常時SSL化とは？

WEBに関わる業務を担当されている皆様は「常時SSL化」といったフレーズを一度は耳にされたことがあるかと思います。

常時SSL化とは、サイトの全ページをHTTPS化して、常に安全な通信状態で閲覧してもらう方法です。

既知の方も多いとは思いますが、なんとなく「セキュリティーを強化すること」で片付けている方はいませんか？
実は、Webサイトの集客やコンバージョンにも大きな影響があると言われているのです。

※SSLは実質はTLSを示していることがあります。TLSはSSLの次世代規格ですので厳密に言うと別物になりますが、一般的に認知されている呼称として総じてSSLの表現がよく使われています。

常時SSL化はいつまでに対応するべきか？

Googleの公式アナウンスによると、2018年7月リリースのChrome68から、すべてのHTTPサイトでブラウザ上に「保護されていません」といった警告が表示されます。また、firefox（Mozira）でも近いうちに同様の対応を行うことが発表されています。

つまり、社会的信頼を得るためには、
『2018年7月』までに常時SSL化に対応する必要がある。
と言うことになります。

※Googleの開発者向けリリースカレンダーでは2018/7/24リリース予定となっています。
参考：http://www.chromium.org/developers/calendar

尚、米国ではすべての政府系Webサイトで、2016年末までに常時SSL化することが義務付けられました。グローバルな視点で見ても急速な対応が求められている現実があります。

SSL化対応しない場合どうなるか？

万が一、SSL化対応を実施しない場合は、どうなるか。そのリスクを認識しておく必要があります。
前述の警告メッセージ表示がされることや、「盗聴」「なりすまし」以外にも下記の様々な影響が想定されます。

• 訪問者数減少につながる

Googleは2014年8月からHTTPS Webサイトの順位を優遇するロジックを実装しています。そのため、SEOへの影響が考えられます。

• アクセス解析の精度があがらない

リンク元がHTTPSでリンク先がHTTPである場合、ブラウザはリファラ情報を引き渡さない仕様となっています。そのため、ログ分析で「どのサイトから流入したか」などが曖昧になります。

• 新しい技術に対応できない

接続の多重化、ヘッダー圧縮などによって高速化がはかれるHTTP/2プロトコルはHTTPS接続が事実上必須となります。
また、モバイルページでネイティブアプリのようなUXを実現するPWAの実装にもSSL化が必須となります。

急激に広がる常時SSL化

常時SSL化したHTTPSサイトは、2017年から急激に増加しています。
インターネットを流れるトラフィックの57％は暗号化されている状態です。

【参考】ChromeでHTTPS経由で読み込まれたページの割合
　2017.01.07 時点 ： 32 ％
　　↓
　2017.12.30 時点 ： 57 ％
(出展元：Google透明性レポートHTTPSに関する報告)

SSLサーバ証明書国内最大手のシマンテックによると、今後4,5年のうちにサイトの常時SSL化が進み、将来的にはインターネット通信全てがHTTPSで暗号化される時代が来るだろうとのことです。

常時SSL化に向けてやるべきこと

常時SSL化には、主に以下のような作業が必要になります。

1. HTTPSサーバの検討

HTTPSサーバをHTTPと同一サーバで併用するか、別途HTTPS専用
サーバを設けるかなどの検討が必要です。

2. SSLサーバ証明書の取得
3. コンテンツの改修（内部リンクパス、canonical、cookie、など）
4. 4. 関連システムや外部サービスの対応（CMS、アクセス解析、外部API、など）
5. 301リダイレクト設定

HTTPSのコンテンツ改修が完了した後、HTTPからHTTPSへの転送設定を行う必要があります。

SSLサーバ証明書について

ここまでSSL化の必要性についてお話をしてきましたが、HTTPSでの通信を実現するには、SSLサーバ証明書を発行し、サーバへインストールする必要があります。

証明書には、大きく分けて
・ウェブサイトとの送受信データの暗号化
・ウェブサイトの運営団体の身元証明
の２つの機能があります。
暗号化機能には、認証局や証明書による違いはほとんどありませんが、身元証明の機能は種類によって大きく異なるので、注意が必要です。

そこで、概要のみではありますが、下記に証明書の特徴をまとめています。
選定の際の参考になれば幸いです。

(出展元：SSLサーバ証明書の選び方（表示形式を変えています）)

※OVとEVの違いは、ブラウザのアドレスバーに組織名が表示されるかどうかです。

身元証明はサイトの信頼性に左右するものであることから、企業サイトでは、企業実在性（OV）以上がお勧めされています。

ドメイン（DV）認証型だとなにが問題なのか？

ドメイン（DV）認証型の証明書もSSLサーバ証明書ですので、ブラウザのアドレスバーには「保護された通信」と表示されます。

また、ドメイン（DV）認証型は無料かつお手軽に取得できるものもあるため、取得の対象として検討したい方もいらっしゃるかと思います。

しかし、注意が必要です。

ドメイン（DV）認証型は申請者のドメインの存在有無のみを確認するため、ドメインさえ取得しておけば審査をパスすることができます。

そのため、Webサイトの運営組織の実在を認証しないことを利用し、パスワードやクレジットカード番号を盗み取ろうとするフィッシング詐欺への対策としては十分ではありません。
対して、企業実在性(OV)認証型やEV SSLは、SSLサーバ証明書発行の際に企業の実在性の確認や組織情報の審査などが行われるため、社会的信頼を鑑みると、やはり企業実在性（OV）以上を選定することが望ましいといえます。

信頼性の高いWEBサイト構築

メンバーズでは、当社のミッションである『“MEMBERSHIP”でマーケティングを変え、心豊かな社会を創る』という理念の元、信頼性の高いWEBサイト構築をこころがけております。

企業と人々の、自発的貢献意欲を持って組織活動に参加する“MEMBERSHIP”による協力関係作りを支援するためには、信頼関係が何よりも大切です。

WEBに関する技術は、日々めまぐるしく発展しておりますが、メンバーズでは常に新しい技術に対するアンテナを張り続け、お客さまの社会的信頼の維持、獲得を支援させていただきます。

■関連情報

Webサイト構築・リニューアル

執筆：メンバーズ　デザイン＆インテグレーション室　家入