無料で使える「Let’s Encrypt」というSSL証明書が登場したこともあり、ウェブサイトのセキュリティ対策として常時SSL化を取り入れているサイトが増えてきました。さらにウェブサイトを常時SSL化することは、SEO対策やブラウザから警告を表示させないといった、セキュリティ対策以上の効果を発揮するようになりました。
今回は常時SSLについて紹介します。
常時SSLとは?
時SSLとはウェブサイトの一部分だけでなく、ウェブサイト全体をSSLに対応させることをいいます。従来SSLへ対応させるページと言えば、個人情報を入力するお問い合わせフォームや、クレジットカードの決済ページなど、一部のページのみ対応させることが主流でした。
しかし最近ではセキュリティ意識の向上や、Google Chromeなどの主要なブラウザがSSLに非対応なページに警告を発生させるなどの仕様を採用したことで、常時SSL化が求められるようになってきました。
常時SSL化の仕組み
ウェブサイトにSSLを導入するためには、通信の暗号化に必要な「SSLサーバー証明書」をサーバーにインストールする必要があります。SSL証明書のインストールは自力でやるには、難易度の高い作業ですが、一般的なレンタルサーバーでは、管理画面上の手続きのみでSSLサーバー証明書をインストールして、ウェブサイトをSSLに対応させることができます。
サーバーSSLの証明書がインストールできたら、ウェブサイトにアクセスする際のURLの先頭を「http」から「https」へと変更するだけです。正常にSSL化ができていたら、警告などが発生することなくSSLに対応したページが表示されるはずです。
証明書の4タイプ
SSLサーバー証明書には以下の4つのタイプがあります。それぞれ詳しく見ていきましょう
1.自己署名型
SSLの証明書を自分で発行するものです。自己署名型証明書は通称「オレオレ証明書」とも呼ばれています。
自己署名型でも通信内容を暗号化することはできるのですが、通信相手としての正当性は保証できません。そのため不特定多数がアクセスするウェブサイトのサーバー証明としては不向きです。しかし、特定のユーザーや社内用のウェブサイトなどでは使われることもあります。
2.ドメイン認証型
ドメイン認証型SSLは認証がなされる証明書の中ではもっとも手軽な方式です。ドメイン認証はDV(Domain Validation)とも呼ばれます。
ドメインの所有権をメールやWebサイトへの認証ファイルを設置などを使って、オンライン上で行います。そのため証明書を速やかに発行することができ、他の認証型SSLと比較しても安価です。
3.企業認証型
企業認証はOrganization Validationと呼ばれ、企業サイトなどで一般的に使われている認証方式です。企業認証の証明書の取得には書類による審査と電話確認が必要になるため、ドメイン認証と比べて信頼性が高いことを証明することができます。
企業認証では同一ドメイン内における複数のサブドメインサイトにおいてワイルドカードを使用することができます。これにより複数のサブドメインサイトを1つのSSL証明書で暗号化通信に対応させることが可能です。
4.EV SSL
EV SSLはもっとも厳格な認証方式です。企業認証の審査に加えて、第三者機関のデータベースなども活用し、申請された組織が物理的・法的に実在することを確認します。証明書の発行までに時間がかかり、発行手数料も年間10万円以上必要となることもあります。
EV SSLを導入しているサイトでは、ブラウザのアドレスバーにURLとは別に組織名が表示されます。これにより一目で信頼性の高いサイトであることがわかります。
常時SSL化のメリット
常時SSL化に対応させることで様々なメリットがあります。
1.ウェブサイトのなり済ましを防ぐ
ウェブサイトを常時SSL化に対応させることで、アクセス先が信頼性の高いウェブサイトであることを証明できます。つまり信頼性の低いウェブサイトはSSLに対応させることはできません。これにより悪意のあるサイトが正規の企業サイトやオンラインバンクなどになり済ましても訪問者は気づくことができます。
2.偽装されたアクセスポイントでの通信を暗号化する
公衆のWi-Fiと同じ名前のアクセスポイントを設けて、通信内容を盗聴したり改ざんしたりする事例があります。特にスマートフォンやタブレットのユーザーは、よく確認しないでWi-Fiのアクセスポイントにアクセスすることがあります。
このような偽装されたアクセスポイントへの通信においても、ウェブサイトの運営者がSSLに対応させることで、通信内容の盗聴や改ざんを防ぐことができます。
3.Cookie利用時の盗聴などを防ぐ
常時SSL化することで、クライアントとWebサーバーの経路上でやりとりされるCookieを暗号化させることができます。これはCookieにsecure属性を付けることで、Cookieの送信をSSL通信の時のみに限定する機能を使います。これにより悪意のある第三者からCookieを盗聴されたり、改ざんを防いだりすることにつながります。
4.検索順位にも影響する
Googleは2014年8月8日に「HTTPSをランキングシグナルに使用します(https://webmaster-ja.googleblog.com/2014/08/https-as-ranking-signal.html)」という記事を公開しました。これはSSLに対応したウェブサイトを検索結果の上位に優先的に表示させるという内容です。
また同一のページでもHTTPとHTTPSの両方が存在する場合は、HTTPSで始まるURLのページを優先してインデックスに登録されるようになりました。
5.主要ブラウザから「保護されていない通信」と警告されない
Google ChromeやFirefoxそしてEdgeなど主要なブラウザでは非SSL対応ページを表示させたときに、ブラウザのアドレスバーに警告が表示されるようになりました。
このような対応からも常時SSL化の対応させることが重要であることがわかります。
6.ウェブページが高速表示される
従来SSL化したウェブサイトは動作が遅くなると言われてましたが、HTTP/2という技術の登場でそのような常識が変わろうとしています。
HTTP/2はセキュリティの強化も図りながらこれまでのHTTPよりも高速化することを目的にして開発されたプロトコルです。クライアントとサーバー間での通信のヘッダ情報を圧縮することで、送信できるデータ量を2割から3割ほど削減できます。
HTTP/2を利用するためにはウェブサイトをSSLに対応させることが必須になります。つまりウェブサイト全体を常時SSL化させることで、セキュリティの向上だけでなく、パフォーマンスも良くなる時代になったのです。
常時SSL化する際の注意点
ウェブサイトを常時SSL化するためにはサーバーの設定の他にもウェブサイトの構造についても調整が必要になります。
1.ウェブサイトの内部リンクを調整する
SSL化はウェブサイトを運営しているドメインに適用されます。もしこれまで非SSLのウェブサイトを運営していて、途中からSSL化したのであれば、ウェブサイトのHTMLを調整する必要があるかもしれません。
具体的には、
- imgタグの内部リンクを調整する
- scriptタグの内部リンクを調整する
など、「http」で始まっている箇所を「https」に修正する作業が必要となります。なお相対パスで指定している時はこの作業は必要ありません。
注意点として、アクセスしているサーバーがSSLに対応していても、JavaScriptや画像ファイルなどが設置している外部のサーバーが非SSLの状態だと警告が表示されてしまうことです。この場合、外部のサーバーもSSLに対応させるか、外部にあるJavaScriptや画像などのリソースをダウンロードして、自身が運営しているSSLに対応したサーバーへアップロードして再利用するなどの対策が必要です。
2.HTTPからHTTPSへリダイレクトさせる
またHTTPでアクセスされた際にHTTPSのURLへリダイレクトさせる処理も必要です。これは「.htaccess」というファイルに以下のように記述して対策します。
【.htaccess】
RewriteEngine on
RewriteCond %{ HTTPS} off
RewriteRule ^(.*)$ https://%{ HTTP_HOST}%{REQUEST_URI} [R=301,L]
このような記述を.htaccessに追加することで、「http://~~」へのアクセスを「https://~~」へ自動的にリダイレクトされるようになります。
3.Twitterやfacebookのカウンターがリセットされる
常時SSL化の作業を行うとURLが変更されてしまいます。そのためウェブサイトで表示されているfacebookのいいね数やTwitterのカウント数がリセットされます。これに対する直接的な対策はありませんが、ウェブサイトをなるべく早くSSLに対応させることが一番の対策になると考えられます。
まとめ
ウェブサイトを常時SSLに対応させることには様々なメリットがあることがお分かりいただけたかと思います。安価に使えるレンタルサーバーやドメインなどのおかげで、個人でも独自ドメインを使って気軽にブログを開設し情報発信できる時代になりました。さらに無料のSSL証明書「Let’s Encrypt」に対応しているレンタルサーバーも増えてきています。
しかし常時SSLに対応させる一番の目的はウェブサイトの訪問者が安心してウェブサイトに訪れるようにすることです。検索エンジンにおけるSEO対策や、ブラウザの警告対策などは、あくまでも常時SSL化に対する付加的な効果であることも頭に入れておく必要があるでしょう。
