Chrome68から非SSLサイトというだけで警告マークが出るようになります!
非SSLなだけで、怪しいサイト扱いです。
現在でも非SSLページでは(!)マークがアドレスバーに出ていますが、入力フォームのあるページで入力すると
(!)の部分が「保護されていません」と表示が変わり警告されます。
最新版ではフォーム要素がないページでも非SSLであるだけでこの「保護されていません」の警告が出るということです。
そもそもSSLとは何?どうして必要なの?
SSLとはインターネットの暗号化通信のことで、SSLではないということは暗号化されていない情報が通信されているということです。
何がいけないのかというと、インターネットの通信は盗聴することが可能です。その際に暗号化されていない情報は盗まれたら丸見えになってしまいますが、暗号化されていれば盗まれても解読できないということになります。
あなたのウェブサイトの閲覧者が、SSL化されていないあなたのサイトにアクセスし、通信が盗聴されると個人情報が流出してしまうかも?
ということです。
盗聴なんてそうそうされないでしょう、と思うかもしれませんが、同じネットワーク内(LAN内)にいたら盗聴できるソフトを使えば意外と容易に盗聴できてしまうみたいです。
同じネットワーク内ということで、飲食店や、色々な施設のFree Wi-Fiなんかも危ないということですね。
うちはお問い合わせフォームとかもないし個人情報は流出しない。だからSSLじゃなくたっていい!?
昔はそうだったんです。しかしそうも言ってられなくなりました。
前述したようにChromeブラウザが非SSLページに対して危険だよと警告を出したら、なにもなくても怪しいサイトに見えてしまいます。
閲覧者は「このページを見ない方がいい…」と認識するでしょう。
さらに
Googleの検索結果で不利になります。
SSLのサイトが優先されるので、条件によっては検索で引っかかりづらい状況となっています。
将来的には非SSLサイトは検索から除外なんてこともありうるのではないか…?
あとは
HTTPS通信から来たサイト流入のリファラーが取れません。
サイトの解析などの活用に影響がでます。
Googleアナリティクスの解析などで「ノーリファラー」(ユーザーがどの経路でWebサイトに流入してきたかをGoogleアナリティクスが計測できなかった)となります。
SSL導入!具体的には何をするの?
SSLの導入には、大きく分けて2つやることがあります。
1.サーバー側に暗号化通信する仕組みを実装する
2.サーバーに設定した暗号化通信が信頼おけるものだということを第三者機関(認証局)に証明してもらう
SSLの導入のステップは契約のサーバーの種類やプランによってまったく異なります。
・レンタルサーバーの場合の例1
- (1)サーバーコントロールパネルからSSLを申し込む。その際どこの認証局を使うかを選ぶ。入金。
- (2)数日後SSLが使えるようになる
・レンタルサーバーの場合の例2
- (1)サーバーコントロールパネルからCSRを作成する
- (2)好きな認証局のSSLを、代理店や認証局のサイトから購入する
- (3)ドメインの所有や、会社の実在を、認証局から指定された方法で証明する
- (4)証明書が発行される
- (5)サーバーコントロールパネルから証明書をインストールする
・VPSサーバーや専用サーバーの場合の例
- (1)サーバーにSSHでログインし、CSR作成のコマンドでCSRを作る
- (2)好きな認証局のSSLを、代理店や認証局のサイトから購入する
- (3)ドメインの所有や、会社の実在を、認証局から指定された方法で証明する
- (4)証明書が発行される
- (5)サーバーに証明書を設置して、ウェブサーバーアプリケーションの設定を紐づける
- (6)サーバー再起動
このほかにもAWSではああする、証明書の種類によってはこうする、など色々なルートがあります。
また、上記ステップ完了後に、いままで非SSLでアクセスしたりブックマークしていた人たちを、SSLへ転送してあげる仕組みを仕込む必要があります。
証明書の種類、どうやって選ぶの?
実際に導入するとなると悩むのが、どんな証明書を入れるか?だと思います。
証明書の価格は認証局と種類によって
無料~990円~120000円/年と幅があります。
証明書の種類は大きく分けて、信頼度が低いほど安く、信頼度が高いほど高い価格となります。
(1)ドメイン認証SSL (DV)
(2)企業認証SSL (OV)
(3)EV SSL (EV)
ここでのポイントは、信頼度が低いからといって暗号化が解読されてしまうというようなセキュリティ面での差はないということです。
単純に、サイトとしての信頼度(=フィッシングサイトではないよという信頼度)となります。
(1)ドメイン認証SSL
そのドメインを実際に所有していることを証明すれば、そのドメイン用のSSLを取得できます。
そのドメインを、信頼できる企業が所有しているかどうかまでは保証しません。
(2)企業認証SSL
そのドメインを所有している企業が実在することを証明すれば、SSLを取得できます。
登記簿を提出し、データバンクなどの企業情報と照合して証明します。
(3)EV SSL
企業認証SSLと同じく、実在する企業であることを証明しますが、企業認証SSLよりも厳格な審査となります。
登記簿、データバンクに加え、電話での在籍確認などを行われます。
この証明書を取得すると、ブラウザのアドレスバーに緑色の文字で企業名や団体名が表示されます。
ですので閲覧者から一目瞭然で信頼がおけることがわかります。
クレジットカード情報を入力させるようなサイトの場合、こちらを取得することが最善と言えます。
※しかし、一般的にそこまで「緑のアドレスバーの企業名表示が信頼置ける」という認知はまだまだ低いのではないでしょうか。
証明書の認証局、どうやって選ぶの?
次に、どの認証局にするか?についてです
シマンテックがSSL証明書の事業をDigicertに売却したため、2018年の5月現在の国内シェアは
1位:GlobalSign(46.6%)
2位:Digicert(24.1%)
3位:Cybertrust(11.2%)
4位:Secom(9.6%)
その他(8.7%)という状況です。
最近話題なのがLet’s Encryptという無料のSSL証明書です。
SSLの普及を目的として無料で提供されています。(90日に一回更新しなくてはいけないので手間がかかります。)
無料のSSLのデメリットとしては、
日本ではまだまだ一般の閲覧者にSSLの認証局という概念が浸透していませんが、海外などでは無料のSSL証明書サイトではオンラインショッピングしない、というくらいチェックが慎重にされています。
実際にGlobalSignなどの認証局からLet’sEncryptに変更して売り上げが激減したというショッピングサイトが海外では多々あるようです。
なぜかというと、Let’sEncryptとComodoの無料SSL証明書が、フィッシングサイトの96%で使用されていたという調査結果があります。
つまり海外では「無料SSL=怪しい」という図式が既に浸透しているわけです。日本はそこまでではないですが、何かをきっかけに認知が広がる可能性はあります。
また、価格が高い証明書を発行する認証局には高い理由がそれなりにあります。
・中間サーバーを冗長化するための設備投資
・中間サーバーのセキュリティ対策
・サポート体制
・フィッシング審査(ドメイン認証であっても、フィッシングサイトのチェックを自動化したり、有名企業の名前入りのドメインでは人的に再チェックを行うなど)
結論
SSL導入はもはや常識、非SSLサイトはその企業・団体の無知やセキュリティへの意識の甘さを露呈しているという状況になりつつあります。
どのようなSSLを導入するかは、上に記載してきた内容をよく考慮して、導入するサイトにマッチしたものを選ぶべきです。
(それなりの企業、上場している企業などのお問い合わせフォームには「企業認証SSL」以上が必要ですよ、とか。)
SSL化のお手伝い、アドバイスは株式会社ブリコルールまでどんどんご相談ください。
