常時SSL?何それ?という人もおられるかとおもいますが後、三年も経てばきっと、世界中のWEBサイトの基準になるんじゃないかと思ってます。
もう少し早くこのhttps(常時SSL)化についての記事を書こうと思って、このTAKASHI-DESIGNのサイトをリニューアルしてからSSL化しよう…と思ってましたが、最近のWEB業界の動向などを細かくチェックしていると、ちょっと「待ったなし!」の流れだなと思い早々に対応しました。
常時SSLとは
常時SSLとは、WEBサイトの全てのページをHTTPS化するセキュリティ手法。
多くの大手サイトの対応が増えている(GoogleやFacebookやTwitter、YouTube、Netflix等)。
httpsに対応していれば、そのサイトが偽物の場合は警告がでるし、通信が暗号化されます。
常時SSL化しているか否かでこんな表示がされます。
Googleが「常時SSL」の推奨を公式発表。
HTTPS ページが優先的にインデックスに登録されるようになります
上記にあるように、サイトがhttps化してあれば、Googleはhttpsページとしてインデックス(検索エンジンに対して登録)するようになります。常時SSL化するメリットには、検索エンジンから「ユーザが安心して利用ができる優良なコンテンツである」と評価される点が挙げられます。
Google のランキング アルゴリズムでのシグナルとして、暗号化された安全な接続をサイトで使用しているかを考慮に入れたテストを実施しているということなので、今後は全てのページをhttps対応にした方が確実にいいです。
https通信により通信が暗号化される
実際に、SSL対応によってhttps通信で通信が暗号化される。
これは従来は個人情報を含むページに限られていましたが常時SSL対応で、全てのページが暗号化されより安全になります。
例えば、公共のWi-Fi環境でみなさんが使うであろう、スターバックスやコンビニなどのWi-Fi環境だと、Wi-Fiスポットのネットワークは暗号化されていないことが多く、悪意のある第三者に通信内容を盗み見られてしまいます。
通信の傍受が自宅や携帯回線より簡単にされてしまうので、httpsにより暗号化がより重要になってきます。
ログインフォームがhttpだと警告が出る。
実際にまだhttps化していないサイト(ページ)でお問い合わせフォームなどのテキスト入力欄に文字を入れてもらえばわかるように下記の様な警告がURL欄に出るはずです。
せっかく問い合わせしようとコンタクトフォームにに入力しても上記の様に「保護されていない通信」なんて出ちゃうと、ちょっと躊躇しちゃいますよね。
常時SSL化をするにあたり気をつけること、デメリットなど
常時SSL対応にするにはSSL/TLS証明書を準備する必要があります。価格が年間数千円〜十数万円するのでレンタルサーバー以外でコストがかかります。
CDN(Contents Delivery Network)やロードバランサーを導入していれば必要なSSL/TLS証明書が増えてコストがかかってしまう可能性があります。
使用しているツール類がすべてhttps通信に対応しているか確認が必要。
WEBサイト側でカウントしていたFacebookの「いいね!」数がすべてリセットされる
海外の流れ
Chromeで読み込まれるHTTPSページの割合は、全てのプラットフォームで増加しています。Android版では現在64%で、1年前の42%から拡大しました。Mac版とChromeOS版のChromeでは、HTTPSで保護されたトラフィックの割合は75%で、それぞれ1年前の60%と67%から増大しています。
さらに、Googleによると、現在最も人気の高い100のサイトのうち、71サイトでHTTPSがデフォルトで有効になっており、1年前の37サイトから増加しました。
GoogleのHTTPS暗号化に関する透明性レポートによれば、アメリカではWindows版Chromeで読み込まれるページの73%がHTTPSを使用しており、1年前の59%から拡大したという。
提供元:Google
ブラウザの利用数ではGoogleが開発するChromeではユーザー数が10億人を突破しました。
Googleは、ウェブサイトがコンピュータのカメラやマイクなどのハードウェアにアクセスできる新しいブラウザ機能を利用したい開発者に対して、HTTPSに移行するよう呼びかけています。
まとめ
今ではGoogleだけでなく、Twitter、Facebook、Wikipedia、YouTube、Netflix、Bing、米Yahoo、PayPalといった大手有名ウェブサービスは常時SSL化を完了しています。
Googleでは配信広告の大部分をSSL/TLSにしています。 さらに、米国の政府系サイト・ウェブサービスは、2016年末までにすべて常時SSL化を行うことを義務づけられました。
その結果、HTTPSでのリクエストはすでに43%(2017年11月時点)に達しており、今後もその割合は増えていく見通しです。
と、ちょっと今日は真面目にWEBのことを書いてみました。
特に企業サイトにおいては、ウェブサイトのhttps(常時SSL)化、SSLサーバ証明書の導入が必要不可欠となるでしょう。
TAKASHI-DESIGNでは新規に今後WEBサイト制作を依頼されるクライアントに対してはhttps(常時SSL)化を一つの基準として制作していきます。
既存サイトの常時SSL化のサービスも行っておりますのでお気軽にご相談ください。
