2018年7月リリースのGoogle Chrome 68から、SSLで暗号化されていない(URLが「http://」で始まる)全てのホームページを閲覧した際に、アドレスバーに「保護されていません」と警告が表示されるようになります。ここでは、これによってどんなことが起こるのか、サイトのSSL化に関するGoogleの考え方、今後のSSL事情をわかりやすくまとめました。
目次
今回実装の新仕様「非SSLページすべて警告表示」はどんなもの?
2018年7月リリースのGoogle Chrome 68より、SSLで暗号化されていないサイトへアクセスすると、アドレスバーに「(SSLによる暗号化で)保護されていません」との文字列が表示されます。
旧バージョンのGoogle Chromeでも、何らかのデータを入力するフォームを掲載したページでなおかつSSLによる暗号化がされていなければ、保護されていない旨の警告がアドレスバーに表示されていました。フォームのページではなくとも、SSL化されていないページでは下記のような(!)の注意アイコンが表示されていました。
たいしてGoogle Chrome 68では、警告の対象が広がり、フォーム掲載有無に関わらずSSL化されていない全てのページで警告が表示されるようになります。
ホームページにアクセスしたときに、アドレスバーの目立つ場所に「保護されていない」との警告が表示されれば、ユーザーは不安になってしまいます。せっかくアクセスしたのに、そのサイトをすぐに立ち去ってしまうかもしれません。
この警告が表示されないようにする方法は1つしかありません。サイト全体をSSLに対応(常時SSL化)させることです。
対応しないとどうなるの?SEOにも影響するの?
2014年の時点で、SSLによる暗号化が実施されたサイトをSEO的に優遇することをGoogleが公式ブログで発表しています。さらに同じドメインでSSL暗号化が実施されたページ(https://からはじまるページ)、暗号化が行なわれていないページ(http://からはじまるページ)が存在した場合に、暗号化されたページが先にインデックス化され検索結果に表示されるようになるとも語っています。
※出典:Google ウェブマスター向け公式ブログ:HTTPS をランキング シグナルに使用します
実際にどの程度の差が生じるかは未知数とはいえ、SSLによる暗号化が実施済みのサイトの方がSEO的に有利であることは間違いありません。くわえてChrome68登場以降は、これまでSSLに対応していなかったサイトも、次々とSSL暗号化を実施するでしょう。結果的に、暗号化未実施のサイトがどんどん不利になっていくことも考えられます。今後、SSL暗号化に関するSEOの重要度を、Googleが上げてくる可能性も否めません。
またそれ以前に、上述したように警告表示がユーザーの心情に影響し、仮にアクセスしてもすぐに別のページへ移動してしまうようになることもあるでしょう。そうなれば、いくらGoogleの検索順位が高かったとしても見てもらうことができず、サイトとしては目的を果たせなくなってしまいます。
常時SSL化とGoogleからのアナウンス・実装の経緯
Googleでは、サイトの常時SSL化に関する対応を数年前から徐々にはじめていました。長い時間をかけて、いくつかの対応を段階的に行ってきたのです。ここでは、常時SSL化に関するGoogleの実装経緯を、時系列で振り返っていきましょう。
| 2010年5月 | Google(検索サイト)のSSL化 ※この時点ではβ版のみ。本格的な対応は2011年10月以降から順次(利用ブラウザなどにより時期が若干異なる) 出典:Official Google Blog: Search more securely with encrypted Google web searc |
|---|---|
| 2014年 | SSL暗号化(https://~)実施済のサイトを検索結果の表示で優遇する旨を公言 出典:Google ウェブマスター向け公式ブログ: HTTPS をランキング シグナルに使用します |
| 2017年1月 | Google Chrome56から、パスワード・クレジットカード番号を入力するフォームがあり、なおかつSSL暗号化がされないページで、アドレスバーへの警告表示を開始 出典:Google Online Security Blog: Moving towards a more secure web |
| 2017年10月 | Google Chrome62から、入力フォームがありなおかつSSLによる暗号化が行なわれていない全てのページで、アドレスバーへの警告表示を開始 ※入力フォームへ登録する内容がパスワードやクレジットカードの番号でなくても警告が表示されるようになった 出典:Google ウェブマスター向け公式ブログ: Chrome の HTTP 接続におけるセキュリティ強化に向けて |
| 2017年12月 | Google Chrome63から、FTP接続の際に警告が表示されるようになった 出典:FTP Resources Will Be Marked Not Secure in Chrome Starting Later This Year – Slashdot Googleの「Security-dev」グループ |
| 2018年2月 | Chrome 68(2018年7月リリース予定)から、すべてのHTTPサイトで警告を表示すると発表。 出典:Chromium Blog:A secure web is here to stay(Thursday, February 8, 2018) |
上記表に記載したように、Googleはまず自社の検索サイトから常時SSL化の対応をはじめました。これによりGoogleのトップページ及び検索結果のページ全てがSSLによる暗号化に対応したのです。その後、上述した通り検索結果での優遇、Google Chromeでの警告表示と対応をすすめています。
ウェブのブラウジングはウェブサイトとユーザーとの間の私的な体験となるべきであり、傍受、中間者攻撃、データ改ざんの対象となってはいけません。Google が「HTTPS everywhere」の推進に取り組んできたのはこのためです。
出典:Google ウェブマスター向け公式ブログ:HTTPS ページが優先的にインデックスに登録されるようになります
常時SSL化を推奨する理由はGoogleがセキュリティを最優先事項としていることの現れでしょう。
そもそも常時SSL化とは?フォームのないページでSSL化は必要なの?
常時SSL化とは、サイト全体でSSLによる暗号化を行うことです。フォームがあるページなどサイトの一部だけをSSL化することは、常時SSLとは呼びません。
ホームページを閲覧するにあたって、他人に見られたくない個人情報は、フォームへ入力するようなクレジットカード情報やID・パスワードだけではないはずです。閲覧履歴やサイト内での検索ワードなども勝手に知られたくない情報といえるでしょう。
Cookie(ブラウザに保存される情報)にはサイトの閲覧履歴なども含まれることもあります。サイト全体がSSL化していないと、これらも悪意ある第三者に傍受されてしまう可能性があるのです。
>【図解】SSLとは?仕組み・TLSとの違いや導入方法を解説します
Googleが常時SSL化を推奨する理由
Googleでは、ユーザーがインターネット上のコンテンツを安全に利用できる「セキュリティ」を最優先事項に掲げ、そのための取組みを実施してきました。この取組みでは、Googleの検索結果やGoogle自体が運営する各種サービス(Gmail・Google Drive・Googleドキュメントなど)にとどまらず、より広範囲でユーザーがGoogleから安全なコンテンツへアクセスできることを目的としています。そのためGoogleでは、通信の傍受やなりすましを防止する有効な手段である常時SSL化を、強く推奨しているわけです。
今すぐ常時SSL化しよう!
ここでは常時SSL化の手順の概要について、簡単に紹介します。なお具体的な手順の詳細は、ホームページの種類や利用しているレンタルサーバーサービスなどによって異なりますので、ここで紹介するのは簡単な概要です。常時SSL化をする上での参考にとどめて下さい。
| 企業認証型 / EVタイプ | ドメイン認証型 | |
|---|---|---|
| 信頼性 | 非常に高い | 比較的低い |
| 主なサービス名 | ・Symantec ・GeoTrust ・セコムパスポート | 【低価格】 ・RapidSSL 【無料】 ・Let’s Encrypt ・StartCom |
| 費用 | 年間数万円から数十万円 | 年間数千円または無料 |
| 主な対象 | 企業のメインのWebサイト | ・企業のランディングページ(宣伝用) ・個人のWebサイト |
SSL=高いというイメージがある方も多いかもしれませんが、年間数千円からのプランもあります。どうしても予算がとれない方には、無料のSSLも存在します。
>【無料SSL入門】「Let’s Encrypt」とは?設定で挫折しない!使い方解説
これを機会に、一刻も早く常時SSL化の対応を進めましょう。
【常時SSL化をする際のおおまかな手順】
- SSL化に必要なSSLサーバー証明書を購入
- コンテンツのHTML・CSSのソースコードなどをSSL化用に編集する
- コンテンツが正しく表示できるかチェックし、できなければ修正する
- SSLサーバー証明書をご利用のサーバーにインストールする
- ユーザーからのアクセスを「http://~」から「https://~」へ一本化するために、「.htaccess」ファイルなどを使ってリダイレクトする
SSLの設定に必要なSSLサーバー証明書には無料のものもありますし、ドメインの使用権のみを確認する比較的安価なドメイン認証型、さらには企業の実在証明を行う企業認証型、なりすまし対策にもなるEVタイプなどがあります。より高価なSSLサーバー証明書を導入した方がウェブサイトの信頼性を高めることができますが、無料のSSLサーバー証明書でもGoogle Chromeの警告表示がされないようにすることは可能です。予算によって、どれを選ぶか決めましょう。なお、ご利用のレンタルサーバーなどによっては、利用できるSSLサーバー証明書の種類が限られることもありますので注意して下さい。
Google Chrome 68より、アドレスバーに「保護されていません」と警告表示されないようにするためには、ホームページを常時SSL化するしかありません。常時SSL化によって、ホームページへ訪れるユーザーのセキュリティとホームページそのものへの信頼が高まりますし、今後はGoogleの検索順位にも影響してくる可能性もあります。常時SSL化するにはSSLサーバー証明書が必要です。無料のタイプからなりすまし対策にもなる高価なタイプまであります。まだ常時SSL化がすんでいないサーバー管理者の方は、対応を急ぐのがおすすめです。
「WordPressを導入したい」「色々な用途に使いたい」という人に!
なんでもできるKAGOYAのレンタルサーバー
法人利用率80%、多数の導入実績。
自社国内データセンターで25年以上の実績。障害に強いサーバー構成で、多くの法人様から選ばれています。
サーバー移転に伴う作業も専門スタッフにおまかせ下さい。
