06-6777-3688
大阪のホームページ制作会社【ファ  ーストネットジャパン】BLOG

BLOG

Google Chrome SSLの必須化

2018年11月26日

さて今回はSSLの話をしたいと思います。 Google ChromeではWEBサイトの全ページ常時SSL化を支持しています。 段階的にではありますがchrome上でバージョンアップごとに警告のレベルを上げてきています。

2017年1月から非SSLページにて、パスワードやクレジットカード情報などの入力時に警告が表示されるようになり、10月にはフォームやテキストボックスに文字を入力しただけで警告が表示されるようになりました。 これらの施策がさらに1段階強化され、2018年7月よりSSL化されていない全てのサイトに対して警告が表示されます。

SSLの説明

ではそもそもSSLってなに?という方もいらっしゃるかもしれませんので簡単に説明します。 SSLはSecure Sockets Layerの略でインターネット上で通信内容を暗号化する仕組みです。 WEB上ではサイトのページを開くごとにデータの送受信がされています。 その際にたとえば「こんにちは!」と書かれたページを見る場合当然ながら「こんにちは!」という文字を表示するためのデータをあなたのパソコンに送っています。 またネットショップなどで買い物をするときに個人情報を入力したデータに関してもサーバーパソコンへ送っています。 そのデータを送る際にデータを暗号化するというのがSSLなのです。 普通のページを見るだけなら暗号化する必要性というのはあまり感じられないかもしれませんが、 個人情報(パスワードとかクレジットカード情報など)は暗号化しないとデータの送信中に盗聴され、簡単に個人情報が取られてしまいます。

Googleの調査による世界のSSL化状況

Googleの調査よると、現在WebサイトのSSL化の状況は以下のようになっています。 引用:https://webmaster-ja.googleblog.com/2018/02/a-secure-web-is-here-to-stay.html AndroidとWindowsにてChromeを使用するトラフィックの68%以上はSSL化されている Chrome OSとMacにてChromeを使用するトラフィックの78%以上はSSL化されている 世界のトップ100サイトのうち81サイトがデフォルトでSSL接続をしている

常時SSL化のメリット

<<安全性>> 言わずもがな情報の安全性です。 SSLは通信の暗号化です。暗号化を活用することで、第三者からのデータの盗聴やパケットデータの改竄を防止できます。 (盗聴というのは入力フォームに入力したパスワードやクレジットカードの情報を盗むことができるということです。)

<<信頼性>> SSLはレンタルサーバーなどが代理店となりSSL認証局からSSLサーバー証明書が発行されます。(無償のものから有償のもの) この証明書をもって他サイトの「なりすましサイト」ではないことを証明できるのです。

<<SEOに有利>> SSL化をすればSEO上有利とされています。

<<アクセスできなくなる>> これはChromeのさじ加減なのですが今後サイトにアクセスできなくなるという可能性があります。 また検索エンジンにすら表示されなくなるということも考えられます。 そうなるとサイト運営としては致命傷ですのでメリットというよりはやらないとまずいということになります。

警告をださないようにする

わたしがインターネットを見ている限りまだまだ非SSLのサイトは多く見かけます。 このまま放置していると検索エンジンに表示されなくなったり、訪れたとしても閲覧できなくなり運営者としては困ることになると思います。 警告をださないようにするには全ページのSSL化が必須となります。 では全ページのSSL化というのはどうすればいいのか?ですが ・サイト内のCSSやJS、imgのパスをすべて相対パスに変更する ・外部からのインクルードの場合は外部の絶対パスをhttpsにする。外部サイトがSSL化されていない場合は利用をしない。 ・サーバーからSSL認証を購入する。(無料、有料と様々) ・htaccessを使って非SSLからリンクされていたとしてもSSLに強制的にリダイレクトさせる ・名刺など印刷物の変更(徐々に) 簡単にいえばこんな感じです。

あなた(or顧客)のサイトは大丈夫ですか?

現在配布されているChrome 70では「保護されていません/保護されていない通信」のどちらかが表示されます。SSL証明書を導入しているにも関わらず、サイト内の一部コンテンツが非httpsになっている場合、アドレスバー上はhttpsと表示されますが「保護された通信」の表示は出ません。完全にhttps化されている場合、「保護された通信」が表示され、EV証明書の場合は組織名が表示されます。

無料証明書であるLet’s Encrypt

Googleの流れを受け各社レンタルサーバーでは Let’s Encryptという名の無料SSLを提供しています。 一般のサイトであればこれで十分だと私は思っています。 個人情報を取得したり大手会社であればもっとレベルの高い高額なSSLをお勧めします。

常時SSL化のお手伝い

もしSSL化をすべきサイトがありましたら弊社でもサポートさせていただいております。 通常の静的サイトから動的サイト(WordPressなど)まで料金はかわりますが 4万円~となっておりますのでもしそういった案件がございましたらご相談ください。