SSL/TLSとは

常時SSL化のメリットと注意点

ウェブサイトのすべてのページをSSL/TLS化することで、
ログイン情報や決済情報だけでなく、Cookieの盗聴も防止することができます。

  1. SSLのグローバルサイン
  2. サービス一覧
  3. SSLサーバ証明書
  4. SSL/TLSとは?
  5. 常時SSL化のメリットと注意点

常時SSLとは

ウェブサイトのすべてのページを暗号化(SSL/TLS化)することを常時SSL(Always On SSL)といいます。
常時SSLでは、ウェブサイト内のログインページやフォームなど特定のページだけでなく、その他すべてのページをSSL/TLS化します。そうすることでログイン情報や決済情報だけでなく、Cookieへの不正アクセス(盗聴)も防止することができます。
SSL/TLS化されたウェブページはURLの頭が「HTTPS」となり、通信の暗号化が保証されます。これにより、ユーザは安心してウェブサイトから個人情報や決済情報を提供することができ、第三者による盗聴を心配する必要がなくなります。
さらに、企業実在認証付きの証明書やEV証明書がサイトに入っている場合には、アクセスしているウェブサイトに証明書が入っていることが確認できるため、擬似サイトやなりすましサイトへの誘導を防ぐことが出来るといったメリットがあります。

一部SSLと常時SSLの違い

常時SSL化による検索順位への影響

検索順位の決定要因にHTTPS(常時SSL)かどうかが加わる

常時SSL化するメリットには、検索エンジンから「ユーザが安心して利用ができる優良なコンテンツである」と評価される点が挙げられます。検索エンジンの最大手であるGoogleはユーザがより安全にサイトを閲覧できるよう、すべてのウェブサイトオーナーに対してHTTPからHTTPSへの切り替えを推奨しており、ウェブサイトが常時SSL化されているか否かは、検索順位の大きな決定要因にもなっています。

HTTPサイトなら「危険」と表示するシステムの導入も

Googleでは今後、検索結果からユーザが遷移するウェブサイトをHTTPSであれば優遇する方針で、またGoogleのウェブブラウザ「Google Chrome」を使用してウェブサイトにアクセスした場合、非HTTPSサイトに対してはアドレスバーで何らかの警告が表示される場合もあります。
また2015年12月18日には、常時SSL化されたウェブサイトでHTTPページとHTTPSページが同じコンテンツであればHTTPSを優先的にインデックスするというアナウンスがGoogleからありました。

HTTPS化していないとリファラ情報が送信されない

また、ここ数年でGoogle検索自体も常時SSL化しています。そのため、ユーザがGoogleで検索した検索結果をクリックしてウェブサイトに遷移する際、ウェブサイトがHTTPSでなければリファラ情報が送信されません。
リファラ情報からアクセスログを辿ることは、ユーザがどのウェブサイトから訪問したのか、またウェブサイト内でどのような軌跡を経たのかを調べることができます。そのため、リファラ情報が送信されないということは、どこから遷移してウェブサイトを訪問してきたのかが不鮮明になってしまいます。より多くのリファラ情報を収集し、ウェブサイトの分析・発展のためには常時SSL化が必須となりつつあります。

Googleで検索した検索結果をクリックしてウェブサイトに遷移する際、ウェブサイトがHTTPSでなければリファラ情報が送信されない

常時SSL化でセキュリティリスクに対抗

便利なウェブサービスが増え、スマートフォンやタブレットなど手軽にインターネットに接続できるモバイルデバイスの普及が著しくなっています。それに伴い、インターネット環境におけるセキュリティリスクはますます高まっています。

ウェブサイトのなりすましに注意!

インターネット環境におけるセキュリティリスクとして、まず一番にウェブサイトのなりすましが挙げられます。ネットバンクやショッピングなどのサイトを本物そっくりに作ったページにアクセスを誘導し、IDやパスワードといった個人情報や決済情報などを不正に入手しようとします。これは「フィッシング詐欺」と呼ばれている不正行為ですので、注意しないといけません。

ウェブサイトのなりすましによるフィッシングサイトの例

Wi-Fiでのアクセスによるセキュリティリスク

近年ではWi-Fiネットワークを使ってインターネットにアクセスすることが一般的となっています。そして、街中の飲食店やコンビニエンスストア、公共スペースには、フリーで接続できるWi-Fiスポットが用意され増えています。 しかし無料Wi-Fiスポットのネットワークは暗号化されていないことが多く、悪意のある第三者に通信内容を盗み見られてしまいます。

また、Wi-Fiルーターを悪用して正規のWi-Fiスポットに仕立て上げ、アクセスポイント名を公共のものに偽装し、それを知らないままアクセスポイントとして利用するユーザから、ログイン情報などの情報を受信しようとする中間者攻撃(MITM:Man In the Middle Attack)という脅威も存在します。

Wi-Fiでのアクセスによるセキュリティリスク

Cookieを盗聴されることも

さらに、Eric Butler氏が作成したFirefoxのアドオン「Firesheep」を使えば、同じWi-Fiスポットに接続している他人のCookieに入り込み、そのユーザになりすますことができてしまいます。Google、Twitter、Facebookといったウェブサービス上で、他のユーザになりすまして記事の投稿や削除を行えるだけでなく、ユーザ情報の変更や削除をしたりすることもできてしまうのです。

※Cookie:ウェブサイトがブラウザを通じて、ユーザのコンピュータに一時的に情報を書き込み保存させる仕組みのこと

Cookieを盗聴されることも

常時SSL化は、このようなセキュリティリスクに対抗できます。ただし、一箇所のみにSSLサーバ証明書を導入しても同じウェブサイト内に非SSL(HTTP)ページが残っていると安全ではないサイトと認識されてしまいます。具体的に言うと、ブラウザのアドレスバーに警告が表示されるのです。
このことから、ログインページやフォームなどの特定のページだけをHTTPSにするのではなく、すべてのページを暗号化して全面常時SSL化をすることが求められているといえます。

スマートフォンの普及でページ速度の高速化が重要に

HTTP/2のサポートでウェブサイトの表示が高速になる

2015年2月17日、Googleは正式なプロトコルとしてHTTP/2を承認しました。HTTP/2は、HTTPを高速化するとともにセキュリティの強化を行い、またモバイル機器でのWeb表示を高速化するという目的で開発されたものです。その前身はSPDYと呼ばれていましたが、2016年3月4日にはHTTP/2を正式にサポートし、5月15日には実験的に開発したプロトコルSPDYのサポートは終了する予定と発表しています。

HTTP/2には、クライアントからサーバに送信するヘッダー情報を圧縮することができ、送信されるデータ量が2割から3割も削減できます。とくにスマートフォンなどのモバイルデバイスを使用してウェブサービスへとアクセスする場合、このデータ圧縮によるメリットは大きなものがあります。

しかし、Google ChromeやFirefoxといったブラウザでは、SSL/TLSで暗号化されていないウェブサイトにおいてはHTTP/2は利用できないことが決定しています。逆に、Internet Explorerの後継ブラウザ「Microsoft Edge」では、既にSSL/TLSが必須となっています。 また、iOS9に実装された「ATS(App Transport Security)」を有効にしている場合、HTTPでの通信はできなくなり、そのウェブサイトは接続失敗の状態が繰り返され、ユーザからのアクセスが激減することも危惧されます。

「HTTPSは高負荷」というイメージは、もはや昔の話。HTTPSの負荷によるデメリットよりも、SSL/TLS化してHTTP/2のメリットを享受するほうが、はるかに得策です。

常時SSLを実装するかどうかではなく、「いつ常時SSL化するか」

いまやGoogleだけでなく、Twitter、Facebook、Wikipedia、YouTube、Netflix、Bing、米Yahoo、PayPalといった大手有名ウェブサービスは常時SSL化を完了。Googleでは配信広告の大部分をSSL/TLSにしています。さらに、米国の政府系サイトは2016年までにすべて常時SSL化を行う予定です。
その結果、HTTPSでのリクエストはすでに32%(2016年10月時点)にものぼっており、今後もその割合は増えていく見通しです。

常時SSL化されたサイト

もはや常時SSLは実装するかどうかではなく、「いつ実装するか」。機会損失の回避をするためにも、常時SSL化の実装をしてはいかがでしょうか。

ECサイトの常時SSL化でパフォーマンスを低下させることなくユーザに安心をアピール

EV SSL導入事例:シュッピン株式会社様

シュッピン株式会社様はカメラ・時計・筆記具・ロードバイク等、嗜好性の高い商材の新品中古を販売・買取するイーコマース企業。インターネット上で高級中古品を扱うため、お客様に安心・安全を提供することは必須課題となっておりました。常時SSL化導入の際は、http通信とhttps通信の混在がないようWEBサーバ側でリダイレクト設定を実施、負荷でパフォーマンスが低下することもなく、「安心・安全なショッピングサイト」を実現。

導入事例を確認

SSL導入ガイド

SSLの選び方(利用場面別プラン・SSL機能比較・他社SSLとの比較)や、SSLサーバ証明書の導入の流れ、SSL対応環境や各種設定マニュアル、無償のSSL利用状況確認ツールなど、SSL導入に関する様々な情報を集めたガイドページです。

SSL導入ガイド

SSL/TLSに関する資料・お問い合わせはこちら

電話:03-6370-6500(受付:平日10時〜18時)

グローバルサインのSSLサーバ証明書により運営者情報が認証されています。

SSLはグローバルサイン - © 2007-2016 GMO GlobalSign K.K. All rights reserved.