GoogleのChromeやFirefoxでウェブを検索していると、開いたページの上に「保護されていない通信」や「安全ではありません」という表記を見たことはありませんか?
ウェブ運営者で自身のサイトにこのエラーが出ると、「いやいや、うちのサービスは安全ですよ」と言いたくなるかと思いますし、サービスを利用する人にしてみたら「このサイト危ないのかも知れない」と不安になりますよね。
結論から申しますと、「保護されていない通信」や「安全ではありません」と表記されるサイトは今すぐセキュリティーを強化するSSL対応をする必要があります。
それも可能な限り迅速な対応が求められます。
今回は、そもそも警告の意味と原因、そしてどうしてこのエラーがウェブ運営者にとってもサービス利用者にとっても重大かつ深刻な問題であるか、分かりやすくご説明します。
「保護されていない通信」や「安全ではありません」の意味と原因
「保護されていない通信」や「安全ではありません」といった警告ですが、そもそもどんな意味があるのでしょうか?
この警告の意味は、簡単にいうと「このサイトはセキュリティーに問題があります」という意味です。
ウェブサイトというものは、「セキュリティ証明書」というものがあり、言い換えるならばウェブサイトの身分証明書です。
普通の身分証明書のように、「セキュリティ証明書」も「有効期限」があるため、期限切れになると無効になります。
「保護されていない通信」や「安全ではありません」という警告が出る要因はいくつかありますが、大半はウェブ運営者側が「セキュリティ証明書」をきちんと有効化していないことが原因です。
さて、セキュリティ証明書を取るためには、具体的にSSL化が必須となります。
SSLの仕組み
セキュリティ証明書を取得するためには、SSL化が必須となります。
SSLとは、Secure Sockets Layerの略で、ネット上の情報を暗号化する仕組みです。
例えばネットで自分の名前をはじめ電話番号やメールアドレスといった個人情報を送信する時、SSL非対応のサイトとSSL対応のサイトでは下のような違いがあります。
ご覧の通り、SSL化されていないサイトでは情報を盗み取られる危険性があることが分かります。
SSL=https
ご紹介した通り、現在SSL対応されていないサイトは必然的に「この接続ではプライバシーが保護されません」や「安全な接続ではありません」と表示されるので、SSLが非対応であることは一目瞭然。
一方で、ホームページのURLがhttpsで始まるサイトはSSL対応がされていると判断することもできます。
逆にホームページのURLがhttpで「s」が付かないサイトはSSL対応が非対応です。
無料SSLと有料SSLの違い
ここまで見てくると「SSL対応してあるサイトは安全なサイト!」と思えそうですが、そういうわけでもありません。
実は、無料SSLと有料SSLというものがあり、無料SSLの場合はフィッシング詐欺への対策が十分ではないのです。
フィシング詐欺とは?
送信者を偽って名乗り、偽メールや偽ホームページに移動することによって、クレジットカード情報や個人情報を盗む詐欺。
ここから話がちょっと難しくなってきますが、有料SSLには
- EV認証 (EV: Entended)
- 企業実在認証 (OV: Organization Validation)
- ドメイン認証 (DV: Domain Validation)
があります。
1のEV認証は、最高レベルのSSL証明書で、企業や団体の所在地を確認した後に証明書を発行します。
2の企業実在認証(OV)は、その名の通り企業や団体の実在を確認した後に証明書を発行します。
3のドメイン認証(DV)はもその名の通り、ドメインを確認した後に証明書を発行します。
3のドメイン認証は、無料もありますが、フィッシング対策が不十分であるといえます。
| 審査基準 | なりすまし対策 | |||||
| ドメイン使用権 | フィッシング対策 | 企業の実在 | 申請されたドメインの確認 | |||
| ドメイン認証 | 無料ドメイン認証 | ○ | × | ー | ー | × |
| 有料ドメイン認証 | ○ | ○ | ー | ー | △ | |
| 企業実在認証 | ○ | ○ | ○ | ○ | ○ | |
| EV認証 | ○ | ○ | ◎ | ◎ | ◎ |
また、メリットデメリットを簡単にまとめるとこのようになります。
※内容は使用するSSLサービスによって変わります。
| 無料SSL | 有料SSL | |
|---|---|---|
| 費用 | 無料 | 有料 |
| サポート | × | ○ |
| 安全性 | △ | ○ |
| 証明書の自動更新 | ○ | × |
| 証明書の更新 | 90日に1度 | 2年(最長) |
| サービス提供終了のリスク | 高い | 低い |
ちなみに、暗号化の強度においては、無料SSLと有料SSLで違いはありません。
「無料SSLを使うか」もしくは「有料SSLならどのサービスを使うか」は、それぞれの自由ではありますが、特に法人の場合は有料SSLをおすすめしています。
有料SSLの中には、クレジットカード番号の流出による損害を補償してくれるサービスが付いてくる場合もあり、ウェブ利用者だけでなく法人にとっても大きなメリットがあります。
SSLの非対応はウェブ運営者にとってどんなデメリットがあるか
「この接続ではプライバシーが保護されません」や「安全な接続ではありません」と警報が出るページをサービス利用者が見る時、個人情報などのプライバシーが第三者に盗み取られる危険性があることは見ていた通りです。
では、SSL対応できていないと、ウェブ運営者にとってどのようなデメリットがあるのでしょうか?
Googleでサイトの評価が確実に下がる
「この接続ではプライバシーが保護されません」とGoogleで表記され始めたのが、実は2018年7月。
一方で、警告が表示されていることに気がついていても、何となく無視してきたウェブ運営者の方はいるのではないでしょうか(笑)。
しかし!2020年に入ってからは「SSL化(https対応)されていないサイトは検索順位で大下落」が報告されています。
Google:「SSL化しないと、検索から排除するよ〜!」
と言っているようなものです。
「勿体無いな〜」と日頃思うのが、折角モバイルフレンドリーもされている綺麗なホームページがあるのに、サイトがSSL化されていないことです。
いくらデザインを頑張ってもサイトをSSL化しなければ、本末転倒のようなものです。
日本ではまだまだSSL化が遅れており、法人だけでなく、地方自治体の公式ホームページでも未だSSL化されていない事態が起こっています。
「プライバシーを守りましょう」という立場の人が「プライバシーを危険に晒している」わけです。
サービスの信頼を下げる
いうまでもなく、「保護されていない通信」「安全ではありません」という警告は、ホームページに来たサービス利用者にネガティブな印象を与えます。
特に、ネット決済があるEcommerceのサイトでSSL対応がされていないと、「フィッシング詐欺の危険性」を示唆します。
わたしなら確実にこのようなサイトでは物を購入しません。←
結論からいうと、SSL設定は中々難しい!
次に、「どうやってSSL対応はできるの?」という疑問が出てくると思いますが…
結論からいうと、SSL設定はある程度のプログラミング知識を持ち合わせている人しか対応できません。
簡単であれば、その他のブログのようにやり方を伝授するのですが、SSL対応に関しては、それぞれのホームページによって対応が大きく変わります。
それではなぜSSL設定は難しいか、その理由を一部ご説明したいと思います。
①ウェブサーバーによってSSL対応できる場合とできない場合がある
大前提ですが、そもそもご自身が使用しているウェブサーバーではSSL対応ができない場合があります。
そもそもサーバーの意味がよく分からない方は、「サーバ=土地」「ウェブサイト=家」だと思って下さい(笑)。
大半のウェブサイトは「エックスサーバー」や「さくら」などのレンタルサーバを使用しているかと思いますが、例えば値段が安いサーバーや古いレンタルサーバを使用しているとSSLが非対応の場合があります。
この場合、そもそもサーバを変える引越しが必要です。
③SSL設定に関するエラー対応
「利用するレンタルサーバーでSSL対応してたから、自分でSSL設定をしてみよう!」という方も中にはいらっしゃいますが、よくあるあるが「この接続ではプライバシーが保護されません」というエラーが出てパニックになることです。
この「COMMON NAME INVALID」と表記されるエラーですが、サーバー管理者に対応をしてもらうしか方法がありません。
また、画像やファイルがSSL対応に変更されておらず、エラーを出す場合もあります。
エラーの数も多ければ、そのエラーの原因も多いので、片っ端に調べて行く必要があります。
ちなみに、このエラーが全て解消されないと、純粋にホームページがSSL対応としてみなされないのはもちろんのこと、サイト自体が表示されないという最悪の事態を招きます。
③セキュリティ証明書を更新する必要がある
パスポートなどの身分証明書にも有効期限があり、期限が切れる前に更新する必要があります。
これは、ウェブサイトの「セキュリティ証明書」も同じです。
使用するサービスによって異なりますが、基本的に有料SSLの証明書は自動更新がなく、最低2年に1度証明書を更新する必要があります。
※サービスによって更新年数は異なります。
一方無料SSLはというと、証明書の自動更新が対応しているものもあります。
ただし、自動更新スクリプトの設定にも知識が必要なので、簡単に更新できるとはいえません。
セキュリティ証明書の更新を忘れるとどうなるか?
上で見た「この接続ではプライバシーが保護されません」というエラーが発生します。
④SSL化が上手くできても301リダイレクトが必要
上手くSSL化ができて、「この接続ではプライバシーが保護されません」や「安全な接続ではありません」という警告が表示されなくなったとしても、やるべきことはまだあります。
SEOにおいて優先度が高いのは、「httpからhttpsに統一化」=「.htaccess”を利用した301リダイレクト」をすることです。
SSL化すると、httpのページが無くなると思われる方がいらっしゃいますが、httpのページとhttpsのページ双方を有することは可能です。
しかし、双方のウェブサイトがあると、Googleがサイトの評価を分散させてしまったらり、重複コンテンツとしてペナルティーを受ける危険性があります。
SSL対応でお客様とGoogleの信頼を得よう
最後に、我々「プロリズム」では「保護されていない通信」や「安全ではありません」が表記されたサイトのSSL対策を行っています。
これまでに何百という対応を行ってきた経験があります。
ご希望の方はお問い合わせフォームよりご連絡をお待ちしてます。
「なんだ〜結局自社サービスのアピールをしたいだけなんかい!と思われるかも知れませんし、否定もしませんが(笑)、少なくともこのエラーが重大かつ深刻な問題で対策がマストであるという事実に変わりはありません。
Googleは日々サービスのアップデートを行っており、確かにウェブを運営する側に取っては、嫌という程やる事が増え、ついつい「もう全ての対応をやってられない!」と投げ出したくなります。
わたしも正直、その一人です。←
ただし、対応をやめてしまえば、ある意味その時点でゲームオーバーです。
先述した通り、放っておけば自社サイトはどんどん下落するのみです。
一方で、逆をいえば、きちんとGoogleの指示通りウェブサイトを改善していけば、競合と差を付ける良い機会でもあります。
ということで、今回はSSLについてご説明しました!
SSL対応でお客様とGoogleの信頼をアップさせましょう!
