ディーネットカスタマーサポートの柳瀬です。
皆様は、最近「常時SSL」という言葉を耳にしたことはありませんか?
今日は、今、話題の「常時SSL」について詳しくご紹介しようと思います!
目次
そもそも、SSLって?
SSL証明書とは、インターネットとサーバ間でやり取りされる個人情報等を暗号化する役割を果たします。情報が暗号化されることで、第三者によるデータの盗聴や改ざんなどを防ぐことができ、
インターネット上で個人情報・クレジットカード情報などの大切なデータを安全にやり取りすることができます。
SSL証明書を導入するとどうなる?
- 盗聴、なりすまし、改ざんを防ぐことができるので安心してインターネット上で個人情報のやり取りができます。
- WEBサイトのURLがhttps://~になります。
- アドレスバーに鍵マークが表示されるため、一目で安全なサイトとアピールすることができます。
- 一部ブラウザでアドレスバーに警告が表示されなくなり、「保護された通信」と表示されます。
常時SSLとは?
常時SSLとは、一部サイトのみでなくサイト全体をSSL暗号化通信することです。
常時SSLのメリット
より安全なサイト構築をすることができる。
一部ページのみにSSL証明書を導入するのではなく、サイト全体にSSL証明書を導入することでどのページのアドレスバーにも鍵マークが表示され、より安全で信頼できるWEBサイトであることをユーザにアピールすることができます。
検索順位への影響
検索順位結果はGoogleのクローラと呼ばれるロボットがWEBサイト内のキーワードや文脈を評価して順位付けをしているが、WEBサイトがhttps://かどうかも評価ポイントに含まれてると発表したことから常時SSLにすることで検索順位があがることに繋がるかもしれません。
WEBサイトの表示が速くなる
HTTP/2プロトコルが利用できるため、モバイルでのWEBサイト表示が速くなります。
※HTTP/2とは......
HTTPを高速化するとともにセキュリティの強化を行い、モバイル機器でのウェブ表示を高速化するという目的で開発されたプロトコルです。
WEBサイトの分析に活用できる
Google Analticsでリファラ(ユーザーがサイトに流入する時に利用したリンク元のページの情報)の数値が正確にでるため、自社サイトの分析に活用できます。
常時SSLのご注意点
コストが発生する
SSL証明書を導入する場合、以下のご費用が発生いたします。
※表示価格は全て税抜きです。
<専有サーバご契約のお客様>
- SSL証明書費用 :お選びいただく証明書により異なります。
- SSL証明書維持管理費用:30,000円
※初年度のみ初期導入費用(10,000円)が発生いたします。
<extremeserv.ご契約のお客様>
- 専用IP費用 :24,000円
- SSL証明書費用 :お選びいただく証明書により異なります。
- SSL証明書維持管理費用:10,000円
※専用IP費用はホスティングプランのご契約満了日に紐づくため、初年度のみお申し込みのタイミングにより変動します。
※オプションで証明書の設置代行をご依頼いただいた場合は、5,000円発生いたします。
Let's Encryptと呼ばれる無償のSSL証明書(当社ではご提供しておりません。)もありますが詐欺サイトに多く使われている、万が一の場合のサポートが不十分、有効期間が90日間と短いこともあり最適な利用場面が限定されています。(社内限定サイト、テスト用サイトにはぴったりです!)
http→httpsへの移行作業が発生する
http://から始まるパスをhttps://~に変更
Java Script/CSS/HTML/PHPなどのファイルでhttp://から始まっているパスはhttps://に変更する必要があります。もし、https://のページにhttp://のコンテンツ(動画、画像、スタイルシート)が含まれる場合、[混在コンテンツ(Mixed Content)]と呼ばれるエラーが発生してしまうため、httpとhttpsを混在させないように気をつける必要があります。混在コンテンツがあるかどうかはブラウザのコンソールツールで確認することができます。
301リダイレクト設定(恒久的な転送)
.htaccessと呼ばれるファイルをサーバに置くことで、httpにアクセスがあった際にhttpsに飛ばす転送設定をすることができます。しかし、http://からhttps://に転送される間はhttp://通信になるため、その間に情報が傍聴される可能性があります。また、リダイレクト設定はブラウザのキャッシュを消してしまうと、いちからのアクセスとして認識されるためhttp://→https://に転送される動作がその再度発生することから、100%安全ではありません。
※お客様の責任のもと、設定の際には十分ご注意ください。
HSTS設定(HTTP Strict Transport Security)
.htaccessファイルでリダイレクト設定をした記述の上に、以下コードを追加することで、
Header set Strict-Transport-Security "max-age=31536000" env=HTTPS
サーバアクセス時に「このサイトにはhttp://ではなくhttps://で必ず接続せよ」というレスポンスをブラウザに返すので、初回のアクセスでさえリダイレクトされれば、次回からのアクセスはhttps://に直接アクセスされるようになります。
※初回のアクセス時はhhttp://→https://に飛ばす処理が行われるため、http://通信になり、少なからず情報が傍聴される可能性があります。
※お客様の責任のもと、設定の際には十分ご注意ください。
HSTSプリロード設定
HSTS設定をした上で、https://hstspreload.org/から該当サイトのURLを登録することでInternet Explorer を除く以下のブラウザからWEBサイトにアクセスした際に初回から常にhttps://通信になります。
Google Chrome/FireFox/Opera/Safari
※現時点で、Internet ExplorerはHSTSに対応しておりません。
SNSのカウントがリセットされる
URLがhttp://からhttps://に変わるだけでも、別のWEBサイトとして認識されてしまうため、Facebookの「いいね」のカウント数やTwitterのカウント数などがリセットされます。
https非対応ツールや広告が非表示になる
ニコニコ動画やAmazonアフィリエイト等は現状https://に対応していないため、非表示になってしまいます。しかし、将来的にはhttps://に対応する可能性もあるようです。
各ブラウザの対応
今年7月24日にリリースされたGoogleのブラウザChrome68から全http://のサイトに対してアドレスバーに「保護されていない通信」と警告表示されるようになりました。さらに、10月にリリース予定のChrome70では、警告表示が赤字になる仕様も追加される予定で、ますます、常時SSLへの動きが加速することが予想されます。
当社サイトを例に、各ブラウザのhttp://サイトへの扱いをみてみましょう!
上記のように、Fire FoxやIEではアドレスバーの警告表示は特にありませんが、Chrome68では、http://サイトにはアドレスバーに「保護されていない通信」という警告表示がされます。
最後に・・・・
今、上場企業の56.8%が常時SSLに対応しているといわれていますが、ブラウザの全世界シェア率トップのGoogle Chromeの影響もあり、この数字は今後さらに上がっていく事が予想されます。常時SSLのメリット・デメリットをよく理解した上で、SSL証明書を導入することが大切です。お困りの際はぜひディーネットにご相談くださいませ。
