常時SSL化のメリットと注意点
常時SSL化とは、ウェブサイトのすべてのページをSSL化することです。ログインページやフォームなど特定のページだけでなく、その他すべてのページもSSL化することで、ログイン情報や決済情報だけでなく、Cookieの盗聴も防止することができます。
※外部調査会社によるWebサイト担当者へのアンケート調査結果(2022年12月現在)
- GMOグローバルサイン
- SSLサーバ証明書
- SSLサーバ証明書とは
- 常時SSL化のメリットと注意点
『常時SSLのススメ』『初めての方でもわかるSSLのキホン』他、SSLに関するPDF資料プレゼント中!
・ もっとSSL/TLSについて知りたい
・ SSL/TLSの実装を検討している
といった方におススメのSSL/TLSについての最新資料をご用意しております。お気軽にダウンロードしてください。
常時SSL化とは
常時SSL(Always On SSL)は、ウェブサイト内のログインページやフォームなど特定のページだけでなく、その他すべてのページをSSL化することです。常時SSL化はセキュリティ強化だけでなく、ユーザとウェブサイト運営者の双方にさまざまなメリットがあります。
ユーザがより安全にウェブサイトを閲覧し、安心して重要なデータの送受信を行うようにするためには、業種や規模は問わずウェブサイトのHTTPS(常時SSL)化は必須事項になりつつあります。
近年の調査でも、ネットショッピングを利用するにあたっては、ブラウザに鍵マークやhttpsがあることを確認するだけでなく、主要ブラウザに実装された常時SSL化対応により、httpで始まる全ページに警告表示がされていることも確認対象となっています。
※2022年12月「一般消費者向け SSLサーバ証明書の認知度に関する調査」(調査協力・株式会社マクロミル)
常時SSL化 4つのメリット
ウェブサイトの全てのページをSSL化(HTTPS化)すると、アクセスユーザだけでなくウェブサイト運営者にも様々なメリットがもたらされます。ここでは4つのメリットについてご紹介します。
1. セキュリティリスクの削減
SSL/TLSされたウェブサイトは、URLの頭が「HTTPS」となり、ユーザがウェブサイトから送信する個人情報や決済情報などが暗号化されて通信が行われます。
また、「SSLサーバ証明書」に含まれる電子証明書により、ウェブサイトの運営者・組織が実在することが保証されます。
一部のフォームページだけ暗号化するのではなく、認証局発行のSSLサーバ証明書で全てのページを暗号化することで、インターネット環境における以下の3つのセキュリティリスクに対抗し、ユーザにとって安全なウェブサイトを構築します。
ウェブサイトのなりすまし
有名なウェブサービスやネットバンクなどのサイトを本物そっくりに作ったページにアクセスを誘導し、IDやパスワード、個人情報や決済情報などを不正に入手しようとする、いわゆる「フィッシング詐欺」と呼ばれている不正行為です。
暗号化されていないWi-Fi
暗号化されていない公共のWi-Fiネットワークや、Wi-Fiルーターを悪用してアクセスポイントを偽装し、それを知らないまま利用するユーザから、ログイン情報などの情報を受信しようとする中間者攻撃という脅威も存在します。
Cookieの盗聴
同じWi-Fiスポットに接続している他人のCookieに入りこみ、そのユーザに成りすまして有名SNSなどで投稿や情報の変更などを行うFirefoxのアドオンの存在があります。
2. 検索順位への影響
せっかくウェブサイトをSSL化してしも、特定のページのみ導入では、同じウェブサイト内に非SSL(HTTP)ページが残っている安全でないウェブサイトと認識されます。これによりユーザの利用が遠のき、結果として検索順位へ影響します。
3. ウェブサイト分析への有効活用
自社ウェブサイトの検索順位や訪問者数、サイト内でのユーザの遷移などの分析は、自社ビジネスにとっては重要な指標となっています。
Google検索結果からの遷移は、HTTPSであればリファラ情報が送信される
Google検索自体が常時SSL化されたことにより、ユーザがGoogleで検索した検索結果をクリックしてウェブサイトに遷移する際は、ウェブサイトがHTTPSであれば「Google検索から来たユーザ」としてアクセスログに残り、自社ウェブサイトの分析データとして蓄積されていきます。
逆に、HTTP(非SSL)サイトではリファラ情報が送信されなくなり、どこから遷移してウェブサイトを訪問してきたのかが不鮮明になってしまいます。
ウェブサイト内の遷移は、HTTPSに集約して行動分析
常時SSL化した検索エンジンからの流入を想定して、例えばトップページだけHTTPS化しても、遷移する他のコンテンツがHTTP(非SSL)ページとHTTPS(SSL)ページのままではCookieが保存されず、別々のユーザとして記録され、サイト内での行動が不鮮明になってしまいます。
ユーザが自社ウェブサイトでどのような行動を取ったかを正しく分析するためには、同じサイト内にHTTPページとHTTPSページを混在させず、すべてHTTPSに集約させることが必要です。
全てのウェブコンテンツがSSL化しているのであれば、自社ウェブサイトの分析もシンプルになり、自社ビジネス発展のためデータの有効活用が可能になります。
4. HTTP/2によるウェブサイトの高速表示
モバイルデバイスの普及により、ウェブサイト表示の高速化にはHTTP/2は欠かすことのできないプロトコルです。 ウェブページの表示が速くなるといったユーザにとってのメリットもさることながら、大規模なウェブサービスを提供している企業にとっては、リソースの有効活用を図ることができるといったメリットがあります。
HTTP/2の利用には、SSLが必須
Google ChromeやMozilla Firefoxといったブラウザでは、SSLで暗号化されていないウェブサイトにおいてはHTTP/2は利用できないことを決定しています。
さらに、Internet Explorerの後継ブラウザ「Microsoft Edge」では、既にSSL暗号化が必須となっております。
また、iOS9に実装された「ATS(App Transport Security)」を有効にしている場合、HTTPでの通信はできなくなり、そのウェブサイトは接続失敗の状態が繰り返され、ユーザからのアクセスが激減することも危惧されます。
「HTTPS導入で通信速度の低下」は昔の話
以前は「HTTPSを導入すると高負荷がかかり、通信速度が低下する」ということがありましたが、それはもはや昔の話。今ではHTTPSを導入しても、現代のネットワークインフラやサーバ、PCのスペックではほとんど実感できないほどの差でしかありません。
やむを得ず古いブラウザに対応する必要が無い限り、ウェブサイトのすべてをSSL化してHTTP/2のメリットを享受するほうが、将来的にも有益です。
常時SSL化しないとブラウザに警告表示
主要ブラウザベンダーによる「非SSL化サイトへの警告表示」は、ユーザの離脱による機会損失を招きます。逆に全てのページをSSL化(常時SSL)したサイトは、検索エンジンから「ユーザが安心して利用ができる優良なコンテンツである」と評価され、検索順位にも良い影響がもたらされる可能性があります。
Google Chrome
バージョン70より、HTTP接続ページにあるフォームに入力しようとすると、「保護されていない通信」が赤く表示されるようになり、警告の度合いが強化されています。
Mozilla Firefox
バージョン52より、HTTP(非SSL)接続ページのログインフォームに入力しようとすると、赤い斜線が入った鍵のマークと警告メッセージが表示されています。
Safari
バージョン12.1より、HTTP(非SSL)接続ページを読み込んだ際に「安全ではありません」という警告メッセージが表示されています。
『常時SSLのススメ』『初めての方でもわかるSSLのキホン』他、SSLに関するPDF資料プレゼント中!
・ もっとSSL/TLSについて知りたい
・ SSL/TLSの実装を検討している
といった方におススメのSSL/TLSについての最新資料をご用意しております。お気軽にダウンロードしてください。