ホームページのSSL化とは？SSL化しないとサイトが将来的に見られなくなるかもしれません

SSLとは、簡単に言うとホームページとそのサイトを閲覧しているユーザーとのやり取り（通信）を暗号化するための仕組みとなります。

日常的に利用しているインターネットは、悪意のある第三者が通信の中身を盗み見て悪用することができてしまいます。

例えば、閲覧しているホームページのアドレスや、掲示板に書き込んだ内容、ショッピングサイトで入力したクレジットカード番号やパスワードなども盗み見ることが可能です。

これを防ぐためにSSLの仕組みが生まれました。

ホームページのSSL化とは、SSLという仕組みをもってホームページに接続されていることを指します。

そして、ユーザーが情報を入力するページのみならず、ホームページ全体をSSLで通信するものを常時SSLといいます。

ホームページのURLが「https://～」で始まっている場合、常時SSL化がされています。

今まで一般的だったのは、ホームページ上でパスワードや個人情報等を入力するページ（ログインページやクレジットカード決済ページなど）のみにSSLをかけて、特に重要な情報のみ保護する形式です。

しかしながら、最新のChromeでは「保護されていません」と警告がブラウザに表示されるようになりました。

さらに、フォームがありそちらを入力すると赤文字の警告となり、情報が漏洩するリスクがあるという警告が出るようになりました。

このような動きもあり、将来的にSSLでないページはブロックされるようになるかもしれません。

これではユーザーが安全ではないと離脱するリスクも考えられますので、早目のSSL化を行うことをお勧めします。

サイトにSSLを設定するとさまざまなメリットがあります。

主にセキュリティ向上、暗号化による通信内容の盗聴防止、サイトの正確性証明になります。

セキュリティ対策になる

SSL暗号化と電子証明書を組み合わせた「SSLサーバ証明書」は、通信の暗号化とウェブサイトの運営者・組織が実在することが保証されます。

今までの一部のフォームなどを暗号化するのではなく、認証局発行のSSLサーバ証明書で全てのページを暗号化することで、インターネット環境におけるセキュリティリスク（なりすまし、盗聴）に対抗し、ユーザーにとって安全なサイトを構築します。

せっかくSSLを導入しても、一部のページだけでは盗聴やなりすましは防ぐことはできません。

すべてのページに導入することで、盗聴対策などに効果を発揮します。

SEO(検索エンジンの順位の向上)にも有効である

常時SSLを推進しているのがGoogleです。

Googleは2014年にホームページが常時SSL化されているかどうかを、検索順位を決定する要素の1つとしました。

検索エンジンのデファクトスタンダードであるGoogleがこのような姿勢をとっていることから、常時SSLをすることで検索順位が上がるのは明確です。

検索順位が上がることでGoogleをはじめとする検索エンジンから、ユーザーが安心して使える信頼のおけるコンテンツであると高く評価されます。

すでに93%ものホームページが常時SSLを導入していることを考えると、常時SSLは導入されていて当たり前と認識されていると考えたほうがいいでしょう。

逆に言うと、常時SSLがされていないと検索順位が下がるということです。

サイトの信用度を高める

企業認証SSL(OV)を発行することで、実在する企業からの発行であることが証明されます。

これにより、サイトのなりすましではないことが証明され、お客様からの信頼も上がるでしょう。

EV認証SSLというものがありますが、こちらは企業認証SSL(OV)よりも審査が厳しくなるのでより信頼性が増すものとなります。

なお、ドメイン認証SSLというものも存在しており、こちらは最低限の検証を得て発行されるものです。

そのため、実在する企業かどうかの検証が行われないため、サイトのなりすましや詐欺サイトでも使われる可能性も存在しています。

信頼できるサイトであることをアピールする場合、企業認証SSLまたはEV認証SSLを発行することをお勧めします。

SSL化をするにあたってデメリットもあります。

それは主に費用や手間です。今までは数年単位でのSSL証明書がありましたが、最近のセキュリティの強化に伴い必ず1年単位での更新が必要となりました。

 SSLは毎年更新しなければならない

Appleの提案により、SSLは1年単位でしか発行されなくなりました。

そのため、毎年のSSL更新作業が必要です。更新のための費用やコストをあらかじめ組んでおく必要があります。

 SSL化には費用と手間がかかる

SSL化にはどうしても費用がかかります。

そもそものSSL証明書ですが、ドメイン認証SSLは最低でも7,000円はかかります。

企業認証SSLとなると平均50,000円以上です。

また、SSL証明書の種類の一つとして、マルチドメイン証明書とワイルドカード証明書が存在します。

マルチドメイン証明書は複数ドメインを一括で証明するものとなります。

ワイルドカード証明書は１つのドメインに加えて、下層のサブドメインも証明するものです。

どちらも複数のドメインのSSL証明書を一つずつ取得するよりも費用の削減効果があります。

無料のLet’s EncryptというSSLもありますが、弊社ではお勧めしません。

理由としては、セキュリティが担保されていないためです。

SSLは最低限有料のものを購入することをお勧めします。

また、サーバでの設定費用も有料です。

多くのレンタルサーバーの場合、SSLでの設定費用があります。

そして、SSL化を行う場合は

1.サーバーのバージョンの確認(最新のTLS1.2以降対応か)

2.サーバー側で CSR の生成

3.CSRを証明局に提出し、サーバー証明書の取得

4. サーバーに証明書をインストール

という手順を踏みますので、どうしても手間がかかります。

ドメイン認証SSL(DV)はフィッシング詐欺に利用される可能性もある

ドメイン認証SSLの証明書は、最低限の検証を得て発行されています。

企業認証SSL証明書やEV SSL証明書と比べ、大幅に安価ですが、それは発行作業に人手がかからないためです。

ドメイン認証SSLは、ドメイン管理者が証明書の発行を要請しているか認証局が確認した上で発行されます。

ドメイン所有者の同意は確認しますが、ドメインの所有者が誰であるかは検証しません。

そのため、ドメイン認証SSL証明だけでは、潜在的に中間者攻撃とフィッシング詐欺に利用される可能性もあります。

「ホームページの全体をhttpsアクセスにする、常時SSLにしたほうが安全性が高くなるのはわかっていても、それによってサイトの表示スピードが遅くなるのは困る」との意見があります。

確かに、SSL化されたサイトとそうでないサイトとでは若干表示速度は遅くなります。

ただし、それはHTTP/1.1での話です。

SSLのページは、サーバを設定することでHTTP/2プロトコルが使用できるようになります。

HTTP/2はHTTP/1.1にはないヘッダーの圧縮機能、接続の多重化機能があります。

それらの効果により、HTTP/2は1.1とくらべて1.4倍程度の速度差があります。

以下のサイトより直接計測が可能です。

HTTP vs HTTPS — Test them both yourself

最後に、SSL証明書をどこで取得したらいいのかについてわからない人のために、証明書発行サイトを説明します。

DigiCert

マルチドメイン証明に対応するプランと、ワイルドカード証明に対応するプランがあります。

目的や用途に応じてセキュリティレベルと認証レベルを選ぶことができます。

https://www.websecurity.digicert.com/ja/jp/ssl-certificate

GlobalSign

GlobalSignはGMOインターネットグループに属するSSL認証サービスであり、日本国内のシェアがNo.1という実績があります。

大規模向け、中小規模向けなど細かくサービスが分けられており、様々な業種や業界、形態に応じて必要な認証レベルと、高いセキュリティ性が確保されています。

https://jp.globalsign.com/

SECOM

警備や防犯会社であるセコムも「セコムのSSLサーバ証明書」としてSSL証明書を発行するサービスを展開しています。

こちらは有効期限が90日間あるテスト証明書を即日～2営業日以内に無償で発行してくれるので、動作環境やテストをすぐに行うことができます。

https://www.secomtrust.net/service/pfw/

ホームページのSSL化は、サイト訪問者を安心させることやSEO対策の面で必須になりつつあります。

費用をかけたくないからと言ってSSL化を避けることにより、SEO効果が低減するほか、ブラウザの警告メッセージによりサイト訪問者が敬遠することもあり得ます。

現在においてSSL化は、きちんと費用をかけておくべき施策の１つです。

SSL化が未対応のサイト運営者は、これを機会としてSSL化をぜひご検討ください。