常時SSLで、Webサイトの安全性を高めよう

常時SSLでサイトをまるごとSSL通信にすると、セキュリティが高まる

公開日 | 更新日 2018年7月28日

このエントリーをはてなブックマークに追加
Pocket

SSL通信とは、インターネット上の情報のやりとりで起こりがちな覗き見、なりすまし、改竄、否認といった被害を防ぐための技術です。具体的には、SSL証明書で Webサイトの所有者が実在することを証明したうえで、情報を暗号化し、内容が漏れないようにします。SSL通信になっているページは、アドレスが http から https へ変わり、錠前マークが表示されます。

Webサイトをまるごと常時SSL

SSL通信でないと改竄できるため、ニセページを使ってIDやパスワードを盗むことができる

SSL通信でないと改竄できるため、ニセページを使ってIDやパスワードを盗むことができる


さて、SSL通信は当初、クレジットカードの番号などの個人情報を書き込むページに設定すればいいとされていました。逆に言えば、個人情報を含まない、例えば、Webサイトからの情報などは、SSL通信にしなくてもいいと考えられたため、同じWebサイトに SSL通信のページとそうでないページが混在していました。
ところが近年になって、SSL通信でないページを通信中に偽ページに書き換え、IDやパスワードを盗み取るウイルスが横行するようになりました。こうしたウイルスに対抗するために考えられたのが 常時SSL という方法です。
常時SSLはWebサイト丸ごとSSL通信にしてしまうものです。どのページも https ではじまるセキュリティの高いページなので、Webページ上からウイルスが偽ページへ誘導することができなくなりました。

常時SSLには独自ドメインのSSL証明書が必要

さて、SSL通信には SSL証明書をとる必要があります。以前は、高いSSL証明書ばかりだったので、個人事業者などは、よく無料の共有SSLをお問い合わせページに利用していました。
共有SSL とは、ホスティングサービスが提供するレンタルサーバーのSSL証明書を 同じサーバーを使っているサイト運営者に無料で使わせるサービスです。
共有SSL を使う場合、お問い合わせページだけ、他のページとは別に、ホスティングサービスが指定するhttps:~ ではじまるSSL用のアドレスにします。こうすれば、お問い合わせページには錠前マークがつき、通信内容は、暗号化されます。
たとえば、独自ドメインを使っている場合、こんな感じです。

独自ドメイン
http://www.○○○.jp/

お問い合わせページ
https://ssl-yy-server.or.jp/○○○/otoiawase.html

つまり お問い合わせページだけ、SSL証明書が実在を証明している Webサイトへリンクを飛ばしているわけです。
しかしこれでは、ユーザーからみれば、自分の情報を受け取る相手がほんとうに実在しているか証明したことにはなりません。
このように、共有SSL ではWebサイトの所有者の実在が証明されないため、常時SSL はできません。
ちなみに、ホスティングサービスの中には、独自ドメインでの共有SSL の使用を非推奨とする所もあり、共有SSL の代わりに、「独自SSL」という名称でSSL証明書を取り扱う所もあります。
常時SSL にする場合は、SSL証明書(独自SSL)を入手する必要があります。

アドレスが http https に代わってもSEOは大丈夫

常時SSLになると、アドレスが http://~ から https://~ に変わります。
通常、アドレスが変更すると、SEO(検索ランキング)では不利になるといわれています。しかし、301 リダイレクトをするなど、しっかり手当すれば、一時的に検索ランキングが下がることはあっても、じきに回復します。
検索大手の Google は、 http://~ の評価をそのまま、https://~ に引き継ぐといっています。
また、 http://~ のほかに、https://~ があれば、 https://~ を優先的に検索用データベースに登録するともいっています。

Google はこの常時SSL の普及に熱心で、常時SSL サイトは優遇すると発表しています。
HTTPS をランキング シグナルに使用します

ただし、これは検索ランキングが上がるという意味ではありません。
記事にあるように、検索ランキングに関しては、全体の1% 未満しか影響はないようです。
また、アドレス変更当初は、検索ランキングに多少変動があるかもしれません。しかし、そのうち元に戻るでしょう。
もしまだ、SSL通信を導入していないのなら、今導入し、常時SSLにすることを強くお勧めします。
その理由は、近い将来、SSL通信でないことで4分の1のアクセスを失う危険があるからです。詳しくは、SSL通信で、Webサイトの選別を乗りきろう をご覧ください。

まとめ

常時SSL とは、Webサイト丸ごと SSL通信にしてしまうことです。これにより、すべての Webページ上の情報のやり取りが暗号化され、Webサイトのセキュリティが高まります。常時SSL になると、アドレスが http://~ から https://~ に変わりますが、これによって SEO で著しく不利益を被ることはありません。むしろ、検索ランキングでは多少有利になります。

このエントリーをはてなブックマークに追加
Pocket

コメントを残す