少し前までは、WebサイトのSSL化が必要なのは個人情報を収集するようなフォームだけで構わないとされていましたが、時代は変わりました。
「常時SSL化しているWebサイトは検索順位で優遇される」という時期を経て、「常時SSL化していないWebサイトがペナルティを受ける」時代がやってこようとしています。
今回は、急務となっている「SSL化対応」について解説します。
SSL(Secure Sockets Layer)化とは、パソコンとサーバ間での通信データを暗号化してやりとりする仕組みです。
インターネット上では、日々、氏名や住所、パスワード、クレジットカード番号といった個人情報・重要情報が送受信されており、暗号化しないままだと悪意のあるユーザーに情報を読み取られ悪用されてしまったり、ページを改ざんされてしまう恐れがあります。
WebサイトをSSL化することで、ユーザーは安心してフォームに個人情報などを入力・送信することができるのです。
「http」と「https」は、それぞれ、「HyperText Transfer Protocol」、「Hyper Text Transfer Protocol Secure」の略です。簡単にいうと、httpは「ハイパーテキストを、インターネットの転送ルールを使ってやりとりする」という意味で、httpsは、それをセキュア(安全)に行うという意味です。
つまり、そのWebサイトのURLを見れば、SSL化されているページなのかそうでないのかを判断できます。
Googleは、Webの安全性を強化すべく、2014年にはWebサイト全体にSSLを実装した常時SSL化を行っているサイトを検索順位で優遇するようになりました。
Googleは、さらなる強化のため、「Chrome68」から、すべてのhttpサイトで警告を出すと発表しました。
Googleが公式発表した内容は、2018年7月にリリースする「Chrome68」から、すべてのhttpサイトで「保護されていません」という警告を表示するというもの。それまでにSSL化する必要があるため、2018年の6月までに対応しておけば間に合うということです。
具体的にどのような警告が表示されるかというと、アドレスバーのアドレスの前に「保護されていない通信」という文字が表示されるようになります。
画像引用元:Google ウェブマスター向け公式ブログ
この記事を掲載した2018年5月から「Chrome 68」リリースまでは、約2ヵ月とあまり時間がありません。SSL化に対応していないWebサイトの運営者は、急ぎ対応する必要があります。
具体的な方法は次章以降でご説明します。
自社サーバを使用してWebサイトを公開している場合は別ですが、多くのケースではレンタルサーバを使用していると思います。SSL化するにあたり、まずは使用しているWebサーバがhttpsに対応していることを確認する必要があります。
多くのレンタルサーバが対応していますが、まれに安価なサーバや古いサーバでは対応していないこともあるからです。万が一、サーバがhttpsに対応していない場合は、サーバの乗り換えが必要になります。
さらに、SSL対応サーバでも「共用SSL」のみに対応しているケースもあります。共用SSLとは、ホスティング業者が取得したSSLをサーバの利用者で共有するもので無料で利用できますが、独自SSLよりセキュリティレベルは劣ります。また、指定されたドメイン名(URL)以外は利用できないケースが多いため、URLが変わってしまいます。共用SSLではなく独自SSLでのSSL化を進めましょう。
サーバが独自SSLに対応していることを確認できたら、SSL証明書を発行してもらいます。SSL証明書の発行には、無料サービスと有料サービスがあります。
無料でSSL証明書を発行してもらえるサービスが「Let's Encrypt」です。アメリカに本拠地を置く非営利団体「電子フロンティア財団」がSSL証明書を発行してくれます。
有効期限は90日ですが、スクリプトを設定すれば自動で更新してくれます。また、Let's Encryptと提携しているレンタルサーバも自動更新が可能です。無料だからといってセキュリティレベルが低いということはなく、高価な証明書と同様の暗号化強度を持ちます。デメリットとしては、有料証明書にあるような付加サービスや手厚いサポートが受けられない点が挙げられます。
有料サービスで代表的なのは「グローバルサイン」です。1996年に電子認証サービスが登場してから認証局として10年以上の実績を持ち、世界中で累計2,500万枚以上の電子証明書発行を行ってきた企業なので信頼できます。
有料サービスの場合、最長2年の有効期限で証明書を発行してもらえます。また、一度でもブラックリストに載ってしまうと証明書を発行してもらえない無料サービスとは違い、手動で発行に対応してもらえる場合があります。
CMSサービスでSSL対応が含まれているものを選択するという方法もあります。
例えば、Web担当者の入れ替わりが多い、他の業務と兼任しているなどで、自社で申請や管理していくのが不安な方におすすめです。
独自CMSの「Blue Monkey」であればSSL対応も含まれています。
導入社数1,400社以上の実績がありますので、CMSごと検討しているのであればお問い合わせフォームから相談することができます。
SSL化の際に注意したいのが「リンク切れ」です。
URLが「http://」から「https://」に変わるので、サイト内のリンクの設定を変更する必要があります。
また、他サイトからのリンクやブックマーク設定からの流入を引き継ぐため、リダイレクト設定を行う必要も出てきます。リダイレクト設定とは、旧URLにアクセスしても新しいページへ転送してくれる設定で、いくつかの方法がありますが、推奨はサーバでリダイレクトを行う方法です。もっとも利用されているWebサーバApacheの場合、「.htaccessファイル」にリダイレクト用の記述を追加して行います。
SSL化してからうっかり忘れやすいのがSSL証明書の更新です。プランによって更新期間が異なり、1~2年ごとに更新となるケースが多いです。更新スケジュールを把握し、更新漏れのないように注意しましょう。
YoutubeやTwitterといったSNSや動画サイト、Google Map、バナーなど、外部サービスを利用して組み込んでいるコンテンツはありませんか?その場合、提供サービス側がhttpsに対応していれば、対応した埋め込みコードを使用すれば良いのですが、もし非対応サービスを利用したコンテンツであれば、Chrome側が「安全ではないWebサイトである」と判断し、該当サービスの表示をブロックしてしまう可能性があります。
SSL化に対応していなサービスの利用はこれを機に停止し、同じ内容の別サービスに乗り換えた方が良いでしょう。
最後にご提案するのは、いっそのことこの際Webサイト丸ごとリニューアルしてしまうという対処方法です。
ご紹介してきたように、SSL化を行うにはいくつものチェックポイントがあります。Webサイトの運営管理を外注していればすべてお任せということもできますが、自社で管理していて、Webサイト担当者が本業と兼務している場合などは、大きな負担としてのしかかってきます。
この機会にコンテンツ全体を見直して精査し、掲載情報の更新とSSL化を同時に行ってしまうWebリニューアルを行うというのも方法のひとつです。
ただし、リニューアルのときに大幅なコンテンツの追加・削除や、ディレクトリ構造の見直しをした際、リダイレクト設定やSEO対策を疎かにすると、検索順位が下がってしまうという結果になりかねないので、業者選定はきちんとおこなうようにしましょう。
本文中でも触れましたが、Googleが「Chrome 68」をリリースまでは、もうあまり時間がありません。
SSL化のためには、サーバにSSL証明書を発行したり設置する手間がかかったり、SSL証明書購入費用がかかりますが、自社サイトが常時SSL化に対応していない場合は、急ぎ対応する必要があります。
現状を把握したうえで、Webサーバの管理を行うホスティング業者に連絡し、早急に手を打ちましょう。