常時SSLとは?
ウェブサイトの常時SSL化
ウェブサイトの常時SSL化
常時SSLは、ウェブサイトのすべてのページを暗号化(SSL/TLS化)することを常時SSL(Always On SSL)といいます。
従来、SSLサーバ証明書の導入は、問い合わせフォームや決済ページなど、限定的なページのみHTTPS化する事が普通でしたが、すべてのページをSSL/TLS化することで、ログイン情報や決済情報だけでなく、Cookieへの不正アクセス(盗聴)も防止することができます。
SSL/TLS化されたウェブサイトは、URLが「HTTPS」から始まる接続となり、通信の暗号化が保証されます。これにより、ユーザーは安心して閲覧し、個人情報や決済情報を提供することができ、第三者による盗聴を心配する必要がなくなります。近年では、全てのページをHTTPS化する事が推奨され、常時SSL化されたサイトが急速に増えています。
常時SSL化でセキュリティリスクに対応
ウェブサイトのなりすまし対策
インターネット環境におけるセキュリティリスクとして、ウェブサイトのなりすましが挙げられます。ネットバンクやショッピングなどのサイトを本物そっくりに作ったページに偽のサイトに誘導し、IDやパスワード、個人情報や決済情報などを不正に入手しようとします。これは「フィッシング詐欺」と呼ばれている不正行為ですので、注意する必要があります。
Wi-Fiでのアクセスによるセキュリティ対策
近年、Wi-Fiを使ってインターネットを利用することが一般的となっています。街中の飲食店やコンビニエンスストア、公共スペースには、フリーで接続できるWi-Fiスポットが増えていますが、無料Wi-Fiスポットのネットワークは暗号化されていないことが多く、悪意のある第三者に通信内容を盗み見られるリスクが存在します。
また、Wi-Fiルーターを悪用して正規のWi-Fiスポットに仕立て上げ、アクセスポイント名を公共のものに偽装、それを知らないままアクセスポイントとして利用するユーザーから、ログイン情報などの情報を受信しようとする中間者攻撃(MITM:Man In the Middle Attack)という脅威も存在します。
Cookieの盗聴防止
Eric Butler氏が作成したFirefoxのアドオン「Firesheep」を使えば、同じWi-Fiスポットに接続している他人のCookieに入り込み、そのユーザーになりすますことができてしまいます。Google、Twitter、Facebookといったウェブサービス上で、他のユーザになりすまして記事の投稿や削除を行えるだけでなく、ユーザー情報の変更や削除をしたりすることもできてしまいます。
※Cookie:ウェブサイトがブラウザを通じて、ユーザーのコンピュータに一時的に情報を書き込み保存させる仕組みのこと
常時SSL化は、このようなセキュリティリスクに対抗できます。ただし、特定箇所のみにSSLサーバ証明書を導入しても同じウェブサイト内に非SSL(HTTP)ページが残っていると安全ではないサイトと認識されてしまいます。 このことから、ログインページやフォームなどの特定のページだけをHTTPSにするのではなく、すべてのページを暗号化して常時SSL化をすることが求められています。
常時SSLの影響
常時SSL化の検索順位への影響
常時SSL化するメリットには、検索エンジンから「ユーザが安心して利用できる優良コンテンツ」と評価される点が挙げられます。 ウェブサイトやサービスを利用するユーザーが、フィッシング詐欺や盗聴等の被害に遭わないようにするために、ウェブサイト自体の安全性の向上がより一層求められています。 検索エンジンの最大手であるGoogleは、ウェブサイトがHTTPS(常時SSL)かどうかをランキングシグナルに使用にすることを発表し、すべてのウェブサイトオーナーに対して常時SSL化を推奨しております。 Googleからは、2015年12月18日に、常時SSL化されたウェブサイトでHTTPページとHTTPSページが同じコンテンツであれば、「HTTPSページを優先的にインデックスに登録されるようになる」するというアナウンスがありました。
ブラウザでの表示も徐々に変更が進む Googleは、2016年9月に、2017年リリース予定の「Google Chrome 56」から、パスワードやクレジットカード情報を送信するHTTPサイト(非SSL/TLSサイト)において、アドレスバーに「No Secure」と表示する仕組みを導入すると発表しました。 以後順次、すべてのHTTPサイトにこの「No Secure」を表示させる予定とのことです。
HTTPS化していないとリファラ情報が送信されない
Google検索自体が常時SSL化されたことにより、ユーザーがGoogleの検索結果をクリックしてウェブサイトに移動する際、ウェブサイトがHTTPSでなければリファラ情報が送信されません。
リファラ情報からアクセスログを辿ることで、ユーザーがどのウェブサイトから訪問したのか、ウェブサイト内でどのような軌跡を経たのかを調べることができます。そのため、リファラ情報が送信されないと、どこから移動してウェブサイトを訪問したのかが不鮮明になってしまいます。
HTTP/2のサポートでウェブサイトの表示が高速になる 2015年2月17日、Googleは正式なプロトコルとしてHTTP/2を承認しました。HTTP/2は、HTTPを高速化するとともにセキュリティの強化を行い、モバイル機器でのWeb表示を高速化するという目的で開発されたものです。その前身はSPDYと呼ばれていましたが、2016年3月4日にはHTTP/2を正式にサポートし、5月15日には実験的に開発したプロトコルSPDYのサポートは終了する予定と発表しています。 HTTP/2には、クライアントからサーバに送信するヘッダー情報を圧縮でき、送信されるデータ量が2割から3割も削減できます。とくにスマートフォンなどのモバイルデバイスを使用してウェブサービスへとアクセスする場合、このデータ圧縮によるメリットは大きいものがあります。 しかし、Google ChromeやFirefoxといったブラウザでは、SSL/TLSで暗号化されていないウェブサイトにおいてはHTTP/2は利用できないことを決定しています。さらに、Internet Explorerの後継ブラウザ「Microsoft Edge」では、既にSSL/TLSが必須となっています。 また、iOS9に実装された「ATS(App Transport Security)」を有効にしている場合、HTTPでの通信はできなくなり、そのウェブサイトは接続失敗の状態が繰り返され、ユーザからのアクセスが激減することも危惧されます。 「HTTPSは高負荷」というイメージは、もはや昔の話。HTTPS導入による通信速度の低下は、現代のネットワーク、サーバやPCのスペックでは体感できないほどの差となります。 古いブラウザに対応する必要がなければ、SSL/TLS化してHTTP/2のメリットを享受するほうが、はるかに得策と言う事になりますす。
今や、検索順位は自社ビジネスへの影響が多大であり、自社ウェブサイトの分析は、ビジネスには欠かせない重要な指標となっています。それは結果として、ビジネスの発展にも影響を及ぼします。 ユーザーが安全にウェブサイトを閲覧できるよう、ひいては自社ビジネスにて機会損失を回避させるためにも、特に企業サイトにおけるウェブサイトのHTTPS(常時SSL)化は必須となっています。
常時SSLのメリットと注意点を理解し、自社ウェブサイトの信頼性アップと自社ビジネスの発展に繋げるために、常時SSL化をご検討ください。
【関連情報】
全ページをSSLにする常時SSL設定について
