「SSLなんて聞いてもよくわからないし、ほっておこう」
「ネット上で自分のホームページは見れるから問題ないだろう」
なんて思っている方はいらっしゃいませんか?正直、SSL化は重要ですので、ほとんどのケースで対応すべきです。当記事ではその理由と、SSLとは何かを解説します。
SSL化をしないとどうなる?
SSL化をしないで起こることは以下の4つです。
・ホームページが正しく表示されない
・検索順位が落ちる
・ネット上でのなりすましや重要な情報が漏れるなど、セキュリティ面でリスクに晒される
・ページの表示速度が遅い
ホームページを運用する上でかなりのデメリットとなります。それでは、各項目を詳しく見ていきます。
ホームページが正しく表示されない
Googleは2019年10月3日に以下の発表をしました。
Chrome will gradually start ensuring that https:// pages can only load secure https:// subresources. In a series of steps outlined below, we’ll start blocking mixed content (insecure http:// subresources on https:// pages) by default.
引用元:Google Security Blog-https://security.googleblog.com/2019/10/no-more-mixed-messages-about-https_3.html
要約すると「Chromeでは混合コンテンツをブロックします」という発表で、SSL化されてないコンテンツ(画像や動画、音声など)は表示出来なくなります。つまり、サイトの表示が崩れてしまう恐れがあるのです。これのアップデートは2019年の12月から以下の3つの段階に分けて行われます。
2019年12月・・・混合コンテンツはブロックされるが、その設定はユーザーが任意で切り替え可能
2020年1月・・・動画・音声の混合コンテンツをデフォルトでブロック。また、画像が混合コンテンツである場合「安全でない」という表示がされる
2020年2月・・・画像の混合コンテンツもブロック
このように、サイトにアップしている画像や動画が表示されなくなります。今現在問題なく表示されている場合でも、下記の理由からSSL化はおすすめです。
検索順位が落ちる
後ほど詳しく解説しますが、SSL化(常時SSL化)することでユーザーが暗号化された安全な接続を享受することができます。そしてGoogleは”セキュリティがGoogleの最優先事項”と公式で発表しているほど、セキュリティに重点を置いています。
実は、2014年時点で既に”SSL化されているサイトを優遇して検索順位上位に表示する”と明言しており、近年その傾向が徐々に強くなってきています。
逆に言えば、SSL化していないサイトは検索順位が落ちてしまうということです。Googleは”WEBサイトはSSL化されていて当たり前”だと考えているようですので、そちらに寄せていく必要があります。
セキュリティ面でリスクに晒される
SSL化(常時SSL化)が出来ていないと、主に以下のリスクを自身のサイトだけでなく、ユーザーにまで与えてしまう可能性があります。
・サイトのなりすまし
・中間者攻撃のリスク
・Cookiyの盗聴
・ユーザーへの不信感
ちなみに、以上のセキュリティリスクを回避する為には「常時SSL化」というサイト全体をSSL化する手法を取る必要があります。つまりお問い合わせフォームや会員登録フォームだけをSSL化するだけでは不十分です。「このサイトは安全ではありません」という表示を見たことはありませんか?これはSSL化されていないサイトであるとGoogleが教えてくれているのです。ユーザーがこの表示を見たときやURLがhttp://で始まっていると不安に思いサイトを離れてしまうので、その分の機会損失にもつながります。
ページの表示速度が遅い
常時SSL化をすることで、HTTPS通信になります。そして、HTTPS通信はHTTP/2という次世代プロトコルからレスポンス速度が速くなるメリットを享受できます。一方HTTP通信(SSL化が出来ていない通信)のままだと、多くのブラウザでHTTP/2がサポートしておらず、サイトの速度に差が出てしまうのです。
ではなぜ表示速度が遅いことがデメリットに繋がるのでしょうか?理由は簡単で、「ユーザーがストレスだと感じるから」です。
この記事を読んでいる方にも経験があるのではないでしょうか?開きたいサイトをクリックして、3秒以上待っていても一向に表示されない。表示されたとしても、サイトがかなり重くてイライラする・・・
そんなサイトを無理して読むくらいなら、似たような情報が載っているサイトを探してそちらを見ますよね。一般的に、「ユーザーが待ってくれるのは3秒まで」と言われています。3秒を過ぎると過半数のユーザーがすぐにサイトから離れてしまうので、ページの表示速度が遅いのはかなりのデメリットです。
さらに、Googleも検索順位にサイトの表示速度を指標にすると明言しています。SEOの観点からみてもユーザー視点からみても、常時SSL化をするメリットが大きいのです。
SSL,常時SSL化とは何か?
ここからはSSLについて簡単に解説していきます。まず、SSLとはWEBサーバーとWEBブラウザの通信を暗号化する手法、つまり、サイトとユーザーのやり取りを暗号化する方法です。
少し前からメディアで騒がれていますが、非暗号化通信だと個人情報の抜き取りやなりすましといったネット上の犯罪が、少し知識があれば誰にでも簡単にできてしまいます。
これらの犯罪を防止するためにサイトをSSL化しているのです。通信が暗号化されているので、もしも途中でデータを盗み見られたとしても解読は困難となります。
特にクレジットカードや住所・電話番号などを取り扱うサイトの場合、情報が第三者に漏れてしまうと取り返しのつかない事態になりかねません。一度でもそういった事件が起きてしまうと、ネット上で信頼を回復させるのは至難の業です。あらかじめリスクを回避する為に、SSL化を行いましょう。
・常時SSL化とは?
常時SSL化とは、サイト全体をSSL化することです。例えばユーザーが情報を送信するお問い合わせフォームや会員登録フォームだけにSSLをかけておくだけでは不十分ですので、サイト全体を暗号化して情報漏洩や改ざん、盗聴を予防するために用います。
基本的に、SSL化と言えば常時SSL化を指すことが多く、弊社でもSSL化をする際はサイト全体を暗号化します。
サイトを常時SSL化する方法
ここからはSSL化する方法のご紹介です。手順としては以下の通りになります。
①自身のサーバーの状況を確認
②SSL証明書の申請・インストール
③バックアップの取得・テスト環境の構築
④ソースコードの書き換え
⑤バグチェック
⑥CMSにもHTTPS設定
⑦リダイレクト設定(.htaccessでの設定など)
⑧各ツールの設定更新
当記事では簡略化して説明していきます。
①まずは自身のサーバーの状況を確認しましょう。「レンタルサーバーか自社サーバーか」「SSL証明書に対応しているか」「テスト環境の構築が可能か(テストサーバー)」「ディレクトリやルートの設定はどうなっているのか」など、あらかじめ必要となる情報を確認しておきます。なお、レンタルサーバーの場合はSSL化がより簡単に行えます。②や⑦の設定がサーバーパネル上でボタンをクリックするだけで良い場合が多いです。
②レンタルサーバーである場合は、一度サーバーパネルまでログインして対応しているSSL証明書を確認してみましょう。無料でSSL証明書を発行している場合もあります。
自社サーバーの場合、CSRを作成しファイルをSSL証明書ベンダーに渡します。審査に通ればSSL証明書が発行されます。発効後に、中間CA証明書・SSL証明書をダウンロードしましょう。
③必ずバックアップを保存しておきましょう。④のソースコードの書き換えは、かなり繊細な作業ですので予期せぬエラーや混合コンテンツの書き換えミスが発生することが考えられます。また、テスト環境でHTTPSに引っ越ししたサイトの表示を確認出来るようにしましょう。
④HTML/CSSやJSで記述されているリンクやパス、コード自体をHTTPS用に書き換えます。
⑤正確に表示されているか確認します。エラーが出ている場合は修正も行います。Chrome開発者ツールを使用しましょう。
⑥CMSを使用している場合は、そちらも合わせてHTTPS化を行います。
⑦⑥までの手順ですと、HTTPとHTTPSの2つのサイトにユーザーがアクセスできる状態です。HTTPにアクセスがあったらHTTPSのサイトに飛ばすことができるようにリダイレクト設定を行いましょう。
⑧サーチコンソールやアナリティクスなどのツールもHTTPS化を行ったURLで再設定を行います。
当記事の要点
・サイトの常時SSL化を強く推奨します
・SSLとはサイトとユーザーの通信を暗号化する方法
・SEOの観点から見ても、SSL化するメリットはかなりある
期日は過ぎておりますので、SSL化がまだの方は早めの対策をお勧めしております。