サイト運営について勉強しております。
最近、「SSL(https)化」「常時SSL」という言葉をよく見かけるようになりました。
このブログのような個人ブログにもSSL(https)化は必要なのでしょうか?
わかっているようで、実はよくわかっていない「SSL」について調べてみました。
SSLとは何か?
ウィキペディアで調べると、内容が専門的過ぎちゃって何だかよくわかりません。(^^;)
専門的に調べたい方はこちらからどうぞ→Transport Layer Security – Wikipedia
「SSL(Secure Socket Layer)とは、インターネット上でデータを暗号化して送受信する仕組みのひとつです。
クレジットカード番号や、一般に秘匿すべきとされる個人に関する情報を取り扱うWebサイトで、これらの情報が盗み取られるのを防止するため、広く利用されています。
また、SSLは暗号化に加え、電子証明書により通信相手の本人性を証明し、なりすましを防止するなど、今日のインターネットの安心・安全を支えています。」
SSLの仕組み|情報セキュリティ関連の技術|基礎知識|国民のための情報セキュリティサイト
うん、こっちの方がわかりやすいですね。(^^)
もっと簡単に書くと、
1.WEBサイトでやりとりする情報を暗号化してくれる
2.WEBサイトの証明をしてくれる
ための技術ですね。
「常時SSL化」とは何か?
SSLはわかりましたが、常時SSL(https)化とは何でしょうか?
WEBサイトでやりとりする個人情報を暗号化するのであれば、入力フォームのあるページだけをSSL化すれば良いんじゃないの?と思うのですが・・。
「スマートフォンやタブレット端末などの急速的な普及に伴い、駅や空港さらには飲食店やコンビニなどあらゆる公共の場所で誰でも公衆無線LANを利用できるようになりました。
しかし便利になった反面、これらの公衆無線LANはセキュリティレベルが低いため、悪意を持った第三者により通信を傍受されるリスクが高まります。
個人情報は、フォームに入力する名前やパスワード、クレジットカード番号だけではありません。HTTP通信時においてもcookie等のデータに閲覧履歴やログイン情報などの個人情報が含まれる場合があります。」
今さら聞けない「常時SSL」 : ビジネスとIT活用に役立つ情報
なるほどぉ。個人情報は入力した情報だけではないのですね。情報は常にやりとりされてしまっているわけか。
であれば、サイト全体をSSL化して「常時SSL化」しなければ、セキュリティは不完全であるということですね。
どうして急に「SSL化が必須」「SSL化が急務」と言い出しているのか?
SSLの技術はもう20年以上前から開発されていました。
では、なぜ今になって「SSL(https)化が必須」「SSL(https)化が急務」と騒がれているのでしょうか?
その答えは、
・GOOGLEのChoromeブラウザver.68からは、SSL化をしていないhttpサイトに警告を出すようになる
これが原因だと思われます。
今、choromeブラウザの最新版はver.67です。(2018/7/18現在)
このchoromeブラウザでWEBサイトを見ると、アドレスバーにはこんな表示がされます。
●SSL化しているサイトの表示
(例:正吉の裏サイト(現在は閉鎖))
爽やかな緑色で「安全ですよ!えぇ安全ですとも」という印象を受けますね。
●SSL化されていないサイトの表示
(例:このブログ)
iのマークをクリックすると、
となります。(iのマークをクリックしなければ見過ごしてしまう感じです)
●SSL化されていないサイトの表示(新しくなるChoromeブラウザver.68以降)
「保護されていません」と表示されるようになってしまいます。
うーん、これはキビシイ。
何だかまるで「認められていないサイトです!」「危険なサイトです!」と警告されているようです。(何も悪いことしてないのに)
SSL化されていないと、サイトの信頼性が下がってしまうのですね。
Choromeブラウザがver.68に更新されるのは、2018/7/25です。
個人ブログにSSL(https)化は必要なのか?
今後、クレジットカード情報を入力するようなサイトはもちろん、問い合わせフォームで個人情報を扱うサイトなどは、「SSL(https)化が必須」となるのでしょう。
正直なところ、このブログのような個人雑記ブログで、個人情報のやりとりなんてしていなければ「関係ないじゃん!」と言いたくなります。
個人情報が漏れるとすれば、ブログのコメント欄になるのかな。
このブログでは今はコメント欄を閉鎖してしいますが、コメント欄に名前、メアドなどを入力してもらう設定になっていれば、そこが情報漏れのネックになる可能性はあります。
読者の方に、(「保護されていない」なら、コメント書くのはやめておこう)(メアドを入力するのは止めよう)という気持ちにさせてしまうかも知れません。
SSL化のメリット
SSL(https)化によるメリットは上にあげた、セキュリテイの向上、信頼性の向上ですが、それ以外にもあります。
・検索順位が上がる(可能性が高い)
GoogleはHTTPSをランキングシグナルに使用することを発表しています。「httpのサイトよりhttpsのサイトの方が検索順位を優遇します」ということのようです。
現状では、検索順位に大きな影響を与えるほどでは無いようですが。
また、一定の条件を満たした場合、同じコンテンツなら、HTTPのページよりもHTTPSのページを優先的に登録する仕組みを導入したことを発表しています。
Google ウェブマスター向け公式ブログ: HTTPS をランキング シグナルに使用します
Google ウェブマスター向け公式ブログ: HTTPS ページが優先的にインデックスに登録されるようになります
・通信速度が速くなる
Webページの表示を高速化するプロトコル「HTTP/2」が登場しています。
従来の「HTTP/1.1」でHTTPS接続した場合に比べ、Webページが表示されるまでの待ち時間を短縮できるようになるようです。
主要なブラウザでは、この「HTTP/2」を利用するにはHTTPS接続が必要となっているため、HTTPSのWebページのみ「HTTP/2」を用いてレスポンス速度を速めることができるようです。
SSL化のハードルは下がっている
数年前までSSL化にはお金がかかりました。
なので、僕も(レンタルサーバー代よりもお金をかけるのはちょっとあり得ないなぁ…)と考えていました。
しかし、現状は、
・レンタルサーバーでのSSL化は安価になっている(無料SSL化の対応も増えている)
・はてなブログやFC2ブログなどのブログサービスでも対応可能になってきている
僕が契約しているレンタルサーバーは「エックスサーバー」ですが、エックスサーバーでは独自SSLであればSSL化にお金がかかりません。
複数サイトでも、無料でSSLの設定ができるので助かっています。
SSL(https)化は簡単では無い 案外大変な作業である
サイトのSSL(https)化作業についてザッと調べてみましたが、単純にhttpsにすれば良い、というわけでは無いようです。
・WordPressなどでは、http→httpsにURLが変わってしまうため、リダイレクトという変換の作業が必要になる。
・各ページのURLがhttp→httpsに変わるため、内部リンクや画像などを変更する必要がある。
・アフィリエイトやランキングサイトなどのツールも、httpsでリンクし直さないと常時SSLにならない。
などなど、SSL(https)化に伴う作業が必要になります。
ある程度の知識を得るための調査時間と、サイト全体を変更する作業時間が必要になります。
SSL(https)化によって、使えなくなるツールやサービスもあるようなので注意が必要です。
ブログSSL(https)化のまとめ
最後にまとめをしておきます。
・コメント欄など個人情報を扱うのであれば、SSL(https)化すべき
・既存ブログのSSL(https)化は面倒だが、今後もブログを続ける予定で、多くの人に読んでもらいたければ、SSL(https)化すべき
・新しくブログを始めるならSSL化しておくべき
ということになりました。
以上、ブログSSL(https)化についての調査でした。
■
僕はこのブログ以外にもいくつかのサイトを運営しています。
SSL(https)化を目指して作業していく予定なので、問題点や気づいたことがあれば随時書いていきたいと思います。
コメント