常時SSLとは何か?常時SSLのメリット5つとデメリット・注意点5つ

always-ssl-eye-catching

あなたも、「常時SSL」という言葉を聞いたことが あるのではないでしょうか。

下図は、Googleトレンドという無料ツールで調べた、「常時SSL」というキーワードの検索トレンドです。

googleトレンド-常時ssl

「常時SSL」と検索される頻度が、年々増加してきていることが読み取れます。

なぜ、増加してきているのでしょうか? 理由は簡単で、話題になっているからです。

なぜ、話題になっているか? それは、以下のような理由からです。
・常時SSLしていないと、あなたの店舗のウェブサイトで警告が表示される
・常時SSLしていると、GoogleやYahoo!で検索されたときに、上位表示される可能性が少し高まる
・大手の有名サイトが常時SSLに着手している

この3点を見ただけも、常時SSLがより気になったのではないでしょうか。

ここでは、常時SSLについてご紹介します。
「常時SSL」という言葉を初めて聞いた方も、本記事を読んでいただくことで、どのようなメリットとデメリット・注意点があるのかを理解することができます。

是非、参考にしていただければ幸いです。

※本記事のスクリーンショットや、他社の参考情報は、2018年4月上旬 時点のものです。

1.常時SSLとは何かを理解する

最初に、常時SSLとは何かを理解しましょう。

結論ですが、常時SSLとは、ウェブサイト全体をhttpsにして、安全にすることです。
この結論を理解するために、以下の順番でご紹介していきます。

SSLの解説

常時SSLの解説

1-1.SSLとは、ウェブページをhttpsにして、安全にすること

SSLとは、ウェブページをhttpsにして、安全にすることです。
これは、どういうことなのか? 解説してきます。

SSLは、Secure Sockets Layerの略で、インターネット上でのデータの受け渡しを暗号化する技術のことを指します。

SSL対応することのメリット

SSLにより、暗号化することで、以下のような事態を防ぐことができ、ユーザー(ウェブサイトを訪問してくれた人)が、安心してウェブサイトを利用できます。

・悪い人が、インターネット上で受け渡し(送信)された個人情報やクレジットカード情報を盗む
・悪い人が、本物そっくりのウェブサイトを作って、個人情報やクレジットカード情報を入力させる(フィッシング詐欺・なりすまし)
・悪い人が、インターネット上で受け渡し(送信)された情報を改ざんする

SSL対応されているページの例

一般的に、名前や電話番号などの個人情報やクレジットカードなど、漏えいさせてはいけない情報を、ユーザーが入力して「送信」するようなページに対して、ウェブサイト運営者(企業側)がSSL対応しています。

・ショッピングサイトで、クレジットカード情報を入力するページ
・資料請求やお問い合わせなどのウェブフォーム
・会員専用サイトにログインするときのログイン画面

SSL対応しているか見分ける方法

あなたが、自分の個人情報を入力しようとしているページがSSL対応しているか見分けるには、URLの文字列と、ブラウザのアドレスバーを確認します。

SSL対応しているページは、URLが「https」で始まり、ブラウザのアドレスバーに鍵マークが表示されます。
例えば、いま閲覧いただいているサイト「TENJUKU」のお問い合わせページもSSL対応しています。

・URLで見分ける
https://tenjuku.net/inquiry

URLの始まりが、「https」となっています。これが、SSL対応していることの証です。
SSL対応していないウェブページは、「http」で始まります。

httpは、Hypertext Transfer Protocolの略です。
これは、インターネット上で通信するときに使われる規約のようなもので、ウェブページを閲覧するためには、httpという規約を使用するルールとなっています。
そして、httpsの「s」は、Secure(セキュア)の意味で、「この通信は安全ですよ」と表現していることになります。

・ブラウザのアドレスバーで見分ける
SSL対応している場合、ブラウザのアドレスバーには、鍵マークが付きます。(下図のオレンジ色 矢印で示した箇所)

sslブラウザのアドレスバー

以上を踏まえて、「SSLとは、ウェブページをhttpsにして、安全にすること」と、端的に表現しています。

SSLサーバ証明書の種類

SSL対応するため、つまり、ウェブページを「https」にするためには、認証局と呼ばれる企業に申し込みをして、SSLサーバ証明書というものを発行していただき、サーバにインストール・設定する必要があります。
SSLサーバ証明書には、「DV」「OV」「EV」の3種類あります。

ここでは3種類の概要と特徴を、【3-1.費用がかかる】では費用に関してご紹介しますので、あなたがSSL対応を検討される際に、参考にしていただければ幸いです。

・DV(Domain Validation)
ドメイン認証とも呼ばれています。
SSLサーバ証明書を申請した人が、ウェブサイト・ドメインの所有者であることを証明するものです。
費用面では一番安く、申請から発行までの所要時間も早いのが特徴です。

・OV(Organization Validation)
企業認証や組織認証とも呼ばれています。
申請された企業・組織が法的に存在し、企業・組織がウェブサイト・ドメインの所有者であることを証明するものです。
企業・組織が法的に存在しているかも確認するので、DVよりも信頼性の高さをアピールできます。

・EV(Extended Validation)
企業実在認証とも呼ばれています。
OVと同じく、企業・組織が法的に存在しているかの確認に加えて、申請者の在籍確認や企業・組織が所在地に物理的に実在しているかも確認し、証明するものです。
3種類の内、企業の実在も確認・証明するので、最も信頼性のあるSSLサーバ証明書です。
EVを採用した場合のみ、アドレスバーに緑色で組織名が表示され、ユーザーに安全であることを、より強くアピールできます。

ssl-extended-validation

3種類の特徴を下表にまとめました。

サーバ証明書の種類比較表

1-2.常時SSLとは、ウェブサイト全体をhttpsにして、安全にすること

続いて、今回の記事のテーマである常時SSLに関してです。
SSLがウェブページに対する考え方だったのに対し、常時SSLは、ウェブページすべて、つまりウェブサイト全体をSSL対応することを指します。

常時sslイメージ図

つまり、全ページが、「https」で始まるURLとなり、鍵マークが付き、暗号化できるのです。

それでは、常時SSLはやったほうが良いのでしょうか?
私は、常時SSLはやるべきと考えています。

その理由を、次章で解説していきます。

2.常時SSLをやるべき5つの理由

まずは、以下のデータをご覧ください。

常時ssl対応状況

画像引用・出典:世界主要企業サイトの地域別・国別 常時SSL対応状況(2018年3月)

株式会社あとらす二十一さんが、フォーチュン(FORTUNE)「GLOBAL500」2017年版に掲載された企業および日経225に選定されている企業の公式サイトの常時SSL対応状況をチェックされた結果のグラフです。

グラフ内の「https完全対応」が常時SSL、「http併用」が一部のページのみSSL対応している、ということを指しています。
2016年から2018年にかけて、国内でも海外でも、急速に常時SSL化の波が広がっていることがわかります。

なぜ、急速に広がっているのでしょうか。
私は、主に以下の5つの理由からだと考えています。且つ、私が常時SSLを推奨する理由でもあります。

2-1.ウェブサイト全ページで悪い人からの攻撃を防止できる
2-2.ブラウザで警告が表示されるのを防ぎ、ユーザーに安心感を与える
2-3.ページ表示速度を高速化できる
2-4.SEOの視点でもプラスの効果がある
2-5.サイト訪問者が、どこからきたか取得できるようになる

一つずつ、具体的に見ていきましょう。

2-1.ウェブサイト全ページで悪い人からの攻撃を防止できる

1つ目の理由は、ウェブサイト全ページで悪い人からの攻撃を防止できるからです。

1-1.SSLとは、ウェブページをhttpsにして、安全にすること】でご紹介した通り、悪い人が個人情報やクレジットカード情報を受け渡しするページ・タイミングを狙って攻撃してくるのを防ぐのが、SSLです。
個人情報やクレジットカード情報を受け渡しするページ以外をSSLにする必要ないんじゃないの? と思われる方もいるかもしれませんが、それは間違いです。
個人情報やクレジットカード情報を受け渡しするタイミング以外でも、ユーザーが攻撃されるケースもあるのです。

例えば、空港や喫茶店などで利用できる無料Wi-Fi。
「http」のページがあることで、Wi-Fiのアクセスポイントを偽装して情報を盗んだり、悪い人が そのユーザーに成りすまして情報を盗んだりすることができてしまうのです。

常時SSL対応することで、ユーザーがウェブサイトに訪問してから出ていくまで、すべてを暗号化できるので、このような攻撃も防げます。

2-2.ブラウザで警告が表示されるのを防ぎ、ユーザーに安心感を与えられる

2つ目の理由は、ブラウザで警告が表示されるのを防ぎ、ユーザーに安心感を与えられるからです。

「ブラウザで警告が表示される」というのは、Google ChromeとFirefoxにおいて、「ページはSSLで保護されていないことが強調して表示される」ということです。

Chromeでの警告表示

本記事を執筆時点の私のブラウザ「Chrome  65」において、個人情報やパスワード入力ページが「http」だったとき、「保護さていません」と表示されます。

chrome警告

この「保護されていません」と表示される範囲が拡大されることが、2018年2月にGoogleウェブマスター向け公式ブログで公表されました。
原文を引用させていただきます。

私たちはここ数年間、サイトで HTTPS による暗号化を採用するよう強く働きかけることによって、保護されたウェブを目指してきました。そして昨年は、「保護されていません」と表示される HTTP ページを徐々に増やすことによって、HTTP サイトが保護されていないことをユーザーに理解してもらうよう努めてきました。2018 年 7 月に Chrome 68 がリリースされると、すべての HTTP サイトに「保護されていません」と表示されるようになります。

chrome68-保護されていません

出典・引用:Googleウェブマスター向け公式ブログ:保護されたウェブの普及を目指して

赤字にした箇所がポイントです。

2018年7月から、すべての「http」のページに対して「保護されていません」と表示されることになります。
つまり、常時SSL対応していない場合、Chromeのアドレスバーには、ずっと「保護されていません」と表示されます。

この状況を回避できるのが、常時SSLなのです。
常時SSL対応することで、「保護されていません」ではなく、ウェブサイト全てのページで「保護された通信」と表示され、ユーザーに安心感を与えられます。

chrome-保護された通信

もし、あなたが、とあるウェブサイトに訪問して、ページを遷移していく間、ずっと「保護されていません」と表示されていたら、どう感じるでしょうか。

また、次のような調査結果があります。

SSLサーバー証明書が導入されているWebサイトはアドレスが「https」から始まるようになり、合わせて錠前マークが表示されるようになっています。インターネット上のさまざまなサービスを利用する際、あなたは、この表示の違いは意識していますか?

サーバ証明書アンケート結果

出典・引用:フィッシング対策協議会 SSLサーバー証明書に関する事業者ならびに利用者向けアンケート調査結果

フィッシング対策協議会が行った「SSLサーバー証明書に関する事業者ならびに利用者向けアンケート調査結果」によると、「https」を意識しているユーザーが4割以上いるという結果でした。
常時SSL対応している企業が増加していく中、ユーザーにも常時SSLが認知されていき、「https」を意識するユーザーは、どんどん増えていくでしょう。

早めに常時SSL対応することで、ブラウザで警告が表示されるのを防ぎ、ユーザーに安心感を与えられます。
逆に、あなたの店舗が常時SSL対応していなかった場合、ユーザーを保護していないことが目に見えてしまい、店舗に対する信頼感を失うことにつながってしまいます。

なお、Chromeって、そんなに使っている人、いないんじゃない? と思われた方もいるでしょう。
日本のブラウザシェアに関するデータをご覧ください。(2017年3月~2018年3月の月別推移)

statcounter-browser-JP-monthly-201703-201803
出典・引用:statcounter

緑色がChromeです。なんと、日本で一番多く使用されているブラウザは、Chromeなのです。
常時SSL対応されていない場合、2018年7月からの状況を無視しておくのは、店舗の信頼度に大きく影響があると言えるのではないでしょうか。

Firefoxでの警告表示

本記事を執筆時点の私のブラウザ「Firefox 59」において、個人情報やパスワード入力ページが「http」だったとき、「鍵マークに赤い斜線」で表示されます。

firefox-保護されていないページ

Firefoxでは、Chromeのように、すべての「http」で警告表示するという発表はされていません。(2018年3月末時点)
しかし、「http」のページで、個人情報やパスワードなどを入力する際に、下図のように、とても強調されて表示されるのです。

firefox-パスワード入力ページ

このような強調メッセージが表示されたとき、何も気にせずに入力するユーザーは いないのではないでしょうか。

この状況も、常時SSL対応することで回避できます。

以上のChrome・Firefoxの状況やデータから、常時SSL対応することで、ブラウザで警告が表示されるのを防ぎ、ユーザーに安心感を与えられることが ご理解いただけたのではないでしょうか。

2-3.ページ表示速度を高速化できる

3つ目の理由は、ページ表示速度を高速化できるからです。
先にご紹介した2つの理由は、ユーザーを保護する視点のものでした。この3つ目以降は、企業側としてのメリットになります。

表示速度を高速化できるのは、常時SSLにより全ページをhttpsにすることで、「HTTP/2」という技術を利用できるようになるためです。

HTTP/2とは、【1-1.SSLとは、ウェブページをhttpsにして、安全にすること】で記載した「http」のバージョン2です。
このHTTP/2をウェブサイトへ適用するための条件は、以下の2つです。

・ウェブサーバがHTTP/2に対応していること
・ブラウザがHTTP/2に対応していること

昨今では多くのウェブサーバ・ブラウザともに、HTTP/2に対応しています。
ウェブサーバに関しては、システム管理者・ウェブ制作会社に確認しましょう。
ブラウザに関しては、主要なブラウザはHTTP/2に対応しているのですが、ChromeとFirefoxは、SSL対応していないとHTTP/2を適用することができません。

つまり、ChromeとFirefoxで、HTTP/2を適用してウェブページの表示速度を速くするためには、常時SSLが必須となるのです。

言うまでもありませんが、ページ表示速度が速くなることで、ユーザーの利便性が増します。
特に、スマートフォンユーザーにとって、ウェブページの表示速度は重要です。
Googleは、過去に行った調査結果から、表示速度が1秒から3秒に落ちると直帰率は32%上昇する、という予測を公表しています。

参考:think with Google

以上のことから、常時SSLにすることで、ウェブサイトのどのページを閲覧された場合でも、ページ表示が速くなり、離脱を防げるメリットがあるのです。

2-4.SEOの視点でもプラスの効果がある

4つ目の理由は、SEOの視点でもプラスの効果があるからです。

Googleは、検索順位を決定する際のランキングアルゴリズムの一要素として、「https」なのかどうかを考慮すると発表しています。

参考:ウェブマスター向け公式ブログ HTTPS をランキング シグナルに使用します

常時SSL対応したことで、実際に、どれほどの効果があるのかは分かりかねるのですが、別のブログ内で、「昨年は、検索結果での HTTPS URL の掲載順位を若干引き上げる取り組みにも着手しました。」と記載されているので、プラスになることには違いありません。

参考:ウェブマスター向け公式ブログ HTTPS ページが優先的にインデックスに登録されるようになりま

したがって、検索順位に良い影響を与える可能性が高いため、常時SSLはやるべきと考えます。

2-5.サイト訪問者が、どこからきたか取得できるようになる

5つ目の理由は、サイト訪問者が、どこからきたか取得できるようになるからです。

ウェブサイトのアクセス解析で、Googleが提供しているGoogle Analyticsを使用している方も多いのではないでしょうか。
このGoogle Analyticsにおいて、常時SSL対応しておかないと、データが正しく取得できないケースがあります。

正しく取得できないデータは、「参照元(リファラ)」です。

参照元とは、Google Analyticsを使用しているページに、ユーザーが どこから訪問してきたのか、というデータのことを指します。
例えば、Google検索経由なのか、Facebookの投稿経由なのか、別のウェブサイトからのリンク経由なのか、などです。

この参照元データは、以下のケースのとき、取得できない仕様なのです。

・取得できないケース
あなたの店舗ウェブサイトのトップページへ、A社がリンクを貼っているとします。
A社のページが「https」で、あなたのトップページが「http」だったとき、Google Analyticsでは、参照元データが取得できません。
A社のページが「https」で、あなたのトップページも「https」であれば、参照元データを取得できます。

参照元データ取得表

なお、A社のページが「http」だった場合は、あなたのページが「http」であっても、「https」であっても、参照元データを取得できます。

アクセス解析にとって、ユーザーがどこから訪問してきたのかは重要なデータです。
データを活用してビジネスを成長させていくためにも、まずは、正しいデータを取得できるようにしておくことは必須ですので、常時SSLはやるべきと考えます。

3.常時SSLのデメリット・注意点

急速に常時SSLが普及してきていること、メリットなどをお伝えしてきましたが、続いて、デメリットと注意点をご紹介します。

まず、以下の調査結果をご覧ください。

自社のWebサイトやWebサービスにSSLサーバー証明書を導入していない理由を教えてください。

sslサーバー証明書を導入していない理由

出典・引用:フィッシング対策協議会 SSLサーバー証明書に関する事業者ならびに利用者向けアンケート調査結果

フィッシング対策協議会が行った「SSLサーバー証明書に関する事業者ならびに利用者向けアンケート調査結果」です。
この結果は、常時SSLに限って質問しているのではなく、SSLという括りで質問をしていますのが、SSL対応していない理由の1位は、「費用が高い」と「メリット/効果がわからない」となっています。

やはり、費用を気にされる企業が多いことが読み取れます。

費用面も含め、ここでは以下の5つを、デメリット・注意点としてご紹介します。

3-1.費用がかかる
3-2.「http」サイトへリンクを貼っていた場合、参照元データを渡せなくなる
3-3.「http」から「https」へ301リダイレクトを設定する必要がある
3-4.ウェブサイト内で記述していた「http」の表記を「https」に書き換える必要がある
3-5.Search ConsoleとGoogle Analyticsの設定を変更する必要がある

一つずつ見ていきましょう。

3-1.費用がかかる

1つ目のデメリット・注意点は、費用がかかる点です。

SSLサーバ証明書の発行・契約に際して、各認証局とSSLサーバ証明書の種類によって、費用が異なります。
認証レベル(SSLサーバ証明書の種類)に関しては、前述の【1-1.SSLとは、ウェブページをhttpsにして、安全にすること】をご参照ください。

下表に代表的な認証局のプランをまとめましたので、検討する際の参考にしてください。各社の価格は2018年4月上旬に調査したものです。

ssl価格表

上表は、ウェブサイトひとつずつ(ドメイン単位)での価格ですが、認証局によっては、複数ドメインまとめて申請することで割安になるプランも存在しますので、各社の公式ページをご参照ください。

費用面だけで見ると、Let’s Encryptは無料という点で非常に魅力です。
ただし、3か月ごとに更新作業が必要、且つ、認証レベルはDVのみ、というデメリットもあります。

3-2.「http」サイトへリンクを貼っていた場合、参照元データを渡せなくなる

2つ目のデメリット・注意点は、「http」サイトへリンクを貼っていた場合、参照元データを渡せなくなる点です。
これは、【2-5.サイト訪問者が、どこからきたか取得できるようになる】でご紹介したメリットの裏返しです。

あなたが常時SSL対応したことで、あなたのページからリンクしている別サイトのページが「http」だった場合、その別サイトの管理者は参照元データが取得できなくなります。

参照元データ渡せないとき

これは、あなたが複数のウェブサイトを所有して、そのウェブサイト間でのユーザーの行き来を計測していた場合も、同様に発生する事象です。
例えば、ウェブサイトA・B・Cの3つを所有していて、Aのみを常時SSL対応した場合、下図のようにAからBとCへの遷移が取得できない、つまり、Aから参照元を渡せない状態になってしまうのです。

複数サイト管理していた場合

解決するためには、2つの方法があります。
(1)BとCも常時SSL対応する
(2)「meta name=”referrer”」という記述を追記する(一部、対応していないブラウザも有る)

BとCも常時SSL対応することが理想ですが、当然、その分の費用がかかりますので、システム管理者・ウェブ制作会社に相談しましょう。
3-1.費用がかかる】でもご紹介した通り、複数ドメインまとめて申請することで割安になるプランを検討されることを推奨します。

3-3.「http」から「https」へ301リダイレクトを設定する必要がある

3つ目のデメリット・注意点は、「http」から「https」へ301リダイレクトを設定する必要がある点です。

検索エンジンは、「http」と「https」は別々のウェブサイトとして認識します。この状態は、SEO視点で、好ましくありません。
また、他の他社サイトから「http」へリンクされていたり、メルマガの文中に「http」へのリンクを記載していたりして、「http」へアクセスされ続けるケースもあります。

この問題を解決するために、301リダイレクト(転送)という設定をすることを推奨します。
「http」のページへアクセスされたとしても、「https」のページへリダイレクトさせる、つまり、「https」のページを表示させることができます。

301リダイレクトはGoogleも推奨している方法なので、必ず、実施しましょう。

参考:Search Console ヘルプ HTTPSでサイトを保護する

また、Googleは、上記の公式ページに記載されている「HSTS をサポートする」という方法も推奨しています。
301リダイレクトを設定しても、「https」へアクセスする前に攻撃を受けるリスクもあります。
そのリスクを防ぐのが、HSTS(HTTP Strict Transport Security)です。

HSTSを行うことで、「http」へアクセスしようとしたブラウザに対して、「このサイトはhttpsページがあります。次回からhttpsへ直接、アクセスしてください」というような指示を出すことができます。

「http」からリダイレクトで「https」へアクセスするのではなく、「https」へ強制的に直接アクセスするようになり、より安全な環境を実現できます。

3-4.ウェブサイト内で記述していた「http」の表記を「https」に書き換える必要がある

4つ目のデメリット・注意点は、ウェブサイト内で記述していた「http」の表記を「https」に書き換える必要がある点です。

ウェブサイトで以下のような設定をしていた場合は、URLを「https」へと書き換える必要があります。
・画像ファイルやCSS、Javascriptなどパスを「http」で指定しているケース(例:img src=” http://example.com/gazou.png”)
・canonicalによるURLの正規化をしているケース(link rel=”canonical” href=http://example.com/)

canonicalは、検索エンジンに「こちらのURLが正しいので、こちらのURLを検索エンジンに登録してください」と伝える記述です。
常時SSL対応することで、ウェブサイト全体が「https」になるので、正しいURLも「https」に書き換える必要があるのです。

なお、canonicalに関して詳しく知りたい方は、下記のGoogle公式ページをご参照ください。

参考:Search Console ヘルプ 重複したURLを統合する

3-5.Search ConsoleとGoogle Analyticsの設定を変更する必要がある

5つ目のデメリット・注意点は、Search ConsoleとGoogle Analyticsの設定を変更する必要がある点です。

Googleが提供している「Search Console」と「Google Analytics」を使用されていた場合、どちらも設定変更が必要です。
常時SSL対応後も、ウェブサイトを正しい状態に保ち、正しいデータを取得するために必要な作業です。

Search Consoleの場合

Search Console では 「http」 と「https」を別々に扱うため、「https」のプロパティを追加しなければなりません。

search-console-https

「https」のプロパティ追加後、そのプロパティ内で新しいサイトマップを送信することも必要です。

Google Analyticsの場合

Google Analyticsでは、プロパティとビューで設定しているURLの「http」を、プルダウンから「https」に切り替えましょう。

google-analytics-https

4.まとめ

いかがでしたでしょうか。

常時SSL対応することで、いろいろな設定変更も伴ってはしまいますが、メリットの方が多いと感じています。

・ユーザーに安心してウェブサイトを使ってもらえる
・ブラウザでの警告表示を回避できる
・ページの表示速度を高速化できる
・SEOでもプラスの効果
・参照元情報も取得できる

ご紹介した内容が、あなたの店舗の今後の方針決定における参考となれば幸いです。