトの目的とSSLを利用している企業が実際に存在している事を、どの程度ユーザにアピールする必要があるかです。金融機関やクレジットカード情報を入力するフォームをもつECサイトの場合は、視覚でも安全であることを示せる最も厳格なEV SSLが良いでしょう。
  • OVEVの違いは、ブラウザのアドレスバーに組織名が表示されるかどうかです。
  • EV SSL Chrome
    EV SSL Chrome

不特定多数が訪れるWebサイトについては、たとえば、企業の公式サイトであれば企業が実在することを認証する「企業認証SSL(OV SSL)」を選び、ECサイトなど個人情報の取扱いが発生するサイトでは、事業所の住所までもを、認証する「EV SSL」を取得することが望ましいとも言えます。

 

認証レベルごとの大まかな費用(年額:XSERVER例)

  • ドメイン認証SSL(DV SSL)

ドメインの所有権を確認

  • Let's Encrypt無料独自SSL  0円
  • coressl オプション独自SSL CoreSSL  1,000円~
  • securecoreオプション独自SSLドメイン認証SSL 9,000円~
  • geotrustオプション独自SSLクイックSSLプレミアム 14,000円~
  • 企業認証SSL(OV SSL) 9,500円~

ドメインの所有権に加えて、運営組織の実在性を確認

  • EV SSL  24,000円~

ドメインの所有権に加えて、運営組織の実在性をより厳格な審査で確認

 

常時SSL化に向けてやるべきこと

常時SSL化には、主に以下のような作業が必要になります。

1.HTTPS(Web)サーバーの検討

 HTTPSサーバーをHTTPと同一サーバーで併用するか、別途HTTPS専用サーバーを設けるかなどの検討が必要です。

2. SSL証明書の取得

3. コンテンツの改修(内部リンクパス、canonical、cookie、など)

4. 関連システムや外部サービスの対応(CMS、アクセス解析、外部API、など)

5. 301リダレクト設定

 HTTPSのコンテンツ改修が完了した後、HTTPからHTTPSへの転送設定を行う必要があります。

 

常時SSLにありがちなトラブルと回避チェックポイント

 

トラブル①ブラウザに警告が表示される

ページ内の要素にHTTPコンテンツが混在していないかを確認

「HTTP混在エラー」は、HTMLページ内に表示するコンテンツ(gif、jpg、pngといった画像ファイルやCSS、JSファイル、iframe等)にHTTP通信が残っている場合に発生します。

1ページに表示するのに必要な要素にHTTPとHTTPSが混在しているとCookie情報の漏洩や改ざんにつながりかねない。そのため、HTMLファイルに記載している画像URLの書き換えなどの修正が必要とな ります。

 

外部サイトから取り込んだコンテンツがSSL化していない場合

YoutubeやTwitterといったSNSや動画サイト、Google Map、バナーなど、外部サービスを利用して組み込んでいるコンテンツはありませんか?(最新版はhttpsになっている場合が多いが、数年前までのものはhttpのままのものが多い。例、はてなブログは最近httpsとなった)その場合、提供サービス側が httpsに対応していれば、対応した埋め込みコードを使用すれば良いのですが、もし非対応サービスを利用したコンテンツであれば、ブラウザ側が「安全ではないWebサイトである」と判断し、該当サービスの表示をブロックしてしまう可能性があります。

SSL化に対応していなサービスの利用はこれを機に停止し、同じ内容の別サービスに乗り換えた方が良いでしょう。

 

小規模サイトでエラーを発見するには、GoogleChromeなどブラウザに備わる「デベロッパーツール」などの機能を活用する方法があり、大規模サイトでは、ヘッダー情報にコンテンツセキュリティポリシー(ContentSecurityPolicy:CSP)用の設定を追記 することで、ポリシー違反(HTTPの混在)をレポートしてくれる方法があります。

 

トラブル②HTTPやHTTPSなど両方の訪問が発生します。

 

HTTPによるアクセスをすべてHTTPSへ301転送していることを確認します。

サーバーの「.htaccess」ファイルなどに古い設定が残っていないか、あるいは、HTMLファイルの<a>リンクが絶対パスで記述されていないか。または、インデックス制御(「robots.txt」やmetaタグのnoindexなど)がHTTPのままになってないかを確認します。

常時SSLの導入ステップは、最終的にHTTPでアクセスしてきた通信をHTTPSに転送します。「301転送」をWebサーバーに設定します。

 

トラブル③証明書が正しくインストールされていない

認証局指定の中間CA証明書のインストールが漏れていないかを確認します。

また、SSL化してからうっかり忘れやすいのがSSL証明書の更新です。プランによって更新期間が異なり、1~2年ごとに更新となるケースが多いです。更新スケジュールを把握し、更新漏れのないように注意しましょう。

 

トラブル④ページ表示が遅くなる、あるいはGoogleで検索されない

URLの転送設定が古く、繰り返し転送されていないかを確認します。

 

トラブル⑤サイト内検索結果でページが検索されない

サイト内検索ツール側の設定でHTTPSを対象に加えたかを確認します。

 

トラブル⑥ログ解析上、アクセスが激減したように見える

ログ解析ツール側の設定でHTTPS用のログファイルを対象に加えたかを確認します。

 

リンク切れ

 

SSL化の際に注意したいのが「リンク切れ」です。

URLが「http://」から「https://」に変わるので、サイト内のリンクの設定を変更する必要があります。

また、他サイトからのリンクやブックマーク設定からの流入を引き継ぐため、リダイレクト設定を行う必要も出てきます。リダイレクト設定とは、旧URLにアクセスしても新しいページへ転送してくれる設定で、いくつかの方法がありますが、推奨はサーバーでのリダイレクトを行う方法です。もっとも利用されているWebサーバーがApacheの場合、「.htaccessファイル」にリダイレクト用の記述を追加して行います。

 

結局SSL化は、どうしたらいいの?

 

Webサーバーを管理しているホスティング業者に連絡

自社サーバーを使用してWebサイトを公開している場合は別ですが、多くのケースではレンタルサーバーを使用していると思います。SSL化するにあたり、まずは使用しているWebサーバーがhttpsに対応していることを確認する必要があります。

多くのレンタルサーバーが対応していますが、まれに安価なサーバーや古いサーバーでは対応していないこともあるからです。

万が一、サーバーがhttpsに対応していない場合は、サーバーの乗り換えが必要になります。

SSL化対応サーバーでも「共用SSL」のみに対応しているケースもあります。共用SSLとは、ホスティング業者が取得したSSLをサーバーの利用者で共有するもので、無料で利用できますが、独自SSLよりセキュリティレベルは劣ります。

また、指定されたドメイン名(URL)以外は利用できないケースが多いため、URLが変わってしまいます。共用SSLではなく独自SSLでのSSL化を進めましょう。

サーバーが独自SSLに対応していることを確認できたら、SSL証明書を発行してもらいます。SSL証明書の発行には、無料サービスと有料サービスがあります。

XSERVER: https://www.xserver.ne.jp/          

 

 無料サービスを使う

無料でSSL証明書を発行してもらえるサービスが「Let's Encrypt https://letsencrypt.org/」です。アメリカに本拠地を置く非営利団体「電子フロンティア財団」がSSL証明書を発行してくれます。

有効期限は90日ですが、スクリプトを設定すれば自動で更新してくれます。また、Let's Encryptと提携しているレンタルサーバーも自動更新が可能(XSERVERなど)です。無料だからといってセキュリティレベルが低いということはなく、高価な証明書と同様の暗号化強度を持ちます。デメリットとしては、有料証明書にあるような付加サービスや手厚いサポートが受けられない点が挙げられます。

 

有料サービスを使う

有料サービスで代表的なのは国内シェア1位の「グローバルサイン   https://jp.globalsign.com/」です。1996年に電子認証サービスが登場してから認証局として10年以上の実績を持ち、世界中で累計2,500万枚以上の電子証明書発行を行ってきたGMOグループの企業です。

 

コンテンツの変更なども伴う場合

 

懇意にしているホームページ制作会社に依頼する

コンテンツの変更が伴わなく、WebサーバーがSSL化対応のレンタルサーバーで、無料の常時SSL化対応だけならご自分でできるかたもいらっしゃるかとも思います。

それ以外なら、懇意にしているホームページ制作会社に依頼する方が良いかもしれません。

 

まとめ

セキュリティ対策の一環として、常時SSL化は、好む・好まないに・かかわらず必然です。Webサイトは企業の顔であり、Webマーケティングの要です。不正アクセスの被害に遭えば企業の信用、経営に関わる問題となります。被害に遭ってから慌てて導入といったことにならない様に、セキュリティ対策は早め早めの対応が肝要です。

 

問合せフォームから、ご相談戴くことも可能です。

  • URLを記入してお申し込みください。
  • 使用しているレンタルサーバーの名称がお分かりなら記入いただけると幸いです。

 

関連記事ページ

 

 関連記事 ➡  SSL必要ない?本当ですか?

SSL化
         SSL化の識別

 

 関連記事 ➡  SSL化必須です。あなたのお客様を守るために

SSL化は必須です
         SSL化は必須です

 

 関連記事 ➡  ホームページのSSL化必須お客様に、あなたも

ssl 暗号化通信
         SSL化 必須

 

 関連記事 ➡  Googleの警告は常時SSL化を標準対応にすること

Google警告は常時SSLを標準対応にすること
         Googleの警告は常時SSL化を標準対応にすること

 

 関連記事 ➡  Googleが警告する危険なSSL未対応サイト

Security 情報セキュリティ
         Security 情報セキュリティ

 

 関連記事 ➡  脆弱性対策していますか?あなたのホームページ

SSL 暗号化通信
         SSL 暗号化通信

 

 関連記事 ➡  脆弱性対策してますか?あなたは大丈夫?

incident インシデント
         インシデント セキュリティ事故

 

 関連記事 ➡  改ざんの危険性がイッパイあなたのサイト大丈夫?

改ざん防止
         改ざん防止

 

 関連記事 ➡  無償ツールでチェックが重要です。あなたのパソコン

security 無償チェックツール
        IPAがお勧めする 無償チェックツール

 

 関連記事 ➡  要対策 「情報セキュリティ10大脅威 2018」

security 情報セキュリティ10大脅威2018
           情報セキュリティ10大脅威2018