一部のURLは「http://」ではじまるのに対し、そのほかのURLは「https://」ではじまることをご存知でしたか?もしかしたら、請求書のオンライン支払いなど、個人情報を入力しなければならないウェブサイトでこの「s」のついたURLをご覧になったことがあるかもしれません。

この「s」は一体どこから来て、何を意味するものなのでしょうか?

簡単に説明すると、この「s」は利用者とそのウェブサイトとの接続が保護され、暗号化されており、入力されるあらゆるデータがウェブサイトと安全に共有されていることを示します。「s」を生み出しているテクノロジーはSSLと呼ばれ、Secure Sockets Layer(セキュア ソケット レイヤー)を意味します。

ハブスポットの無料マーケティングツールはこちらから今すぐご利用頂けます。

この記事では、SSLの仕組みと、安全でないウェブサイトにフラグをつける機能を備えたGoogle Chromeの新バージョンに関する情報、そしてSSL認証の評価・取得方法についてご紹介します。

 

SSLとは?

まずは、SSL.comに記載されている定義からスタートしましょう:

「SSLとは、ウェブサーバーとブラウザとの間に暗号化された接続を確立する世界標準のセキュリティテクノロジーです。この接続によって、ウェブサーバーとブラウザとの間でやり取りされるあらゆるデータの機密性が守られます。」

解説しましょう。

皆さんがフォームのあるウェブページにたどり着き、 フォームを記入して「送信」ボタンを押す時、もしこのウェブサイトが保護されていない場合は入力した情報がハッカーに傍受されてしまう可能性が あります。 

ハッカーの手にわたる可能性のある情報には、銀行取引の詳細から割引を利用するために登録した機密情報まで、あらゆるものが含まれます。これは、ハッカーの業界用語では「中間者攻撃」と呼ばれています。

実際の攻撃には様々な形がありますが、最も一般的なものは次のようにして行われます。まずハッカーはウェブサイトをホスティングしているサーバーに検出不可能な小さな盗聴プログラムを植えつけます。

このプログラムは訪問者がウェブサイトに情報を入力し始めるまでバックグラウンドで待機し、入力がはじまった途端に起動して情報を収集し、ハッカーに送信します。SF映画の世界だけでなく、現実に起こっている怖い話です。

ですが、SSLによって暗号化されているウェブサイトを利用する場合、ブラウザはウェブサーバーと接続し、SSL認証を確認したうえでブラウザとサーバーを結びつけます。この結びつきは保護されており、ブラウザに入力された情報を利用者と情報提供先ウェブサイト以外の第三者が見ることはできません。

この接続は瞬時に確立されます。最近では保護されていないウェブサイトに接続するよりも早く接続できると言う人も多くいるほどです。

Chrome 62とSSLのすべて

Googleは2017年、人気ブラウザChromeの新バージョン62をリリースしました。このバージョンでは、フォームが含まれているにも関わらずSSLが有効になっていないウェブページをフラグ表示する機能が導入されました。

Chromeはブラウザ市場で約47%のシェアをもっており、このアップデートがリリースされたことで、かなりの数のウェブサイトが影響を受けました。

ハブスポットが実施した調査では、最大85%の利用者が保護されていないサイトの閲覧をやめると回答しています。2017年1月、Googleはパスワードやクレジットカード番号のような機密情報を収集するサイトだけを対象にした同じようなアップデートをリリースしました。

よって利用者はすでに「保護されていません」の警告を見慣れており、下に示す調査によれば、警告が表示されるとそのサイトから移動する傾向にあることが分かっています。

SSL-Research-Not-Secure (1).png

ブラウザでシークレットモードを使うと、有効なSSL認証のないウェブページがChromeによって常時フラグ表示されます。シークレットモードを使用していない場合は、「保護されていません」の警告はフォームに情報を入力しはじめるまで表示されません。

つまり、フォームが含まれるコンテンツをホスティングする際は、それが例えメールアドレスの入力だけだったとしてもSSLを有効にした方が良いということです。異なるプラットフォームにコンテンツを掲示している場合は、それぞれの管理者に問い合わせて、SSLがセットアップされていることを確認しましょう。

コストが許容範囲内であれば、SEOメリットが得られるよう(詳細は次のセクションでご説明します)、フォームの有無にかかわらずウェブサイトの全ページでSSLを有効にすることをおすすめします。

SSLはSEOに効果的?

答えはイエスです。SSLの主な目的は訪問者とウェブサイトの間でやり取りされる情報を保護することですが、SEOの面でもメリットがあります。Googleウェブマスター・トレンドアナリストであるZineb Ait Bahajji氏は、SSLはGoogleの検索結果順位アルゴリズムの一部であると言っています。

「私たちは数か月で数々の試験を行い、保護され暗号化された接続がウェブサイトに使用されているかどうかを、検索結果の順位を決めるアルゴリズムに組み入れるべきかを検討しました。結果、HTTPSを表示順位の決定要素として利用することに決めました。」

さらにGoogleは、検索結果で同順位のウェブサイトが2つあり、片方でSSLが有効になっている場合は、そちらのウェブサイトの方が上位に表示される可能性が高くなることを正式に発表しています。つまり、ウェブサイトやあらゆるコンテンツでSSLを有効にすれば、確実にSEO上のメリットが得られるということです。

どうすればSSLがあることがわかりますか?

SSLを備えたウェブサイトは、ブラウザに表示されるいくつかの特徴で見分けることができます。

ハブスポットの無料ツール(英語)でウェブサイトのSSLをチェックいただけます。

1) URLが「http://」でなく「https://」ではじまる。 

このような感じです。


2) URLバーに鍵のアイコンが表示さ れる。

このアイコンは、ブラウザーによってURLバーの左または右に表示されます。鍵アイコンをクリックするとそのウェブサイトと、SSL認証を提供した会社についての詳細を見ることができます。

Screen Shot 2018-11-12 at 3.18.09 pm

3) SSL認証が有効である。

URLが「https://」ではじまり、鍵アイコンが表示されているウェブサイトでも、認証が失効している場合があります 。つまり、接続が保護されていないということです。「https」として表示されるウェブサイトのほとんどが安全ですが、大量の個人情報を入力しなければならないサイトの場合は念のために認証が有効であることを確認した方がよいでしょう。

ウェブサイトのSSL認証が有効であることをChromeで確認するには、[View(表示)] >[Developer Tool(ディベロッパーツール)]を選択します。ここからセキュリティタブを開くと、SSL認証が有効か失効しているかが表示されます。[View certificate(認証を表示)]ボタンをクリックするとSSL認証についての詳細と有効期限を確認することができます。

どうすればウェブサイトにSSL認証を取得することができますか?

まずはじめに、どのタイプの認証が必要なのかを判断しましょう。例えば、異なるドメイン/サブドメイン上にある複数のプラットフォームにコンテンツをホスティングしている場合は数種類のSSL認証が必要になる可能性があります。

一般的なウェブサイトの場合は標準的なSSL認証でコンテンツを保護することができますが、金融や保険など規制対象となる分野の事業の場合は、必要となるSSL認証の種類が業界ごとに規則で定められていますので、IT担当者と確認することをおすすめします。

SSL認証の費用は種類によって異なり、無料で認証を取得したり、毎月数100ドルを支払ってカスタム認証を取得することもできます。無料サービスについては、Let's Encrypt(レッツ・エンクリプト)が無料認証を提供していますが、問題のウェブサイトのDNSや技術的な構造に詳しい人物と一緒に手続きを進めるようにしてください。

また、無料認証は90日間で失効するため、常に認証が有効になっているよう定期的なチェックが必要です。 

そのほかにも多くのドメインプロバイダーがSSL認証を提供しており、金額は1ドメインで50ドルから複数ドメインで数100ドルまで様々です。手続きはLet's Encryptよりも簡単ですが、料金が発生します。

HubSpotをご利用のお客様へ:HubSpotでコンテンツをホスティングされている方は、SSL無料キャンペーンをご利用いただけます。詳細についてはカスタマー サクセス マネージャーにお問い合わせいただくか SSLページをご覧ください。)

ここで考慮するべき事柄の1つが、有効期間の長さです。有料の標準SSL認証は1~2年間が一般的ですが、これよりも長期的なオプションをお探しの場合は、有効期間の長い高度な認証サービスを探してみてください。

SSLのインストールに役立つWordPressプラグイン

WordPress(ワードプレス)を使ってコンテンツやウェブサイトをホスティングしている方は、ドメインプロバイダーによってはSSL認証を取得してインストールする必要があるかもしれません。インストールに便利なプラグインをいくつかご紹介します。

  1. Really Simple SSL:SSL認証は購入すれば終わりではありません。こちらのプラグインを使うと、SSLをすべてのWordpressコンテンツにインストールすることができます。プレミアムバージョンを使うとすべてのウェブサイトに一括でインストールすることができ、どのウェブサイトにも警告が表示されないことを確認する機能が利用できます。プレミアムバージョンは20ドルのものから、SSLの設定と最適化を含む145ドルのフルサービスまで幅広いオプションがそろっています。
  2. Insecure Content Fixer:SSL認証を取得してインストールができたら、次のステップに進みましょう。例えば画像ファイルなどのハードコードされた「http」がウェブサイトの中に組み込まれている場合は、この画像をロードする際に警告が表示されることになります。こちらのプラグインはこういったコードの問題を発見して修正し、ウェブサイトが安全かつ適切に表示されるようにしてくれます。
  3. WP Force SSL:さて、SSL認証の取得とインストール、エラーの修正が終わりました。今度は、すべてのトラフィックに対して保護されたバージョンが表示されることを確認しましょう。こちらのプラグインはすべてのトラフィックをHTTPSに強制誘導し、保護された状態でのみロードするようにしてくれます。このプラグインを有効にする前に、保護されていないコンテンツ(混在コンテンツとも呼ばれます)がないかどうかを必ず確認してください。保護されていないファイルが含まれていると、ウェブサイトに警告が表示される場合があります。 

HubSpotをご利用のお客様へ: HubSpotのFile Managerにホスティングされているコンテンツはすべて自動的にSSLによって暗号化されており、専用のプラグインを利用しなくても、チェックボックス1つだけですべての訪問者に保護されたバージョンのサイトを強制することができます。詳細についてはカスタマー サクセス マネージャーにお問い合わせいただくか、SSLページをご覧ください。)

 新しいCTA
新規CTA

元記事発行日: 2018年12月12日、最終更新日: 2018年12月13日