今さら聞けない「常時SSL」~ Chrome68から全HTTPサイトに警告表示 ~
少し前の話になりますが、ブラウザシェアトップを走るChromeの開発・提供元であるGoogleは、2018年7月リリース予定の「Chrome68」より、HTTPで配信されている全てのWebページに対して「安全ではない」ことを警告するラベルをアドレスバーに常に表示することを発表しました。
Googleは以前から、最終的にすべてのHTTPページに対して警告を表示させることを公言していましたが、その時期が決定したことになります。
本記事では、まだ常時SSL対応ができていないWeb担当者に向けて、常時SSLの基礎知識からChrome68でどう変わるのかについて解説していきます。
SSLって何?
まずSSL(SSL暗号化通信)について解説します。
SSL(Secure Sockets Layer)とは、インターネット上での通信を暗号化する技術です。SSLを利用することで、ユーザーが利用するブラウザとサーバ間の通信を暗号化し、第三者によるデータの盗聴やなりすまし、改ざんなどを防ぐことができます。
インターネット上におけるデータの送受信は、盗聴やなりすましによって悪意のある第三者にデータを悪用されてしまう危険性があります。よくあるケースとしては、通販サイトにおいて購入者の個人情報やクレジットカード、パスワードといった重要な情報が狙われ、悪用されてしまうケースが挙げられます。
このような危険を防ぐために、インターネット上の通信を暗号化する技術がSSLです。
どのように送受信されるデータを暗号化されているのか、暗号化のプロセスについて知りたい方はこちらをご覧ください。
SSL暗号化通信について理解しよう
SSLによって通信が保護されているかの見分け方
SSLによって保護されているサイト(ページ)かどうかは、簡単に見分けることができます。
SSLが導入されているページでは、下記の図のようにアドレスバーに表示されるURL「http://」にセキュア(Secure)を表す「s」が付き、「https://」の形式になります。
常時SSLって何?
続いて「常時SSL」について解説します。
SSLはこれまで主に「問い合わせフォーム」「ショッピングカート」「ログインページ」といった、個人情報を送受信するような情報のやり取りをするフォームなどだけで用いられてきましたが、常時SSLではWebサイトにおけるすべてのページをSSL化(常時暗号化)します。
つまり、常時SSL対応を行うことにより、すべてのページのURLがHTTP(http://)ではなくHTTPS(https://)になります。
なぜ常時SSLが必要なのか?
では、なぜ常時SSLが必要になったのでしょうか?
「HTTPSではないページの場合だとChromeで警告が出てしまい、ユーザーに不信感を与えてしまうから」と言いたくなりますが、なぜGoogleがこのような対応を行うのかをしっかり理解する必要があります。
高まる盗聴やパケット改ざんの危険性
スマートフォンやタブレット端末などの急速的な普及に伴い、駅や空港さらには飲食店やコンビニなどあらゆる公共の場所で誰でも公衆無線LANを利用できるようになりました。しかし便利になった反面、これらの公衆無線LANはセキュリティレベルが低いため、悪意を持った第三者により通信を傍受されるリスクが高まります。
個人情報は、フォームに入力する名前やパスワード、クレジットカード番号だけではありません。HTTP通信時においてもcookie等のデータに閲覧履歴やログイン情報などの個人情報が含まれる場合があります。
インターネットの信頼を維持するために業界全体がHTTPS普及に取り組んでいる
Googleは、通信やコンテンツの健全性を確保するために「セキュリティ」を最優先事項に掲げ、自社サービスのみならずより広範囲でインターネットを安全に利用できるようにHTTPSの普及に取り組んでいます。
これはGoogleに限った話ではなく、業界全体がインターネットの信頼を維持するため、世界中のウェブマスターに向けてHTTPS化を促進する取り組みがなされています。
- Firefoxブラウザの開発元であるMozillaは、2015年5月にHTTPSではないサイトではブラウザの新機能の利用を段階的に廃止していくことを発表しています。
- HTTPSの普及を促進するために、米国の大手企業や団体がスポンサーとなり、SSLサーバ証明書を無料で簡単に発行できる認証局「Let’s Encrypt」が2016年4月から正式サービスが開始されました。
今回発表されたChromeの仕様変更
2018年7月リリースのChrome68から HTTP で配信されているすべてのページに対して、通信が安全ではないことを通知する「保護されていません」のラベルが表示されます。
参考:保護されたウェブの普及を目指して(Googleウェブマスター向け公式ブログ)
2017年10月にリリースされたChrome62から一定の条件(下記参照)で「保護されていません」のラベルが表示されています。
- HTTPページにある入力フォームにテキストを入力したとき
- シークレットモードでHTTPページにアクセスしたとき
参考:サイト内検索も対象に!Chrome62からHTTPページに対するセキュリティ警告が拡大
2018年7月リリースのChrome68からは「保護されていません」のラベルが表示される条件が拡大され、HTTPページを開いたのと同時にラベルが表示されることになります。
常時SSL化におけるその他のメリット
常時SSLはセキュリティ面や信頼性におけるメリットだけでなく、他にも下記のメリットがあります。
検索順位での優遇(Google)
Googleは2014年8月にHTTPSをランキングシグナルに使用することを発表しています。「httpのサイトよりhttpsのサイトの方が検索順位を優遇しますよ」というものです。しかし現状では、おまけ的な扱いで検索順位に大きな影響を与えるほどのシグナルでは無いと言われています。
参考:HTTPS をランキング シグナルに使用します(Googleウェブマスター向け公式ブログ)
また翌年の2015年12月にも、一定の条件を満たした場合、同じコンテンツであれば、HTTPのページよりもHTTPSのページを優先的に登録する仕組みを導入したことを発表しました。Googleは、サイト運営者に対しHTTPからHTTPSへの移行を推奨するためにこれらの検索エンジンにおける優遇措置を講じています。
参考:HTTPS ページが優先的にインデックスに登録されるようになります(Googleウェブマスター向け公式ブログ)
表示速度の向上
少し技術的な話になりますが、Webページの表示を高速化することができる次世代プロトコル「HTTP/2」が登場したことにより、従来の「HTTP/1.1」でHTTPS接続した場合に比べ、Webページが表示されるまでの待ち時間を短縮できるようになりました。
主要なブラウザでは、この次世代プロトコル「HTTP/2」を利用するにはHTTPS接続が必要となっているため、HTTPSのWebページのみ「HTTP/2」を用いてレスポンス速度を速めることができます。
アクセスログ解析の精度向上
Google Analyticsなどのアクセスログ解析ツールでユーザーがどのサイトから訪れているかを示すリファラー情報を入手することができます。しかし、主要ブラウザでは、HTTPSサイトからHTTPサイトに遷移した場合、ユーザーのリファラー情報を引き渡さない仕様となっているため、本来リファラーであってもノーリファラーとして扱われてしまいます。
常時SSL(HTTPS)サイトにすることで、HTTPSサイトから遷移してきたユーザーのリファラー情報を引き渡すことができるため、参照元サイトをしっかりと把握することができます。
常時SSLに関する統計データ
常時SSLやHTTPSの普及に関する統計情報を紹介します。
Chrome で HTTPS 経由で読み込まれたページの割合(国別)
ChromeにおけるHTTPの普及速度は、国によって差はありますが世界レベルで普及が進んでいることが分かります。
日本でのHTTPSの普及率は、61%(2018年4月7日時点)となっており、2016年4月9日時点(28%)と比較すると、この2年間で約2倍に拡大していることが分かります。
主要企業サイト 常時SSL対応状況
出典:Atlas21
国内主要企業225社に限定されたデータではありますが、直近の2018年3月時点でも常時SSL対応(https完全対応)ができているサイトは約3割程度となっています。
世界各国と比較すると、日本はまだまだ常時SSL対応の普及が遅れていることが分かります。
まとめ
- SSL(Secure Sockets Layer)とは、インターネット上での通信を暗号化する技術で、第三者によるデータの盗聴やなりすまし、改ざんなどを防ぐことができる。
- SSLに対応したページのURLは、「https://」からはじまる。
- 常時SSLとは、WebサイトにおけるすべてのページをSSL化(常時暗号化)すること。
- モバイル端末の普及などに伴いインターネットにおけるセキュリティリスクが高まるなか、インターネットの信頼を維持するために業界全体がHTTPS普及に取り組んでいる。
- 2018年7月リリースのChrome68から HTTP で配信されているすべてのページに対して警告が表示される。
- 常時SSL化するとGoogle検索における検索順位の優遇や、通信速度の向上といったメリットがある。
- 世界的に見ると日本国内の常時SSL対応は遅れている。
ご理解いただけましたでしょうか?
まだ常時SSLができていないウェブマスターの方は、今からでも間に合いますので早めに対応しましょう。
また、これからWebサイトを開設される方も常時SSLを要件の1つに入れておきましょう。
この記事を書いた人
-
印刷会社の営業を経て、2008年にアーティスへ入社。webディレクターとして多くの大学・病院・企業のwebサイト構築・コンサルティングに携わる。2018年より事業開発部として新規サービスの企画立案・マーケティング・UI設計・開発に従事している。
資格:Google広告認定資格・Yahoo!プロモーション広告プロフェッショナル
この執筆者の最新記事
関連記事
最新記事
FOLLOW US
最新の情報をお届けします
- facebookでフォロー
- Twitterでフォロー
- Feedlyでフォロー