【注意】2018年7月から始まるGoogleのSSL強化への対応

【注意】2018年7月から始まるGoogleのSSL強化への対応

今回はサイト運営やブログ制作に携わっている方は、必見です!

ご存知の方もいると思いますが、Googleは2018年7月24日にリリースする「Chrome68」から、SSL化がされていないサイトで「保護されていません」という警告を表示をするように改変がありました。

これはサイト運営者にとって、一大事なことです!

「えっ、どんな大変なことが起こるの?」
「そもそも、SSLって何?」

ちょっと、専門的な知識も必要なので、上記のような声が聞こえてきそうですよね。

今回は、そんな方のために「SSL」の説明から、今回のGoogle改変に伴って何をするべきをお伝えしていきたいと思います。
ぜひ、チェックして7月24日前にはぜひ、対応していきましょう。

SSLって何?

SSLって何?

SSL(Secure Sockets Layer)とは、ブラウザとサーバ間での通信データを暗号化して通信のやりとりを行う仕組みです。

分かりやすいところでいうと、よく皆さんお馴染みの「楽天」であったり、「アマゾン」などを思い浮かべてください。

商品を購入する際にインターネット上で、名前や住所、パスワード、クレジットカード番号といった個人情報や機密情報が送受信されています。もし、このやり取りを暗号化しければ、悪意のあるユーザー(ハッカーなど)に情報を読み取られ悪用されてしまったり、ページを改ざんされてしまう恐れがあります。

そういうハッカーなどからの攻撃をさけるために、サイトをSSL化し暗号通信することで、ユーザーは安心してフォームに個人情報などを入力・送信することができるのです。

つまり、SSL化されているサイトとされていないサイトでは、信頼度が変わってきます。

SSL化されていないサイト ⇒ セキュリティが弱く悪用され、安心して使えないサイト

SSL化されているサイト ⇒ セキュリティが強く安心して利用できるサイト

SSL化されているサイトと、されていないサイトの見分け方

それでは次にSSL化されたサイトとされていないサイトの見分け方を見ていきましょう。
とても簡単です。

ブラウザに表示されるURLに「http://」と表示されている場合は、SSL化されていないサイトです。

一方、「https://」と「http」の後に「s」一文字追加されているURLの場合は、SSL化されているサイトです。

SSL化されているサイトと、されていないサイトの見分け方

「http」は「HyperText Transfer Protocol」の略で単純に「ハイパーテキストを、インターネットの転送ルールを使ってやりとりする」という意味で、それと比べ「https」は、「Hyper Text Transfer Protocol Secure」の略で、「ハイパーテキストを、インターネットの転送ルールを使って安全にやりとりする」という意味になります。httpに「セキュア(安全)」が追加されています。

つまり、そのサイトのURLを見れば、SSL化されているページなのかそうでないのかを見分けることができます。

さて、ここまでで簡単ではありますがSSLの仕組みと見分け方を理解いただけたと思います。そこで、いよいよ今回の本題のGoogleの改変で何が大変なのかを見ていこうと思います。



Google 2018年7月から実施される警告

冒頭で触れましたように、Googleは今回2018年7月よりSSL化がされていないサイトで「保護されていません」という警告をブラウザ上に表示する改変を行いました。

実はGoogleは、これ以前の2014年にもWebの安全性を強化すべく、サイト全体にSSLを実装した常時SSL化を行っているサイトを検索順位で優遇するようになりました。

ではなぜ、GoogleはSSL化サイトを優遇するのでしょうか?

答えは簡単です。

ユーザーがより安心し信頼できるサイトを上位に表示することで、Googleの検索エンジンもより良質なサービスを提供できると考えているからです。

これだけ見るといたって、シンプルで全うな改変なのですが、サイト運営者としては実際にSSL化されているサイトとされていないサイトでは検索順位もそうですが、サイトの見た目上も差がつきそうです。

以下、警告表示がブラウザ(google chrome)上に表示されSSLを知らないユーザーでも、ちょっと警戒したくなるような表示で、サイトアクセス数にも差がでてきそうです。(画像、赤枠箇所が表示されます。この警告の見方は次回詳しく見ていきます。)

google 警告

また、SSLを導入するには場合によっては、費用やサーバーやサイトの見直しなど運営者の対応負担が大きい場合もあります。

とはいえ、運営者側の問題ばかり挙げても対応しなければ、他社に置いて行かれるばかりか、ユーザーから相手にされなくなる恐れがありますので、ここはしっかりと対応しておきたいところです。

次章は、SSL導入についてのポイントをあげますので、ぜひチェックしてください。



SSL導入にあたってのポイント

まずチェックして欲しいのが今使っているサイトのサーバーです。

自社サーバを使用してサイトを公開している場合は別ですが、レンタルサーバを利用されている方が圧倒的に多いと思います。そこでSSL化するにあたり、まずは>使用しているレンタルサーバがhttpsに対応していることを確認する必要があります。

多くのレンタルサーバではSSL化に対応していますが、まれに古いレンタルサーバやインターネットプロバイダで無料で提供されているサーバでは対応していない場合があります。万一、サーバがSSL化に対応していない場合は、サーバの乗り換えが必要となってきます。

さらに、SSL対応サーバでも「共用SSL」のみに対応しているケースもあります。

共用SSLとは、ホスティング業者が取得したSSLをサーバの利用者で共有するもので無料で利用できますが、独自SSLよりセキュリティレベルは劣ります。また、指定されたドメイン名(URL)以外は利用できないケースが多いため、URLが変わってしまうなど問題点があります。ぜひ、共用SSLではなく独自SSLでのSSL化を進めましょう。



独自SSLの導入

サーバが独自SSLに対応していることを確認できましたら、SSL証明書を発行準備に入ります。
ここでもレンタルサーバー会社によって、無料でSSL証明書が発行できるサービスと、有料サービスで発行する2つのサービスを設けている場合があります。

  

無料サービス「Let’s Encrypt」を利用

無料でSSL証明書を発行できるサービスとは「Let’s Encrypt」です。アメリカに本拠地を置く非営利団体「電子フロンティア財団」がSSL証明書を発行してくれます。

有効期限は90日ですが、スクリプトを設定すれば自動で更新してくれます。また、Let’s Encryptと提携しているレンタルサーバも自動更新が可能です。無料だからといってセキュリティレベルが低いということはなく、高価な証明書と同様の暗号化強度を持ちます。デメリットとしては、有料証明書にあるような付加サービスや手厚いサポートが受けられない点が挙げられます。ブログや小規模の事業などは、こちらでも十分と言えます。

ちなみに私のブログは「ロリポップサーバー」ですが、「Let’s Encrypt」を利用できます。

Let's Encrypt

有料サービスを使う

有料サービスのSSLはレンタルサーバーの管理画面上などからお申込みができ、とても簡単に手続きができるのでぜひ、レンタルサーバーで取り扱っている会社のものを選ぶのがお勧めです。レンタルサーバーで提供している以外の会社のものも、もちろん独自で契約すれば可能ですが手続きや、設定が煩雑になるので提供している会社のSSLを使うのが良いと思います。

私が利用している「ロリポップサーバー」では「グローバルサイン」社のSSLを申し込むことができます。プランもライトなものから、厳密な審査がある大企業向けのSSL証明書までそろっています。

価格は、プランに応じてですが以下、参考までにご覧ください。

グローバルサイン


SSL証明書発行の確認

SSL証明書導入をして早速、SSL化したURLが利用できるか試してみてください。
導入できている場合は、「https://」から始まるURLを入れるとご自身のサイトが問題なく表示されると思います。

逆に「404」などエラーが出てしまう場合は、まだ証明書手続きが終わっていないか、契約不履行だったかになるので、再度レンタルサーバー会社にお問合せください。ちなみに、プランによっては証明書発行が1~10営業日ぐらい開きがありますので、申込時にも証明書発行期間をチェックすると良いと思います。

以上、SSL証明書発行からサイト確認までをご紹介しました。
大枠での設定は問題ないと思いますが、実はまだSSL証明書を導入できたにも関わらず、以下のようにGoogle chromeでサイトへの警告がでてしまう場合があるので、そちらの対応の仕方をご案内しようと思います。

ぜひ、次回もチェックしてくださいね!