SSLを導入して安全な通信を!https化のメリットと導入方法

あなたのホームページはSSL/TLSを導入していますか?ウェブサイトにSSL/TLSを導入しhttps化をするとセキュアな暗号化通信を行うことができます。この記事ではSSLとは何なのかという説明からレンタルサーバーでの実際の導入方法や導入するメリットなどをご紹介します。

SSL(TLS)とは?

SSLとは、Secure Sockets Layerの略で、Webサーバーとユーザー間の通信を暗号化する通信方式です。TLS(Transport Layer Security)と表記されることもありますが、意味は同じです。

SSLを導入している場合としていない場合のブラウザの表示

(上記イメージは2018年6月現在のGoogleChromeの表示です。)

SSLが導入されているホームページにアクセスすると、URLの先頭に「https://」と付き、アドレスバーに緑色で「保護された通信」という表示がされます。 逆に、SSLが導入されていないページ(HTTP通信)にユーザーの個人情報の入力を求めるフォームが設置されていると「保護されていません」という表示がされます。 (利用しているブラウザーによって表示は変わることがあります。) 現在は「保護されていません」と表示されるのは HTTP通信でパスワードなどの入力を求められるページ のみですが、今後はHTTP通信のサイトは全てのページで「保護されていません」という表示が出るようになる動きがあります。

理想的なのは常時SSL

以前の考え方では、サイト内のお問い合わせフォームがあるページや、ショッピングサイトだとカートと決済のページのみをhttpsにすればよいというのがありました。 しかし、最近ではそのような考え方が変わり、サイト内の全ページをhttps化することが必要だという考え方に変わっています。 このような考え方/手法のことを「常時SSL」と言います。

米国政府では2016年にトップレベルドメインが「.gov」であるアメリカ合衆国の行政機関のホームページは全てのページを常時SSL化することを義務化しました。 このように、安全な通信を確保するために世界中で常時SSL化は推進されています。

一部SSLと常時SSLのイメージ

https化をしないとどうなるか?

SSLを導入していないサイト(特にショッピングサイトなど)は、悪意のあるユーザーから通信を盗み見られてしまう可能性があります。それによって大切なお客様のデータが流出してしまったり、会社の情報が流出してしまうなど、大変なことになりかねません。

また、GoogleChromeでは2018年7月にhttps化をしていない全ページで「保護されていません」という表示を出すそうです。将来的には、赤色で目立つようになるかもしれません。 ユーザーはそのような表示を見たら不安になり、サイトから離脱してしまうかもしれません。

SSLを導入するだけでブラウザとユーザー間の通信を暗号化することが出来ます。SSLを導入することによって発生するデメリットは、ほぼありません。(考えられるデメリットとしては、導入する証明書の認証レベルによっては高い費用がかかることくらいでしょうか…) 特別な理由が無ければ、SSLは必ず導入しましょう。

SSLのメリット

SSLを導入するメリットとして、通信の暗号化によるセキュリティの向上はもちろんですが、アクセスログを解析する際にリファラーの精度が上がったり、サイトの表示速度が向上したり、検索エンジンの順位にも効果があると言われています。

①リファラー精度の向上

インターネット技術の標準化団体であるIETFが定めるRFC2616によると「セキュアなページからセキュアではないページに移動した際にReferer情報を受け渡すべきではない」とあります。

つまり、セキュア(https)なページから移動してきたときに、あなたのサイトがセキュアでなかった場合はどのページからアクセスして来たか(リファラー情報)を教えません、ということです。 裏を返せば、SSLを導入していればリファラー情報を受け取ることができます。

特定できないリファラーからのアクセスをGoogleアナリティクスで見た画面です。

※Googleアナリティクスのアクセス解析画面です。URLの直接入力やお気に入り登録の他に、参照元が特定できないリファラーアクセスは (direct)/(none) という分類になります。

②サイトの表示速度が向上することがある

以前までは、SSLを導入すると双方に暗号化と解読の負荷がかかるためにサイトの表示速度が低下すると言われていました。 しかし、現在は通信技術の向上によりむしろHTTPS通信の方が早くなります。

なぜなら、新しい通信規格「HTTP/2」が登場したからです。 「HTTP/2」という通信規格を使うとサーバーに対して同時に様々なリクエストを送ることが出来るため高速な通信になります。

この高速な「HTTP/2」はSSLが導入されていないと機能しません。(厳密には違いますが、主要なブラウザはサポートしないと言っています。) そのため、新しい通信規格を利用しているサーバーの場合はSSLを導入することによってサイトの表示速度が向上することがあります。

③検索エンジンの順位(SEO)への効果

https化に対応することで、ユーザーは安全に通信することを出来ます。Googleでは2004年にHTTPSをランキングシグナルに導入するということを明言しています。 Googleは、安全なサイトをユーザーに提供出来るように取り組んでいます。 そのため、SSLを導入しているサイト(=セキュアで安全なサイト)を評価します。 https化に対応することは、ユーザーにとっても、ウェブマスターにとっても、検索エンジンにとってもメリットのあることです。

(もちろんSSLを導入しただけで自然と順位があがるというものではありませんし、あくまでも、ユーザーに安全な通信を提供することが目的です。)

SSL導入の費用

SSLの価格や料金を調べてみると、格安のものからかなり高額のものまで存在します。なんとなく、高額のものの方がセキュリティがしっかりしていて安全なような気がしてしまいますが、値段によって暗号化強度が変わることはありません。 無料のSSL証明書でも、20万円のSSL証明書でも、全く同じ暗号化強度です。

では、何故値段がこんなにも変わるのでしょうか? その理由の一つに、認証レベルの差があります。

一般的にSSLの認証レベルには3段階あります。

認証レベル

年額

ドメイン認証(DV)

無料~4万円

実在証明認証(OV)

4万円~15万円

拡張認証(EV)

5万円~20万円

(金額は大体の値段です。下に行くほど厳格な認証レベルになります。)

ドメイン認証(DV)ではドメインの所有者であるかの確認だけを行うので、比較的簡単に認証することが出来ます。そのため、安価で提供されています。 実在証明の審査が行われるOV/EVは、実際にその会社が存在するかの確認や書類の提出などを行い厳格に審査を行います。また、審査を行う認証局(CA)によって認証の信頼度が変化するため金額も大幅に変化します。

個人で管理しているホームページなどであればドメイン認証(DV)で十分です。 ドメイン認証SSLを提供している認証局の1つに「Let's Encrypt」という認証局があります。「Let's Encrypt」ではすべてのWebサーバーへの接続を暗号化することを目的とし、GoogleやMozilla、Facebookなどの様々なスポンサーの寄付により無料でSSLを提供しています。誰でも無料で利用できますので、とりあえず安全な通信を導入したい!という場合におすすめです。

一般的な企業であれば、実在証明認証(OV)のSSLを導入することをおすすめします。なぜなら、悪意のあるユーザーに会社のウェブサイトをそっくり丸々コピーされてしまった場合などに実在証明認証をしていれば、証明書を確認することでどちらが本物かが第三者による証明で見分けがつくからです。

最も厳格な証明を行うSSL認証に「拡張認証」というものがあります。 こちらは、登記簿謄本や第三者機関のデータベースなどにより、法的に組織の存在を証明するものです。高い信頼性を証明するため、特に金融関係の企業や、誰でも名前を知っているような大企業、インターネット事業のプロバイダなど向けです。

高い信頼性を証明する認証はコストもかかりますので、用途にあったSSLを導入しましょう。

レンタルサーバーでのSSLの導入方法

VPSや自社サーバーではSSLを導入する際にはCSRや秘密鍵というものを作成する手順がありますが、主要なレンタルサーバーではワンクリックで簡単にSSLを導入することが出来ることが多いです。

サーバーの管理パネルにログインし、「SSL」と書いてある項目を探します。

ロリポップ!レンタルサーバーの管理画面です。hetemlサーバーの管理画面です。Xserverの管理画面です。

(画像は上から、ロリポップ!、ヘテムルサーバー、Xserverです。)

無料の独自SSL(Let's Encrypt)であれば基本的に次の画面で設定ボタンをワンクリックするだけで完了します。 一般的な有料の独自SSLの導入の流れとしては、

1.印鑑証明や登記簿謄本、CSRの用意
2.証明書申し込み
3.認証審査
4.証明書発行
5.証明書のインストール
6.料金支払い

となります。
サーバーによって詳細の手順は変わりますので、レンタルサーバーやVPSのサービス事業主にご確認ください。

尚、証明書をインストールしただけではhttp://とhttps://で2つのURLが存在している状態になってしまっているので、必ずURLの正規化とリダイレクトを行いましょう。

また、GoogleSearchConsoleなどの解析ツールを利用している場合、2つのURLは別のサイトとして扱われますので、追加登録が必要になりますのでお気を付けください。

リダイレクトの方法については前回のブログ(安易なホームページのリニューアルは危険!?リダイレクトの設定を忘れずに!)にも載っていますので是非ご覧ください。

SSL導入まとめ

・SSLとはWebサーバーとユーザーの通信を暗号化する通信方式です。
・SSLとTLSに意味の違いはほとんどありません。
・https化されたページにアクセスするとアドレスバーに緑色で「保護された通信」と表示されます。
・https化されていないページでパスワード等を入力するページには「保護されていません」と表示されます。
・今後はセキュアではない全てのページに「保護されていません」と表示されるかもしれません。
・サイトの一部ではなくサイト全体をSSL対応することを「常時SSL」と言います。
・SSLを導入していないと悪意のあるユーザーに通信を盗み見られる可能性があります。
・「保護されていません」という表示を見たユーザーが離脱する可能性があります。
・SSL化をするとアクセス解析(リファラー)の精度が上がります。
・高速な新しい通信規格「HTTP/2」はhttps化したサイトでしか効果を発揮しません。
・https化に対応し、高速で安心な通信をユーザーに提供することで検索エンジンに評価されることがあります。
・SSL証明書の金額の違いは認証レベルのみで、暗号化強度は変わりません。
・SSL証明書にはDV,OV,EVの三種類があります。
・誰でも無料で利用できるDVの一つに「Let's Encrypt」があります。
・OV,EVで企業の実在証明がされると偽サイトと区別をつけることが出来ます。
・多くのレンタルサーバーでは無料SSLをワンクリックで導入できます。
・httpとhttpsのURLは別物として扱われるのでURLの正規化とリダイレクトを忘れずに設定しましょう。

社長のWeb対策【中級編】 | admin | 2018/07/10

この記事へのコメント

コメントを送る

※ メールは公開されません


画像の文字を入力してください