JPDirectは株式会社日本レジストリサービス(JPRS)が提供するドメイン取得・SSL/TLSサーバー証明書発行サービスです。

JPDirect ドメイン名登録管理サービス

常時SSL化で押さえておきたいメリットとデメリット【Webサイト運営者向け】

常時SSL化で押さえておきたいメリットとデメリット【Webサイト運営者向け】

公開:2018/06/27
更新:2018/10/19

このページでは、全てのWebページをHTTPSにする常時SSL化に関するメリット/デメリットや日本における普及率など、企業でWebサイトの運営を担当している方に向けて事前に押さえておきたいポイントを解説します。

常時SSL化とは

目次

「常時SSL化」とは

「常時SSL化」とは、Webサイト全体をHTTPS化(通信の暗号化)することを指します。

今までは、Webサイト上でパスワードや個人情報等を入力するページ(ログインページやクレジットカード決済ページなど)のみをHTTPS化し、特に重要な情報のみ保護するという形式が一般的でした。

近年では、GoogleなどHTTPS化を推進する組織の働きもあって世間の意識が高まり、Webサイトの常時SSL化が求められています。

常時SSL化のメリット

メリット1:Webサイトのセキュリティ向上

URLがhttpから始まるWebページは通信が暗号化されておらず、第三者によってブラウザーとサーバー間の通信データを盗聴・改ざんされてしまうリスクがあります。
SSL/TLSという技術を用いてHTTPS化(通信の暗号化)をすることで、Webサイト訪問者が安心してWebサイトを利用することができるようになります。

○HTTPS化で防げる脅威(通信の暗号化)

  • 通信内容の盗聴
  • 通信内容の改ざん

また、SSLサーバー証明書(組織認証型)は認証局がWebサイト運営者の実在性を確認しており、全てのWebページにおいて第三者のなりすましではないことを証明することができます。

○HTTPS化で防げる脅威(Webサイト運営者の実在性確認)

  • 第三者によるなりすまし

メリット2:「HTTP/2」によるWebサイト表示の高速化

HTTPS化すると、次世代プロトコルである「HTTP/2」を利用できるようになります。「HTTP/2」を利用すると、通信の効率化によってWebサイトの表示を高速化し、現在主流である「HTTP/1.1」より速くWebサイトを表示することができます。

※HTTPS化することによる負荷でWebサイトの表示速度が遅くなると言われていた時期もありました。現在は通信機器の機能向上により、httpとhttpsの表示速度に大きな差はなくなってきています。

「HTTP/2」「HTTP/1.1」のどちらを利用しているか確認する方法

  • 【Windows版 Google Chromeの場合】
    1. 運営するWebサイトにアクセスした後、以下の方法でChromeデベロッパーツールを開いてください。
      • 右クリックをすると[検証]の項目がありますのでクリック または
      • キーボードの[F12]を押す
    2. [Network]をクリックして表示されるProtocol欄に表示されます。([h2]は「HTTP/2」を指します)
「HTTP/2」「HTTP/1.1」のどちらを利用しているか確認する方法

メリット3:SEOへの影響

Googleは2014年にHTTPSをランキングシグナル(検索順位を決定する要素の1つ)に使用することを公表しています。HTTPからHTTPSにした方が検索順位の向上に良い影響があると言えます。ただし、良質なコンテンツが与える検索順位への影響などと比べるとHTTPSのランキングシグナルのウェイトは大きくないとのことです。

メリット4:アクセス解析の精度向上

Google Analyticsには、Webサイト訪問者の参照元がわかる「リファラー」という機能があります。

運営するWebサイトのURLがhttpの場合、httpsのWebサイトから訪問してきた際にリファラーの情報が受け渡されず、参照元を確認することができません。

それに対して、HTTPS化されたWebサイトでは、HTTP・HTTPS両方のページからのリファラーを確認することができるため、アクセス解析の精度を高めることができます。

常時SSL化していないことのデメリット

Google Chromeでアクセスした際に「保護されていない通信」と表示される

2018年7月にリリースされたChrome68では、httpから始まるWebサイトにアクセスした場合、URLバー(アドレスバー)の横に[保護されていない通信]と警告が表示されるようになりました。

ユーザーが利用するブラウザーに警告表示が出ることで、Webサイト訪問者が離脱してしまうことも考えられます。

また、httpsの場合は「保護された通信」というメッセージともに鍵マーク(南京錠のマーク)も表示されるので、Webサイトの訪問者に対して視覚的な安心感を与えることができます。

保護されていない通信を保護された通信に

このブラウザでの警告表示は段階的に強化され、Googleは2018年10月リリースのChrome70ではURLバー(アドレスバー)にhttpから始まるURLのフォームに情報を入力すると赤字で警告が表示されるようになりました。

Chrome70の警告表示

常時SSL化をする前に注意するべきこと

ポイント1:事前に料金・管理にかかるコストを把握しておく

常時SSL化(全HTTPS化)するにはSSLサーバー証明書が必要です。
運営するWebサイトが必要とする料金を確認しておきましょう。

複数のサブドメインを使っているWebサイトの場合はワイルドカード証明書がオススメです。
同一階層はワイルドカード証明書1枚で適用でき、SSLサーバー証明書の導入コスト・管理コストを削減することができます。

ポイント2:対応環境を把握しておく

パソコンや現在主流のスマートフォンからのアクセスには支障はありませんが、フィーチャーフォン(いわゆるガラケー)やAndroid2.0など一部の機種/OSからhttpsのWebページにアクセスはできません。どの機種に対応しているか概要を把握しておきましょう。

常時SSL化推進の動き

日本でのHTTPS経由で読み込まれたWebページの割合

2018年8月4日時点の「世界各国におけるChromeでのHTTPSの使用状況」によると日本は約67%がHTTPS経由で読み込まれたWebページとのことです。グラフから見える通り、今後もHTTPS通信の割合が高まっていくことが予想されます。

2018年8月4日時点の「世界各国におけるChromeでのHTTPSの使用状況」

出典元:Google透明性レポート-HTTPSに関する報告」

大手Webサイトの対応

GoogleやYahoo!JAPANなどの検索ポータルサイト、TwitterやFacebook、InstagramといったSNSでは、ユーザー保護の観点から既に常時SSL化が行われています。

政府系サイトの対応

2018年7月25日に内閣官房 内閣サイバーセキュリティセンターは、「政府機関等の情報セキュリティ対策のための統一基準群(平成30年度版)」を決定しました。

この統一基準群を構成する文書の1つである「政府機関等の対策基準策定のためのガイドライン(平成30年度版)」において、ウェブの基本対策事項を以下のように解説しています。

7.2.2(1)-5
情報システムセキュリティ責任者は、通信時の盗聴による第三者への情報の漏えい及び改ざんの防止並びに正当なウェブサーバであることを利用者が確認できるようにするための措置として、以下を含むウェブサーバの実装を行うこと。

  • a)TLS(SSL)機能を適切に用いる。
  • b)TLS(SSL)機能のために必要となるサーバ証明書には、利用者が事前のルート証明
    書のインストールを必要とすることなく、その正当性を検証できる認証局(証明書発
    行機関)により発行された電子証明書を用いる。
  • c)暗号技術検討会及び関連委員会(CRYPTREC)により作成された「SSL/TLS暗号設
    定ガイドライン」に従って、TLS(SSL)サーバを適切に設定する。
  • a)TLS(SSL)機能を適切に用いる。
  • b)TLS(SSL)機能のために必要となるサーバ証明書には、利用者が事前のルート証明書のインストールを必要とすることなく、その正当性を検証できる認証局(証明書発行機関)により発行された電子証明書を用いる。
  • c)暗号技術検討会及び関連委員会(CRYPTREC)により作成された「SSL/TLS暗号設定ガイドライン」に従って、TLS(SSL)サーバを適切に設定する。

出典元:「政府機関等の対策基準策定のためのガイドライン(平成30年度版)」基本対策事項 7.2.2(1)-5

SSLサーバー証明書発行手順

1. CSRの生成

2. 申し込み

  • SSLサーバー証明書を購入するサイト(認証局)を選び、お申し込みください。
    参考:JPDirectでのご購入「お申し込み・無料見積もり

3. 発行審査

  • SSLサーバー証明書の認証局により審査があります。ドメイン名の使用権やWebサイト運営者の実在性確認などが行われます。
    参考:「認証局での審査について

4. インストール

本ページで使用している専門用語の解説

SSL(Secure Socket Layer)

通信データを暗号化し、盗聴や盗み見されないようにする技術です。パスワードの送受信をするようなページでは必須とされます。HTTPS通信は、SSLの後継バージョンであるTLS(Transport Layer Security)の技術を用いておりますが、一般的に広く知られているSSLと表記しています。

CSR(Certificate Signing Request)

SSLサーバー証明書を発行するための証明書署名要求のことです。CSRには公開鍵やコモンネーム、組織名などの情報が含まれます。CSRの生成方法は認証局がマニュアルを公開しています。(参考:「CSRの生成方法」)

関連ページ

関連サイト

JPRS