調べものをしていてあるウェブサイトにアクセスしたところ、「この接続ではプライバシーが保護されません」と表示され・・・
- プライバシーエラー
- 保護されていない通信
- パスワード、メッセージ、クレジットカードの情報が盗まれる恐れがある・・・
と警告されました。
「!」と感じて、静かにそのページを閉じましたが、あなたならこの警告文を見て、先に進もうと思いますか?
この警告が表示される原因は、閲覧しているホームページが「常時SSL化」されていないためです。
もし「うちのホームページは大丈夫かな・・・」と思ったら、自社のホームページにアクセスしてみて下さい。
以下の画像の様に「南京錠」のマークが出ていれば「常時SSL化済み」です。(Google Chromeの場合。他のブラウザでは表示が違います。)
ですが、左上に「保護されていない通信」と表示されていたら・・・対策を急ぎましょう。
せっかく訪問してくれたお客様も立ち去ってしまい、売上機会を失っているかもしれません。
今回は対策が急務の「常時SSL化」についてお伝えします。
目次
常時SSL化とは?
まず、常時SSL化とは何なのか?を説明すると
ウェブサイト全体を https(sが付く) から始まるURLにすること。
例)https://yamanashisyuukyaku.com/
ちなみに、この「s」はセキュリティー(security)を表しています。
見た目にはたった一文字「s」が付くかどうかですが、セキュリティ面での安全性が違います。
- http ➡ウェブサイトのデータを一切暗号化させず、そのまま情報をユーザーに送る。
- https ➡ウェブサイトのデータは一度暗号化されてユーザーに送信。ユーザー側に受信されると復元されてウェブサイトのデータが表示される。
このように、httpとhttpsではサイトとそれを利用するユーザー間でのやり取りが暗号化されているかいないかが大きく違います。
今までは、ウェブサイト上でパスワードや個人情報等を入力するページ(ログインページやクレジットカード決済ページなど)のみをhttps化し、特に重要な情報のみ保護するという形式が一般的でしたが、インターネットにおけるセキュリティ意識の高まりやGoogle Chromeなどの主要なブラウザーでの対応を受け、ウェブサイト全体をhttps化することが求められています。
ウェブサイトのセキュリティが求められている以上、「常時SSL化」の流れは必要不可欠になりますが、導入にはメリットもデメリットもあります。
その点も考慮しながら、今後どうするのか決定する事になります。
常時SSL化のメリット・デメリット
メリットについて
常時SSL化をする事で、セキュリティ面が強化される以外にも、様々なメリットがあります。
- ウェブサイトのセキュリティ向上・・・データ送信が暗号化されることで、なりすましや盗聴がしにくくなります。
- アクセス解析の精度向上
- ウェブサイトの表示速度の向上・・・ウェブサイトの表示を高速化する次世代プロトコル「HTTP/2」を利用するには、httpsで通信することが事実上必須です。
- ウェブサイトの訪問者への安心感・・・南京錠マークがあることで、訪問者も安心してウェブサイトを見てもらえます。
- 検索順位の向上・・・Googleは2014年にhttpsをランキングシグナル(検索順位を決定する要素の1つ)に使用することを公表しています。httpからhttpsにした方が検索順位の向上に良い影響があると言えます。
デメリットについて
常時SSL化で生じるメリットもあれば、少なからずデメリットもあります。
私が特に感じたのは「URLが変わることで受ける影響」です。
- ブログ記事などにフェイスブックの「いいね!」が付いている場合、0になる。
- ウェブサイトの解析で、Googleアナリティクスやサーチコンソールなどを設定している場合は、再設定が必要になる。
たった一文字「s」が付いただけでも、ウェブサイトは別URLと判断されます。その結果、今まで「いいね!」がついていたものがリセットされます。
せっかく「いいね!」が付いていたのにリセットされるのは嫌という方は➡ こちら をご参照ください。(「いいね!」が表示される仕組みについての知識、.htaccessの修正やFTP利用、css追記といった知識が必要になりますので、分かる方に聞いてみる事をお勧めします)
常時SSL化する方法
もしまだ常時SSL化してなくて、すぐにでも対応したいという場合、 SSLサーバー証明書が必要です。
そこで、まずはどのくらいの料金が必要になるか確認します。
レンタルサーバーを借りてホームページを運用している場合、そのレンタルサーバーを管理している会社でSSL証明書の発行料金も表示されています。以下はお名前.comのSSL紹介ページです。
お名前.com
その上で、以下のパターンに分けて考えます。
- 外部業者にホームページ制作を依頼している場合。
- 自分でホームページを立ち上げた場合。
外部業者にホームページ制作を依頼している場合
ホームページ制作会社に「常時SSL化」をお願いすることになります。
料金はピンキリなので、まず見積もりをしてもらって、納得したら対応してもらう事になります。
自分でホームページを制作した場合
レンタルサーバーを借りている会社に申請して実施することになります。
例えば当社の場合は、「お名前ドットコム」で有名なGMOインターネットグループでレンタルサーバーを借りているので、そちらから手続きをしました。
まとめ
こちらが望む望まないに関わらず、事実上「常時SSL化」は今後のウェブサイトには必須のセキュリティ対策となります。
ちなみに「常時SSL化」への切り替えは、 大規模サイトでもない限り、 数時間~1日で完了します。
多少費用が掛かる場合もありますが、費用以上に得られるメリットは大きいので、まだ対応されていないという場合は、早急に対応しましょう。