記事
httpとhttpsとは?常時SSL化未導入の問題点
ウェブサイトのURLには「http://~」で始まるものと、「https://~」で始まるものがあることを気にされたことはありますか。
Google chromeやSafariなどの主要なブラウザーでHTTPのウェブサイトを表示する際、警告が表示されるようになったことから、すべてのページをHTTPSにする常時SSL化が広まっています。この記事では、常時SSL化しないことによって起こり得る問題点についてご説明します。
目次
常時SSL/TLSとは
常時SSL/TSLとはウェブサイトのすべてのページをHTTPS化するセキュリティ方法です。
従来は、問い合わせフォームやクレジットカード情報の入力画面などの個人情報を求めるページのみに、SSL/TLS が必要とされてきましたが、これをウェブサイト全体に広げることでウェブサイト全体の信頼性と安全性を高めることができます。
常時SSLが必要な理由
ウェブサイト全体の信頼性・安全性の向上
常時SSL化により通信内容の盗聴や改ざんを防ぐだけでなく、正規のウェブサイトであることを示し、なりすましを抑制することが可能です。
また常時SSL化により、ドメインを所有していることが証明されるため、信頼性を高めることができます。
また、主要なウェブブラウザーでは、HTTPのウェブサイトを表示する際、アドレスバーに警告が表示されることがあります。HTTPのウェブサイトにアクセスした際、アドレスバーにGoogle Chrome 68以降では「保護されていない通信」、Safari 12.1以降では「安全ではありません」と表示されます。ウェブサイト訪問者に不安を与える警告を表示させないためにも、ウェブサイト全体をHTTPS化する常時SSL化が必要です。
検索順位の向上
Googleは2014年8月から、HTTPサイトよりもHTTPSサイトの検索順位を優先するロジックを組み込みました。つまり常時SSL化することで、すべてのページに対してSEO上ポジティブな影響を与えることができるようになりました。
ウェブサイト表示の高速化
常時SSL化により、情報を圧縮することで通信速度を向上するHTTP/2という通信方式が利用でき、それまでのHTTP/1.1と比較してウェブサイトを高速に表示することが可能です。HTTP/2では、複数のリクエストを同時に処理できるようになるなど、昨今のウェブサイトが抱える大量のコンテンツを効率的に送受信できる機能が複数追加されています。
かつては、ウェブページをHTTPSにすると、ウェブサーバー、ブラウザー両方に負荷がかかり、表示が遅くなることもありましたが、HTTP/2が登場したことにより、常時SSL化はウェブサイトの表示を高速化させる要素となりました。
導入方法
常時SSL化するまでの基本的な流れについてご説明します。
サーバーを確認
まず、ウェブサイトのサーバーが常時SSL化に対応しているかどうかを確認します。レンタルサーバーの種類によっては、HTTPS通信に変更できないものがあります。自社のサーバーがHTTPS通信に対応しているかを確認しましょう。
SSLサーバー証明書の発行
常時SSL化には、ウェブサーバーにSSLサーバー証明書を設置する必要があります。ウェブサイトの一部にSSL化対応を行っていた場合は、発行済みのSSLサーバー証明書が有効かどうかを確認しましょう。
また、サーバー証明書には、DV(ドメイン認証型)、OV(組織認証型)、EVの3種類があります。これらは機能(通信の暗号化)の点ではいずれも同じで、認証の対象(何を認証しているか)が異なります。DVはドメイン名の管理権限のみを認証し、OV、EVはドメイン名の管理権限に加え、組織の法的実在性も認証します。
サイト内容確認・更新
SSLサーバー証明書を設置したことで、ウェブサイトのURLはHTTPS通信になっていますが、HTMLやCSSのソースコードに記入してある内部リンク・外部ファイルのURLがHTTPSに変更されていない可能性があります。内部リンクや画像、JavaScriptといったウェブサイトの外部ファイルのリンクもHTTPからHTTPSに変更する必要があります。
リダイレクト設定
URLが変わるため、変更前のHTTP通信のページへアクセスがあってもエラーにならないように、強制的にHTTPS通信のページに飛ばすリダイレクト設定をしておきましょう。これまで公開していたHTTPのウェブサイトを急に閉鎖してしまうと、他のウェブサイトからのリンクが切れたり、ウェブブラウザーのブックマークからアクセスができなくなったりしてしまいます。
完了
ウェブサイトの常時SSL化は完了です。
その他、アクセス解析ツールやサイト内検索などの外部連携サービスを利用している場合、登録しているURLをHTTPSのURLに変更する必要があることがあります。
まとめ
今後、企業サイトでは「常時SSL化」が不可欠となっていくと考えられます。
すでに公開中のウェブサイトを常時SSLに変更する場合、HTTPからHTTPSへのURL変更とURL変更に伴う各種設定(URL記載変更や、従来のページから新しいページへのリダイレクトなど)の対応が必要です。
ウェブサイトに関するお悩みは弊社へご相談ください
ネットコムBBのホームページ制作は常時SSL化に対応するウェブサーバーの準備やドメイン・SSL証明書の発行を行っております。ウェブサイトに関するお悩みがございましたらお気軽にお問い合わせください。