保護されていない通信って?何が問題なの?いまさら聞けない「https」「SSL」について
早速の質問ですが、下の2つのブラウザ画面で、何が違うのか分かりますか?
会社名が違う? URLが違う? そもそもデザインが違う? 確かにそうなのですが、もう一つ違うところがあります。それが、「アドレスバー」の部分です。アドレスバーの最初の部分を拡大してみてみましょう。
上のホームぺージのアドレスバーには「保護されていない通信」という表示が出ています。それが、今回ご紹介する「SSL対応されていないホームぺージ」の証です。それのなにが問題なのか。どのように対処すればよいのかを、ご案内します。
そもそもSSLとは何?
「SSL」は「Secure Sockets Layer」の略で、インターネット上でデータを暗号化するための技術です。これにより、例えばオンラインショッピングでのクレジットカード情報などの重要なデータが、第三者に読み取られることなく安全に送信されます。
「第三者に読み取られる?」と思われましたか?そうなのです。ホームぺージでのやり取りは、そのような悪意のある第三者が、容易に盗み見ることができます。ホームぺージのお問い合わせやECなどで個人情報を入力して送るのは、例えるなら、手紙を送るのと似ています。SSL対応してないやり取りは、封筒にも入れずに送ってるようなもので、その技術がある人は、誰でも内容を見ることができてしまいます。SSL対応することは、その手紙を鍵付きの鉄製の封筒に入れるようなものなのです。
その「SSL」に対応しているホームぺージのURLが「https」から始まるものとなります。
「https」とは、インターネット上で情報を安全にやり取りするためのプロトコルです。「http」の「s」は「secure」(安全)を意味しています。つまり、「https」は、ホームページと閲覧者の間でやり取りされるデータが暗号化されていることを示しているのです。
なぜSSL対応しないといけないの?
なぜ、ホームページをSSL対応し、URLを https から始まるものに変更しないといけないのか。それは、以下の3つの理由が挙げられます。
SSL対応が必要な3つの理由
1.個人情報・重要情報の保護
SSLにより、お問い合わせの際の個人情報やEC購入の際のクレジットカード番号など、重要な情報が第三者に盗み見されるのを防ぐことができます。個人情報の保護が重要になっている現在、暗号化通信でホームページ閲覧の安全性を保つことは必須の対策となります。
2.信頼性・信用性の向上
1.と関連しますが、SSL対策を行うことにより、閲覧者に対して「このホームぺージおよび、このホームページを運営している会社は安心です」と示すことができます。誰もがまずホームページを見る時代、アドレスバーに「保護されていない通信」という表示がでるのは、御社に対する信頼性を下げることにもつながります。
3.SEO対策
SSL対応をすることは、SEO対策(検索エンジン対策)にも重要です。Google社は、SSL対応がされていないホームページの検索順位を下げてしまいます。自社名などでは(SSL対応をしていなくても)検索順位の最上位に出るでしょうが、それ以外の製品名やサービス名などでは、競合他社より順位が下になる可能性が高くなります。
みんなSSL対応をしているの?
SSL対応というものが意識されるようになったのは、実はここ5~6年のことです。2017年12月の日経新聞の記事によると、その時点で、中央省庁など政府組織ホームページの8割が常時SSLに未対応でした(※日経クロステック 2017年12月2日記事)。ですので、御社のホームぺージが、5~6年以上前に新規立ち上げ・リニューアルされていた場合、SSL対応していないかもしれません。
しかし、2018年7月にリリースされた「Google Chrome ver.68」からアドレスバーに「保護されていない通信」という表示が出るようになり、SSL対応の必要性や意識づけが進みました。
現在では政府系組織のホームぺージではSSL対応が義務化されており、また、一般企業においてもSSL対応は必須です。先ほどの「2.信頼性」と「3.SEO対策」もあり、現在では、お問い合わせフォームなども特にない、つまり、個人情報をやり取りしないホームページであっても、SSL対応は欠かせないものとなっています。
※常時SSL:お問い合わせなどページの一部だけをSSL対応するのではなく、ウェブサイト全体をSSL対応し、すべてのページのURLを「https」からはじまるものにすることを意味します。
ホームぺージをSSL対応をするには?
「SSL対応の必要はわかった。でもどうやるの?」とお悩みの方もいると思います。そこで、ホームページをSSL対応にする方法をご案内します。
ホームぺージをSSL対応する方法
以下が、一般的に案内されている、SSL対応方法です。
- SSL証明書の取得:
- まず、SSL証明書を取得する必要があります。これは、Webサイトが安全であることを証明するデジタル証明書です。
- SSL証明書は、信頼できる認証機関(CA)から購入できます。無料オプション(例えばLet’s Encrypt)と有料オプションがあります。
- ホスティングサービスの確認:
- 使用しているホスティングサービスがSSL証明書の導入をサポートしているか確認します。
- 多くのホスティングサービスは、SSL証明書の導入を簡単にするツールやサポートを提供しています。
- 証明書のインストール:
- SSL証明書をホスティングアカウントにインストールします。これは、ホスティングサービスのコントロールパネルを通じて行うことが多いです。
- 手動でインストールする場合は、証明書(.crtファイル)と秘密鍵(.keyファイル)をサーバーにアップロードする必要があります。
- ウェブサイトの設定変更:
- ウェブサイトが常にHTTPSを使用するように設定を変更します。これには、.htaccessファイルなどでのリダイレクト設定が含まれます。
- すべての内部リンクがHTTPSを使用するように更新することが重要です。
- テストと確認:
- SSL証明書のインストールが完了したら、ブラウザでウェブサイトを開き、アドレスバーに「https://」が表示されるか確認します。
- SSL証明書の有効性を確認するために、オンラインのSSLチェッカーを使用することもできます。
- サーチエンジンの更新:
- HTTPSへの移行後、Google Search Consoleなどのサーチエンジンツールを更新して、新しいURL(httpsを含む)を通知します。
「・・・うーん、わからん!」と思われた方も多いのではないでしょうか。そんな時は、弊社にお任せください。弊社で、SSL証明書の手配や設定も可能です。
SSLに関する、よくあるご質問
弊社は、SSLに関するご相談も頂きますが、その中でよくあるご質問をご紹介します。
SSL対応には費用はいくらかかるのか?
一般的に、SSL対応をする場合、以下の費用がかかります。
- SSL証明書の取得費用(1年間ごと)
- Global Sign社やGeoTrust社、セコム社などが発行しているSSL証明書を取得する場合、SSL証明書の種類や各社によって違いますが、年間で数万円以上の費用がかかります。これは「年契」のため、毎年かかることにご注意ください。
- SSL設定費用
- 取得したSSL証明書は、ウェブサーバーに設定しないといけません。弊社などに相談いただくか、また、プロバイダやホスティングサービス側で、取得したSSL証明書を代行設定するサービスを提供している場合もあります。ご契約内容等によって変わりますが、一般的には数万円ほどとなります。
- プロバイダ・ホスティングサービスのSSL利用料
- プロバイダやホスティングサービスによっては、上記の証明書費用以外に、SSLに関して毎月のオプション利用料がかかる場合があります。
- URLを「https」から始まるよう設定する費用
- SSL証明書を取得しても、URLを「https」から始まるものに変更しなければ意味がありません。URLを「http」から「https」に変更するには、自動転送設定というものを使用するのが一般的です。弊社にても作業代行を行えますのでお気軽にご相談ください。
なお、作業費は数万円ほどとなりますが、サーバー規模やWEBサイトで使用しているシステムによって、別途調査費などがかかる場合がございます。
- SSL証明書を取得しても、URLを「https」から始まるものに変更しなければ意味がありません。URLを「http」から「https」に変更するには、自動転送設定というものを使用するのが一般的です。弊社にても作業代行を行えますのでお気軽にご相談ください。
ウェブサーバーの変更でSSL対応&コストダウンも
ホームページをSSL対応する際にお手軽な方法は、SSLを用意しているレンタルサーバーなどを借りて、そこに引っ越してしまうことです。上記でご案内した通り、SSL証明書を契約する場合、証明書代だけで年間に何万円以上かかるものですが、そのようなレンタルサーバーは、月数百円~数千円のサーバーレンタル料だけで無料で使える安全なSSL証明書も用意しています。無料とはいえ、暗号強度などの安全性は有料のSSL証明書と同等です。御社の事業規模やホームページの内容、セキュリティ基準によりますが、一般的なBtoB企業ホームページや採用WEBサイトの場合、基本的にそのような無料のSSL証明書で問題ありません。
また、昔にプロバイダと取り交わした契約を何年も継続している場合、契約を見直すことで、月のサーバー利用料の削減や、サーバースペック等の向上も見込めます。また、メールサーバーは現在の契約などを使用し、ホームページのみレンタルサーバーに引っ越すことも可能です。
弊社では、サーバーの選定や御社のホームページの引っ越し、SSL対応、そしてその際にウェブサイトのリニューアルをしたい、などといったご要望にもすべて対応できますので、お気軽にご相談ください。
SSLを契約したはずなのに「保護されていない通信」が出る場合
御社ですでにプロバイダやホスティングサービスとSSLの契約をしているのに、アドレスバーに「保護されていない通信」が出る場合、SSL契約が切れているか、URLを「https」から始まるものに変更していない可能性があります。特に、URLが「https」から始まっているのに、SSL証明書の有効期限が切れている場合、閲覧しようとした際に以下のような画面が出ます。
このような場合、早急な対応が必要です。弊社にて状況のリサーチと対応をすることも可能ですので、お気軽にご相談ください。