2020年06月25日Webサイトの常時SSL化について、今更他人に聞けない方のための要点まとめ

要点

• SSL/TLSは、Web通信暗号化/改竄防止、サーバー運営者の実在証明に使われる
• 導入メリット…警告表示やアクセス遮断の回避、検索順位優遇、アクセス解析精度向上など
• サーバー運営者の実在証明で、ユーザーや自社を詐欺から守る
• 注意点…コンテンツ改修やサーバー設定が別途必要

SSL/TLSとは

「Secure Sockets Layer (SSL)」や、その後継である「Transport Layer Security (TLS)」は、インターネット上でセキュリティを求められる通信に使用する通信規約(プロトコル)の名称です。

主な役割は、通信の暗号化/改竄防止、そしてサーバー運営者の実在証明です。

1. 通信の暗号化/改竄防止

Webの通信内容は、そのままだと中継地点でデータが悪意ある第三者に傍受/改竄されるリスクがあります。このため、セキュリティに配慮する場合は、データをSSLやTLSで暗号化処理し、第三者に読めない状態にして通信を行います。

2. サーバー運営者の実在証明

ユーザーが接続したWebサイトが、実は偽者によるなりすましサイトであった場合、パスワードや個人情報等の詐取、偽サイトによる虚偽の情報流布など、深刻な問題が発生します。これを防ぐため、SSL/TLSでは、「認証局」と呼ばれる専門の第三者機関が、サーバー運営者からの依頼により運営者の実在調査・確認を行ったうえで、「SSL/TLSサーバー証明書」(以下、SSL証明書)の発行を行います。これにより、サーバー運営者が本物であるという証明込みで、暗号化通信が行われます。

常時SSL化は、ユーザー側にもサイト側にもメリットがある

常時SSL化とは、Webサイトの全ページの通信を暗号化(SSL/TLS化)することです。常時SSL化されたサイトは、全ページのURLが「https://」から始まります。

常時SSL化によって、利用者は常に安心してWebサイトを利用できます。また、サイト側にも様々なメリットやリスク回避がもたらされます。

1. SSL/TLS不使用サイトに対する警告表示の回避

2018年以降、各種主要ブラウザでは、非SSL化サイト閲覧時アドレスバーに「保護されていません」「安全ではありません」等の警告が表示されます。常時SSL化することで、警告表示を回避でき、利用者へ安心感と信頼感を与えられます。

2. SSL/非SSL混合コンテンツのアクセス遮断回避

2020年春以降、Chromeは、SSLページ内に非SSL領域の画像等が混入した場合や、非SSL領域へのダウンロードリンクがある場合、非SSLコンテンツへのアクセスを遮断する仕様変更を進めています。中途半端なSSL化を放置しておくと、リンク切れや読み込み失敗のリスクを多数抱えることになります。

3. 検索順位評価の優遇

Googleは2014年に、SSL化の有無を検索順位に反映させると明言しました。また、2015年にはSSL使用ページが非使用ページより優先してインデックスされるなど、SSL化サイトを重視する姿勢を続けています。 2020年現在でも、常時SSL化は検索順位評価の基本要素の一つに位置付けられています。

4. アクセス解析の精度向上

非SSL化サイトは、SSL化サイトからのアクセスがあった場合、リンク元情報を検知できません。

2015年前後に大手検索エンジンやSNSが続々と常時SSL化したため、これらから自サイトへの流入を把握したい場合、常時SSL化は必須要素です。

5. HTTP/2対応による通信速度向上

「HTTP/2」は、2015年に正式版となった新しい通信規約(プロトコル)で、通信の並列処理やヘッダー圧縮など、従来型のHTTP/1.1に比べて様々な高速化が行われています。コンテンツが多いWebサイトでは、通信速度の大幅な向上が見込めます。

このHTTP/2を利用するには、サーバー側のHTTP/2対応に加えて、サイトのSSL化が事実上必須となります。

サーバー運営者の実在証明で、ユーザーや自社を詐欺から守る

SSL証明書は、サイトやサーバーを運営する企業の実在証明としても使用されます。なりすましサイトによるフィッシング詐欺等の犯罪から自サイトのユーザーや自社のブランドイメージを守るには、なくてはならない機能です。

SSL証明書は、認証レベルに基づいて、[ドメイン認証SSL] [企業認証SSL] [EV SSL]の3種類に分類されます。個人情報等を扱う企業サイトでは企業認証SSLやEV SSLの使用がおすすめです。

ドメイン認証SSLは手続きが簡単かつ安価ですが、運営者の実在証明は他の方式より大幅に簡略化・自動化されています。主に通信の暗号化だけができればよいサイト向けです。

企業認証SSLやその上位版であるEV SSLは、有人での実在確認に伴う手間・コストと引き換えに、運営企業の実在証明効果が十分に得られます。特に、EV SSL証明書は一部ブラウザで運営者名が明確に表示されるため、金融機関など強固ななりすまし対策が求められる企業のサイトを中心に広く採用されています。

SSL/TLSサーバー証明書の種類

	ドメイン認証 (Domain Validation) SSL 証明書	企業認証 (Organization Validation) SSL証明書	EV (Extended Validation) SSL証明書
証明されること	・ドメイン名の所有権	・ドメイン名の所有権 ・サーバー運営企業の登記事項 など	・ドメイン名の所有権 ・サーバー運営企業の登記事項 ・SSL証明書が登録企業に属されていること
証明書発行基準の厳格さ	★	★★	★★★
暗号の強度	★	★★	★★★
適しているサイト	テストサーバやイントラネット	ユーザーから個人情報の収集を行う一般公開の Web サイト	ユーザーからの個人情報収集にあたり、より強度のセキュリティが要求される、ECや金融機関等のWeb サイト フィッシング詐欺など偽の Web サイトへの個人情報登録防止に効果的
発行対象	個人 組織/企業	組織/企業のみ	組織/企業のみ
ブラウザアドレスバー 鍵アイコンクリック時の表示	組織名は表示されない	組織名は表示されない	組織名が表示される

常時SSL化の実装時の注意点

Webサイトの常時SSL化は、SSL証明書の取得だけで終わるわけではなく、Webコンテンツの改修やサーバー設定が別途必要です。作業コストを算出するには、サイト内を入念に調査したうえで改修の計画を行う必要があります。

コンテンツの改修

• HTMLやCSS…基本はソース内URL置換(「http://～」⇒「https://～」)です。ただし、パス表記の形式ブレなどイレギュラーな部分があると、作業量が膨れ上がる場合があります。
• JavaScriptやサーバサイドプログラム…複雑な作業になる場合があり、事前確認が重要です。http→httpsの置換だけでは不十分な場合があるほか、Cookieを使用するプログラムの場合は、Cookie関連の処理の改修も必要です。CMSやアクセス解析・広告効果測定ツールの管理画面で行う設定変更も別途必要です。
• 画像・動画・Flash・PDF…内部にURL等が記載されている場合は、対象ファイルを個別に編集します。このときに、編集用元ファイル(*.psd, *.flaなど)があれば、そこでテキストを修正できますが、残っていない場合は、書き出された公開ファイルをベースに改修するか、新規に作り直す等の判断が必要です。
• CMS内のコンテンツ…記事内のURLの更新(http://～→https://～)は、CMSの管理画面内で行います。
• 移行中のダブルメンテナンス…現行サイトで常時SSL化改修の対象となるファイルは、SSL非対応版・SSL対応版の2種類のファイルを作成し、ダブルメンテナンスで管理します。
• 外部サービス…外部サーバーからのコンテンツを自サイト内に埋め込んでいる場合、対象がSSL非対応の場合は、代替策を検討する必要があります。

サーバー設定・コンテンツ移設

• SSL証明書のインストール…インストール手順はサーバーによって異なるため、各サーバーのマニュアルに則って作業を進めます。
• リダイレクト設定…旧URL(http://～)へのアクセスを全て新URL(https://～)に転送する設定を、サーバー設定ファイルや.htaccessファイルに記述します。このとき、既存のリダイレクト設定との競合を避ける必要があります。
• その他のサーバー設定…TLS1.2以降への対応を行うほか、HTTP/2を使用する場合は、その設定などもサーバー側で行います。
• コンテンツの移設…同じサーバー、同じドメイン名であっても、SSL領域と非SSL領域でサーバー内のアップロード場所が変わる場合、コンテンツをSSL領域用の場所に移設する作業が発生します。

まとめ

サイトの常時SSL化は、今後企業のWebサイトがユーザーや自社に対して責任ある役割を果たしていくためには、ぜひとも実施しておきたい改修の一つです。大規模な作業が必要であるため、Webの専門知識を持ち、常時SSL化の経験・実績が豊富な協力会社と共同で行うことが重要になります。

マックスマウスからのお知らせ