独自SSLが導入されていない全てのWebサイトで「保護されていない通信」と表示される
WEB動向考察
2018年7月25日
SSLとはWEBサイトとユーザー間でのデータのやり取りを暗号化する仕組みです。サイト運営者がユーザーに安心してWEBサイトを使ってもらうために行う対策と言えます。少し前までは、WEBサイト上で個人情報のやり取りを行うような場合(主にお問い合わせフォームなど)だけにSSL対応するケースが多く見られましたが、今後は、WEBサイト全体にSSL対応させなければ、google上での検索上、また、URLの表示上ペナルティがあるようです。クライアントからも多くお問い合わせいただいており、急務の対策となりますので、こちらで少し解説します。
目次
1,SSL非対応サイトの表示上のペナルティとは?
■検索結果に対しての影響
googleはSSL非対応のサイトに対して、検索アルゴリズム上、表示ランクに影響する趣旨のコメントを出しています(以下抜粋参照)
「googleWEBマスターブログ」より HTTPS をランキング シグナルに使用します
抜粋〜 Google では過去数か月にわたり、Google のランキング アルゴリズムでのシグナルとして、暗号化された安全な接続をサイトで使用しているかを考慮に入れたテストを実施してきました。この実験ではよい結果が得られているため、ユーザーがもっと安全にサイトを閲覧できるよう、すべてのサイト所有者の皆様に HTTP から HTTPS への切り替えをおすすめしたいと考えています。
■アドレスバーに対しての影響
以下の図1にありますように、Chromeのバージョン64〜67までは、URLの左にインフォメーションアイコンが表示されるだけで、具体的な表示はありません(おそらくインフォメーションアイコンをクリックするとNot Secureと表示されると思われる)が、バージョン68からは、「Not secure」とURLの左に表示されるようになります。
図1)英語版Chromeでのアドレスバー上の表示
上記は英語版の表示ですが、日本語版Chromeでは以下のように表示されます。
図2)日本語版Chromeでのアドレスバー上の表示
なお、表示される時期としては、7月のCromeバージョン68にて表示されてしまいますので、現時点で、SSLに対応していない場合、バージョン68のブラウザには、上記のように表示されています。対応を希望される方はお急ぎいただいた方がいいかもしれません。
2,対策について
検索上ランキングに影響することも避けたいですし、ChromeのURLバーに「保護されてない通信」と表示されてしまうのも、運営上格好のいいものではありません。では、対策はどうすればいいでしょうか? そうです! googleが推奨しています通り、運営されているWEBサイトを全ページ、常時SSLに対応させれば解決されます。
3,SSLの種類と金額の差について
早速、SSL化の検討を進めたいとした場合、まずはSSLの種類を選ぶ必要があります。SSLはセキュリティーサービスとして、様々なセキュリティ会社がSSLサービスを提供しています。そのサービスの中から、ご自身のWEBサイトに必要と思われるSSLサービスを選択します。
とは言っても、どれを選んで良いかはなかなか難しいと思います。そこで弊社は一般のコーポレートサイトであれば、グローバルサインの「クイック認証」というサービスを推薦しています。34800円(税別)/年間(※2017年7月現在)で中堅クラスのサービスで信頼性も高いSSLサービスだと思います。
【推奨SSLサービス】>>>グローバルサイン「クイック認証SSL」
なお、SSLサービスは様々なセキュリティ企業から提供されており、同じSSLでも金額に差があります。この金額の差は、SSLの認証のレベルや暗号化の強度に差がある訳ではありません。金額の差はSSLの認証に対しての信頼性です。ブランドと言ってもいいかもしれません。SSLサービスを受ける上で、サイトの認証を行う手続きがありますが、金額が高いサービスは、その認証手続きがかなり厳しい基準を設けています。その厳しい基準(=認証レベル)を通ったサイトということが、ユーザー側からより信頼の高いサイトと評価されるため金額が高くなっています。
どの認証レベルのSSLを選ぶかは、サイト運営側の方針により異なりますので、一概には言えませんが、まずは、SSLを導入することが急務となり、一定の認証レベルをクリアした中堅クラスのSSLサービスを選ばれてから、今後、サイト運営上ふさわしいSSLをじっくり選ぶのがよいかと思います。ご心配な方がいましたらご相談ください。
4、独自SSLと共有SSL
ご相談の中に独自SSLと共有SSLの違いについてがあります。こちらは、ざっくり言えば、独自ドメインで運用しているサイトは独自SSLとなり、独自ドメインでない場合は共有SSLとなります。実際、ほとんどのサイトが独自ドメインで運用されているので、あまり意識されなくても問題ないと思いますが、独自ドメインを取得しなくてもサイトは運営できるため、サーバ会社などが手軽に始められるようにサーバ上で共有で利用できるドメインを提供している場合があります。その場合は、共有SSLの利用を選択することになります。利用しているサーバ側がSSLに対応していれば、そのままSSLも共有で利用できます。各社、共有SSLの提供の仕方は提供会社によりけりなので、現在利用している、サーバ会社、もしくはドメイン会社に問い合わせください。
弊社クライアント様で弊社サーバにて運用中のサイトにつきましては、ご要望いただければ、SSLの設定を行う手続きを行います。