【常時SSL】HTTPS化は企業だけでなく個人ブログでも必須の時代

インターネットが当たり前になってから、http://から始まる英数字が並んでいればホームページのURLというのが一般常識になっていますが、それが古くなって来ています。

Google Chromeのセキュリティ強化と無料SSLの普及がきっかけになってhttp:// で始まるサイトは通信が暗号化されておらず、セキュリティリスクがあるので https:// にしていきましょう!というか、http:// から始まるサイトは危ないから気をつけてね!という流れが加速しています。

SSL/TLS(https)とは

SSLとは、データを暗号化して送受信するインターネットの仕組み(プロトコル)です。暗号化通信と実在認証を行うことで、「盗聴」「改竄(改ざん)」「なりすまし」防止の効果を期待できます。

「https」でURLが始まっていることがSSLを利用するための条件のため、SSL化以外にhttps化すると言うこともあります。

今見ているWebサイトががSSL化されているかどうかは、URLが「http」ではなく「https」で始まっていたら暗号化されている”可能性が高い”ことが分かります。”可能性が高い”としているのは、ホームページ内にSSL未対応の画像等が含まれる場合、URLだけhttpsになって、通信は暗号化されていないというケースがあるからです。

SSLでの通信になっているかどうかはURLの横の鍵マークを見て判断する必要があります。(もっと詳細を見たい場合、鍵マークを右クリックして証明書の内容を確認してみてください)

Chrome で https のサイトの表示例

SSLとTLSの関係

ここまでずっとSSLと書いて来ましたが、実際に使われているのはSSLの後継になるTLSになります。SSLはSSL1.0 → SSL2.0 → SSL3.0とバージョンアップした後、TLS1.0 → TLS1.1 → TLS1.2 → TLS1.3と進化中です。

  • SSL(Secure Sockets Layer)
  • TLS(Transport Layer Security)

サーバーの設定をする人以外は、違いを意識する必要はないです。SSL、SSL/TLS、TLSと書かれている場合は暗号化通信されているという認識で大丈夫です。

SSL証明書の種類

SSL/TLSでの通信をするには、サーバーに証明書を導入する必要があります。SSL証明書は、大きく分けると3種類あります。

  • ドメイン認証(DV認証)
  • 企業実在認証(OV認証)
  • EV認証

OV認証、EV認証は法人のみ取得可能で、費用もかなりかかります。

詳しくは、SSL証明書の3つの種類という記事で書いています。

特に理由がなければ、ドメイン認証(DV認証)で十分で、年間数千円〜数万円と更新作業が毎年必要になります。ただ、無料SSLであれば、ドメイン認証(DV認証)が初期設定を行うだけで利用できるので、有料のSSLでないとダメという場合以外は、無料SSLを利用することをオススメします。

SSLが当たり前の時代と無料SSL

Google Chromeが求めるSSL対応

Googleが2014年8月に「HTTPS をランキング シグナルに使用します」という発表をして以来、徐々にSSL対応の流れが進んでいて、現在ではSSL未対応のサイトにGoogle Chromeでアクセスすると、アドレスバーに「保護されていません」と表示されるようになっています。

Chrome で http のサイトの表示例
Chrome で https のサイトの表示例

無料SSL

GoogleがSSL対応を推奨し始めてしばらくしてからLet’s Encryptという無料SSLが公開されました。2016年4月から正式サービス開始でSSL化の流れが加速し、Let’s Encryptの設定や更新の仕組みのバージョンアップと様々なレンタルサーバが無料SSLに対応し始めたことで、急速にSSL化が進んでいっています。

そのため、無料SSLに対応しているかどうかは、レンタルサーバーを選ぶ重要な指標になっています。

無料SSL対応のレンタルサーバにつては、次の記事をご参照ください。

SSLのメリット

SSLが必須の時代だ!という根拠はGoogleが推奨しているからというのもあるのですが、Googleが推奨するだけの利用がちゃんとあります。元々はセキュリティを向上させるためにSSLを導入することとSSLに対応していることでのWebサイトの信頼ということが目的でしたが、Googleの検索順位への影響やHTTP/2の登場により、セキュリティ以外の目的でのSSLの導入が進んでいます。

セキュリティ向上

通信の暗号化と、サーバの実在証明によるセキュリティ対策(盗聴・改ざん・なりすましの防止)になります。

この理由が一番ベースにあるSSLを導入する理由です。特に、フリーWi-Fiに見せかけて悪意のあるWi-Fiが設置されていた場合、盗聴・改ざん・なりすましは簡単に実現できてしまうため、自宅・学校・職場以外からの接続が増えている時代の流れを考えると、セキュリティ対応としてのSSLは無視できない状態になっています。

信頼性向上

SSLに対応していることで、ちゃんとセキュリティ対応しているサイトという印象を与えます。特にEV認証のSSLについてはURLの前に社名が表示されるため、銀行やセキュリティ関連の会社などにとってはセキュリティ対策に力を入れている証明になります。逆に、SSLが普及するについれて、SSL対応されていないサイトの信頼性が下がっているとも言えます。

EV認証(シマンテック社)の表示例

通信速度向上(HTTP/2対応)

HTTP/2という比較的新しい通信規格がSSL対応を前提として作られています。そのため、SSL対応を行うことで、HTTP/2での通信ができるようになり、Webサイトの表示までの時間が早くなります。

Webサイトの表示もGoogleの検索順位に影響があるため、結果的にHTTP/2への対応は検索順位にも影響します。

SEO効果

Googleが「HTTPS をランキング シグナルに使用します」という発表をしているため、SSL対応しているかどうかは検索順位に間違いなく影響しています。

また、HTTP/2対応による速度アップやユーザーからの信頼を得ての再訪率UPなど、SSL対応の他の効果も間接的に影響してくるので、SEO対策の一環としてもSSL対応はしておきましょう。

リファラー(参照元)の取得

Webではリファラーという前に見ていたページのURLを次のページに伝える仕組みがありますが、SSL対応済みのサイトからSSL未対応のサイトに遷移した場合、リファラーを渡してくれないという仕様になっています。

  • 参照元(https) → 移動先(https) : ○リファラー取得可能
  • 参照元(https) → 移動先(http) : ×リファラー取得不可
  • 参照元(http) → 移動先(http) : ○リファラー取得可能
  • 参照元(http) → 移動先(https) : ○リファラー取得可能

そのため、Google Analyticsなどでアクセス解析する場合、SSL未対応だとリファラーの情報が不足することになり、口コミサイトや広告系のサイトに出した結果の検証をしたくてもできなくなってしまいます。

SSLのデメリット

SSL化にもいくつかのデメリットが存在します。費用がかかるのはイメージしやすいと思いますが、サイトの特性によっては他にも気にかけておく必要があります。

SSL化に費用・時間がかかる

新規サイトでレンタルサーバーの無料SSLを使うだけの場合、最初に簡単な設定をしておくだけで完了ですので大した作業ではありません。

SSL未対応のサイトのSSL化をWeb制作会社やシステム会社に依頼する場合は費用が発生することがあります。有料のSSLを利用した場合の作業例は下記のようになります。

  • SSL証明書の費用
  • SSL証明書の申請
  • SSL証明書の設置
  • Webサイト・Webシステムの設定・リンク変更
  • SSL状態での動作確認
  • http → https へのリダイレクト設定
  • アクセス解析ツールの設定変更

SSL化前のアクセス解析の情報が引き継がれない

Google AnalyticsやGoogle Search Consoleでは、http のサイトと https のサイトは別のサイトと判断しています。そのため、SSL化した場合はSSL化後のURLを再登録する必要があり、元の http のサイトとは別の状態でアクセス状況が計測されていきます。

TwitterやFacebookのいいねのカウントも同様で、http と https では別のサイトとして計測されてカウントがリセットされてしまいます。

ガラケーへの対応状況

ガラケーはサポートしていません!という場合は考慮不要です。

逆に、ガラケー向けのサイトの場合、SSLの種類によってはガラケーのブラウザが対応しておらず、表示できない場合があります。

レンタルサーバーだと対応していない会社や上位のプランのみの対応となっているので、ガラケーも含めてSSL化を検討している場合はレンタルサーバー会社やガラケーでのSSL化対応の実績のある会社に相談してください。

SSL化で気をつけること

基本的にはSSL化はメリットだらけなのですが、前述したようなデメリットの他に、適当にSSL化してしまうことで逆効果になる場合があります。

自分で対応する場合でも、人に対応してもらう場合でもサイトの管理者が自分でチェックしたいポイントになります。

http でのアクセスは https にリダイレクトする

見出しのままですが、「http でのアクセスは https にリダイレクトする」処理を入れておかないと、SSL化しているのに http の方にアクセスがあるとSSLの恩恵は受けられないだけでなく、Google Analytics 等のアクセス解析ツールが別のサイトとして計上してしまいます。

また、対応が中途半端な場合、TOPページのみしか対応していなかったり、下層ページのアクセスを全てTOPページに転送する設定になっている場合もあります。

http://satopedia.com にアクセスすると https://satopedia.com に転送されるようになっていて、このページのhttpのページhttp://satopedia.com/always-on-ssl へのアクセスも https://satopedia.com/always-on-ssl に転送されます。

SSLサーバー証明書の期限がきれたまま放置すると逆効果

SSLの証明書には期限が設定されているため、更新作業が行えていないと「この接続ではプライバシーが保護されません」等の警告ページが表示されてしまいます。この時点でほとんどのユーザーは怪しいサイトとして離脱してしまいます。

レンタルサーバーの無料SSLの場合、90日の期限のものが残り30日を切った時点で自動更新するような仕組みが入っているので、ほとんど心配ありません。

逆に有料のSSLを利用している場合、証明書の期限が来るたびに支払いと申請、サーバーの設定変更作業が発生するため、注意が必要です。

サイト内の全てのコンテンツをSSL対応済みにする

画像やJavaScriptの読み込み先が http の場合、自分のサイトがSSL化してあってもSSLが適用されない場合があります。


httpとhttpsが混ざったページの表示例

サーバーの暗号化・復号処理の負荷

HTTP/2が登場するまで、「SSL化で遅くなる」と言われていた原因になります。HTTP/2の登場でもはや過去のもの!と言いたいのですが、当然ながら、HTTP/2未対応の場合は遅くなります。

また、SSL化前の状態でサーバーの負荷が高くなることがあるようなサイトの場合、単純にSSL化してしまうとサーバー負荷がさらに高くなり、HTTP/2対応していても遅くなる可能性があります。その場合、CDNを利用したり、SSL関連の処理だけをする別のサーバーに分ける等といった対応が必要になってきます。

無料SSLが使えるレンタルサーバー

通信が暗号化されていればOKという場合や、SEOやHTTP/2のためのSSL化の場合、SSL証明書のブランド的な価値は気にする必要がないため、無料SSLの利用がおすすめです。特に個人ブログやWeb専任担当がいないような企業の場合、レンタルサーバーに付属の無料SSLの利用をお勧めします。

まとめ

セキュリティ強化の流れを受けてGoogleがSSL化を検索順位に反映すると宣言し、無料のSSLが登場して、ブラウザもSSLの対応状況を強く反映するようになっています。

多くの場合は気軽に無料SSLを使ってSSL化できるのですが、ガラケー対応やサーバ負荷などの考慮がいる場合は少し慎重にSSL化していきましょう。

時代の流れだけではなく、SSL化はメリットも多いので、多くのサイトのSSL化が進むことを期待しています。