目次
◆サイト全体をhttps化(常時SSL化)することが主流に!
ホームページを見ていると、URLが「http://~」と「https://~」から始まるサイトを目にすることがありますよね。これはどういう意味がご存知でしょうか?
簡単にご説明すると、「https://~」は「http://~」よりセキュリティーが強化されています。「https://~」はサーバーとブラウザ間のデータ通信のやり取りを暗号化して安全性を高めているということです。
検索エンジンであるGoogleはhttps化されたサイトは検索結果の順位表示に優遇するとしています。また、平成30年7月24日からグーグルクロームで閲覧した際、常時SSL化していないサイトに対しては警告表示をしてユーザーに注意を促すとしています。
これは、大切なパスワードやクレジットカード情報を守り、サイトを見てくれるユーザーが安心して検索してもらう。ネットショッピングを安心して使ってもらおう。という考えと推測します。
サイトを閲覧するユーザーにとっては「警告」が表示されるとなんとなく不安になってしまいますよね。サイトオーナー様としては「ユーザーからの信用」という点でも、しっかり対応しておいた方がいい項目と言えるでしょう。
それでは、もう少し詳しく見ていきましょう!
◆「httpとは?」簡単にご説明。
URLが「http://~」から始まるWebサイトの場合はHTTP(Hyper Text Transfer Protocol)という通信プロトコル(方法・手段)を使用していることになります。httpのWebサイトはインターネット上において、データ通信のやり取りを暗号化しておらず、個人情報等を容易に第三者に見られてしまう危険性があります。
◆「httpsとは?」簡単にご説明。
httpsとは「Hyper Text Transfer Protocol over Secure Socket Layer」と言い、HTTP通信プロトコルに加え、SSL(Secure Socket Layer)セキュリティープロトコルによってデータをセキュア(暗号化)し、個人情報等の流出を防ぐセキュリティー強化に繋がります。
「http」+「SSL」=「https」という意味なんです。
◆見分け方
・SSLを導入しているWebサイトのURLは「https」
・SSLを導入していないWebサイトのURLは「http」
◆有料SSLサーバー証明書
電子証明書の発行を認められた「認証局」により厳格な審査を行い、Webサイトのドメインの認証・サイト所有者の実在性の確認・通信データの暗号化などを証明する電子証明書が発行されます。
◆SSLサーバー証明書の効果
①悪意のある者が個人情報を盗もうとする「なりすまし」・「フィッシングサイト」ではないことを証明。
②個人情報を暗号化し、情報漏洩しにくいことを証明。
※ユーザーに対して安全性を示し、安心して利用してもらえる。
◆SSLの認証レベルは3つ
①ドメイン認証
サイトのドメインと所有者の名義を確認できれば取得可能。費用も安価で抑えられ、データ通信暗号化の証明になります。厳しく見ると、個人でも取得可能なので「なりすまし」・「フィッシング」対策としては不十分という見方もできます。
②企業実在認証
データ通信暗号化は勿論、サイト運営組織の確認を行ってから取得可能となります。運営組織の確認は登記謄本、実印証明書などを提出しなければなりません。したがって、その確認ができない個人・個人事業主は取得することができません。ドメイン認証よりも信頼性が高く、なりすましを防止できます。
③EV認証
最も厳格な審査を行い、最も信頼性の高い電子証明書です。企業実在認証項目に加え、サイト運営組織の署名権限確認者の在籍確認、申請責任者確認書の提出をします。
EV認証はサイトのアドレスバーが緑色になりますので、目ですぐに確認できると思います。ユーザーに対して「安心」を与え、高い信頼性を構築できます。
認証レベルの違いは上記の通り3段階あり、EV認証が一番サイト所有者の信頼性が高い証明となります。
サーバー間の通信であればドメイン認証で良いかもしれませんが、不特定多数のユーザーが利用するサイトだと企業実在認証やEV認証のほうがおすすめとなります。
また、上記レベルはサイト所有者の信頼性がどれくらいなのかのレベルであり、暗号化の強さではありません。暗号化の強さはどのレベルでも同様となります。サイトの規模、管理体制、コストによってレベルお選びいただくのがよいでしょう。
◆最近、無料のSSLが出現!有料のSSLと違いは何?
無料と有料のどっちが良い?機能性が同じであれば無料の方がお得ですよね。しかし、やはり機能性に違いがあります。
無料SSL | 有料SSL | |
ドメイン確認 | 〇 | 〇 |
暗号化 | 〇 | 〇 |
企業実在 | × | 〇 |
申請者確認 | × | 〇 |
フィッシング対策 | × | 〇 |
なりすまし対策 | × | 〇 |
SEO対策 | 〇 | 〇 |
無料SSLはドメイン認証によるものになります。
大きな違いは「なりすまし・フィッシング詐欺」対策の審査を実施しているかです。
しかし、有料SSLのドメイン認証とは違いがあります。
有料SSLのドメイン認証は認証局の厳格な審査により、もしも不正な申請と判断された場合は電子証明書の発行は自動的に保留、追加審査となります。不正が無ければ証明書発行という流れになります。
無料SSLのドメイン認証はサイト運営者が誰なのかまでは審査を行わないので、悪意のある人でも簡単に取得できてしまいます。また、無料SSLはサポートや保証が無い場合もございます。
常時SSL化の時代に突入していく流れとなっていますが、とユーザーが安心してサイトへ訪問していただく為にも、SSL対応(無料・有料)をオススメします。
◆https(SSL)のメリット
・セキュリティー機能面において、盗聴やなりすまし、改ざん、個人情報漏洩を防止。安全性をアピールし、ユーザーに安心して利用していただける。
・冒頭にもご説明しましたが、https化されたWebサイトは検索結果の順位表示が優遇されるので、SEO対策にもなる。
・サイトの表示速度にも改善が見込める為、こちらもSEO対策にもなる。
◆https(SSL)のデメリット
1、コスト(費用)
導入前に比べ、費用が上がる可能性があります。
2、対応工数
導入の手続き、WEBサイトへの導入対応がかかります。
3、WEBツールの再登録が必要
Google Analytics、Google Search ConsoleなどのWEBツールにHTTPサイトを登録している場合、HTTPSサイトを再登録する必要があります。
これからSSL導入をご検討されているお客様へ
今まで述べてきたGoogleの流れや、ユーザー視点を踏まえると、SSLの導入はした方がいいでしょう。
是非、協議の上、現在のWEBパートナー会社か弊社Yoriyorkにご相談下さい!!