近頃、パソコンやスマートフォンでインターネットを利用していると「安全ではありません」「保護されていない通信」という文字を見かけるようになりました。
Safari
Google Chrome
この警告によって詐欺サイトでも、まともなサイトでもユーザーから見れば同じように「危険なサイト」に見えることになりました。
ウェブサイトを運営している方の中には、
- どうやったら警告が消えるの?
- どうして警告が表示されるの?
- どうやって対応すればいいの?
- 対応するのにお金はかかるの?
などの悩みをお持ちの方も多いのではないのでしょうか。
今回この記事では、そんな方に向けて、
- 安全でないと警告される理由
- 警告の解除に必要なSSLとは?
- SSL導入のメリットとデメリット
- SSL導入の手順と作業内容
について具体的に解説します。
自社のウェブサイトが警告された場合は、ユーザーが不審に思って、利用を避ける前に対策を行うようにしましょう。
目次
安全でないと警告される理由
パソコンとスマホの普及によって、多くの人がインターネットに接続してホームページを閲覧するようになりました。そして、悲しいことに悪意のある人も出てくるようになりました。
あなたはAppleやAmazon.co.jpを装ったメールを受け取ったことはありませんか?
このメールはフィッシングメールと言い、偽サイトに誘導することで、パスワードや住所、電話番号、メールアドレスなどの個人情報を奪おうとしているのです。
当社にもAmazon.co.jpカスタマーサービスを装ったメールが届いた
こうした悪質な詐欺サイトへの対策の一つとして、SSLに対応してないサイトには「安全ではありません」「保護されていない通信」といった警告が表示されるようになりました。
- SSLに非対応・・・「安全ではありません」などと表示される
- SSLに対応・・・鍵マークが表れ「この接続は保護されています」などと表示される
警告の解除に必要なSSLとは?
アドレスバーに表示された警告を解除するには、ウェブサイトにSSLを導入する必要があります。
SSLとは「Secure Socket Layer」の頭文字を取った略語で、Secureという単語があるようにウェブサイトのセキュリティ向上を図る技術です。
ウェブサイトをSSLに対応させると、通信内容が暗号化され、URLはhttpがhttpsになります。
最後のSはSecureのSで、セキュリティがしっかりしているという意味を持ちます。
そして、URLの左には鍵マークが表示されるようになります。
SSLの種類によっては組織名が表示される場合もあります。
つまり、自社のウェブサイトがSSLに対応することで、通信内容が暗号化され、それによってユーザーが安心してウェブサイトを見れるようになるということです。
約8割のウェブサイトがSSLを導入済み
Googleの「透明性レポート – ウェブ上でのHTTPS暗号化」によると日本国内における2019年4月13日時点のSSL導入状況は77%となっています。
2年前が43%、1年前が61%だったことを考えると、時間の経過と共に導入が進み、SSLに対応したウェブサイトが標準化してきていると言えます。
Google ChromeやFirefox、Microsoft Edge、Safariなど主要なブラウザがSSLを導入していないウェブサイトに対して警告を表示していることからもSSLの導入が重要であることが分かります。
SSL導入のメリット
SSLはユーザーに安心してホームページを利用してもらうために必要な対策です。
ただし、SSLを導入するには金銭的、技術的ハードルがあります。メリットとデメリットを理解した上で、自社のウェブサイトにあったSSLを選びましょう。
SSL導入の主なメリットは5つです。
- ユーザーに不審に思われない
- 通信内容の盗聴や改ざんを防げる
- Free Wi-Fiでの通信を暗号化できる
- 検索順位に優遇される
- ウェブサイトが高速表示される
ユーザーに不審に思われない
ウェブサイトをSSL化させることでURLの左に鍵マークがつき、安全であることをアピールできます。
鍵マークをクリックすると「この接続は保護されています」「安全な接続」と表示されるようになります。
インターネット利用者のセキュリティ意識は近年高まっています。安全ではありませんと表示されるサイトを積極的に利用する人は少ないでしょう。
通信内容の盗聴や改ざんを防げる
ウェブサイトにSSLを導入すると通信規格がHTTPからHTTPSに変わります。
HTTPでは通信内容を覗き見したり、改ざんを行われる可能性がありました。
たとえば、ネットショップで買い物するときに入力したクレジットカードの情報を第三者が覗くことができるのです。
さらにデータを覗かれるだけでなく、書き換えることも可能です。もし、商品の届け先を書き換えられたり、銀行の振込先を書き換えられたりしたら大問題です。
HTTPSではこのような問題が解決されます。
- HTTP・・・盗聴、改ざんが可能
- HTTPS・・・暗号化により盗聴、改ざんが不可能
ユーザーは覗き見などの心配をすることなく、安心してホームページを利用できます。
公衆無線LANでの通信を暗号化できる
近年、カフェや駅、ホテルなどでFree Wi-Fiが増えています。
こうしたFree Wi-Fiと同じ名前のアクセスポイントを設けて、通信内容を盗聴したり、改ざんしたりする事例があります。
とくにスマホやタブレットのユーザーは、よく確認しないでFree Wi-Fiなどのアクセスポイントに接続することがあります。
このような偽装されたFree Wi-Fiでの通信においても、ウェブサイトがSSLを導入することで通信内容の盗聴や改ざんを防ぐことができます。
検索順位に優遇される
Googleは2014年8月7日にウェブマスター向け公式ブログで「HTTPSをランキングシグナルに使用します」という記事を公開しました。
この記事にはSSLに対応したウェブサイトの検索順位を優遇するという内容が書かれています。
ただし、SSL導入により得られる効果は軽微です。あくまでも副次的な効果であることを頭に入れておく必要があります。
ウェブサイトが高速表示される
従来SSL化したウェブサイトは表示が遅くなると言われてましたが、HTTP/2という技術の登場で常識が変わりました。
HTTP/2はセキュリティの強化を図りながら、HTTPよりも高速化することを目的として開発された規格です。そして、HTTP/2はSSLに対応していることが利用条件となっています。
つまり、ウェブサイトにSSLを導入することで、セキュリティ向上だけでなく、パフォーマンスの向上も期待できるようになったのです。
SSL導入のデメリット
SSLの導入はウェブサイトの安全性が高まるというメリットがある一方、デメリットもあります。
SSL導入の主なデメリットは2つです。
- SSLの発行にお金がかかる
- SSLの導入に手間がかかる
SSLの発行にお金がかかる
SSLを導入するには、SSL証明書を発行し、サーバーにインストールする必要があります。
このSSL証明書の発行は無料で出来るものもありますし、SSLの種類によっては15万円近くするものもあります。
SSLの種類については後ほど詳しくご説明します。
SSLの導入に手間がかかる
SSLの導入はSSL証明書をサーバーにインストールすれば終わりではありません。
URLがhttpからhttpsに変わるため、ホームページ内のURL表記をすべて書き換える必要があります。外部ツールや広告を利用している場合は、そちらの設定も変更しなければなりません。
また、httpにアクセスされた際にhttpsへ転送するために.htaccessの設定も必要となります。
こちらも具体的な手順については後ほど詳しくご説明します。
SSLの導入は避けて通れない道
メリットとデメリットをそれぞれ解説しましたが、最も大切なのは自社のウェブサイトを安心して利用できるようにすることです。
SSLを導入していないウェブサイトは、ユーザーの安全を全く考えてないと言われても仕方ありません。
SSLを導入していないという場合は、すぐにでもSSLの導入を検討してみてください。
SSL導入の手順と作業内容
ウェブサイトにSSLを導入するにあたり、実際にどのような作業が必要になるのか、その具体例を解説します。
全体の流れは9つの手順で進んでいきます。
- 導入するSSLの種類を決める
- SSLを契約をする
- バックアップをとる
- HTMLコードを書き換える
- 動作確認を行う
- リダイレクトを設定する
- 外部ツールの設定を変更する
- XMLサイトマップを送信する
- 印刷物のURL表記変更
導入するSSLの種類を決める
SSLには信頼性のレベルに応じて、
- ドメイン認証
- 企業認証
- 拡張認証
の3つの種類があります。
かかる手間や時間も異なるため、きちんと理解した上でどのSSLを選ぶのかを決めましょう。
| ドメイン認証 | 企業認証 | 拡張認証 | |
|---|---|---|---|
| 略称 | DV | OV | EV |
| セキュリティ | 低 | 中 | 高 |
| ドメイン名使用権の確認 | |||
| 組織の法的実在確認 | |||
| 申請者の電話確認 | |||
| アドレスバーに組織名表示 | |||
| 年間費用 | 無料 | 〜6万円 | 〜15万円 |
ドメイン認証
ドメイン認証は、そのドメインの持ち主であるかどうかを認証します。
証明書の価格は3種類の中で最も低価格になっていて、無料で利用できるものもあります。
ウェブサイトでお金やクレジットカード情報などのやり取りがなければ、このタイプで大丈夫です。
逆を言うと、ネットショップや個人情報を取り扱うサイトでは、ドメイン認証では役不足と言えます。
企業認証
企業認証は、ドメイン認証の取得要件に運営組織の実在性を認証します。
帝国データバンクに企業情報がある法人が利用でき、登録がない場合は登記簿謄本が必要となります。
ただし、企業認証にはドメイン認証と区別がつきにくいという問題があります。
ドメイン認証と企業認証はどちらもURLはhttpsのため、見た目では区別がつきません。
URLの左にある鍵マークをクリックして、証明書の詳細な情報を表示して初めて企業認証と分かります。正直そこまでするユーザーはいないと言ってもいいでしょう。
これではドメイン認証より高い費用を支払ったのに意味がありません。したがって、企業認証を取得するのであれば、拡張認証を取得するのがおすすめです。
拡張認証
拡張認証は、企業認証の取得要件に電話確認を加えた、より高い安全性を伝えるためのSSLです。
アドレスバーに組織名が表示されますので、ドメイン認証との区別がつかないという企業認証の欠点が解消されます。
費用面での負担が大きくなりますが、それに見合うだけのメリットがあると思います。
- 重要情報を扱わないウェブサイト・・・ドメイン認証(DV-SSL)
- クレジットカードなどの重要情報を扱うウェブサイト・・・拡張認証(EV-SSL)
SSLを契約をする
導入するSSLが決まったら、SSLを契約し証明書を取得します。
大抵のレンタルサーバーでは、SSLが直接契約できるようになっています。今お使いのレンタルサーバーで証明書が取れないかを確認してみてください。
利用しているレンタルサーバーでSSLが取れない場合は、SSL証明書の販売サイトでSSL証明書を購入して、レンタルサーバーにインストールする流れになります。
ただし、販売サイトで購入したSSLのインストールは少々複雑です。SSLが簡単に導入できるレンタルサーバーに引っ越しするのも良いと思います。
バックアップをとる
SSL証明書を取得したら、ホームページのHTMLコードや.htaccessを書き換えますので、必ずバックアップを取ってください。
HTMLコードを書き換える
ウェブサイトをSSL化するには、HTMLを修正する必要があります。
具体的には、imgタグやaタグ、scriptタグなどのhttpで始まっている箇所をhttpsに修正していきます。
<img src="http://example.com/…
と書かれているHTMLコードを
<img src="https://example.com/…
のように修正していきます。
プロトコルを省略することも可能
絶対パスでHTMLを書いている場合はhttpやhttpsのプロトコルを省略した表記方法もあります。 絶対パスとは、URLで目的のファイルを指定する書き方のことです。
具体的には、
<a href="http://example.com">
を
<a href="//example.com">
と表記します。
この表記方法にすると、httpでアクセスしている場合はhttp、httpsでアクセスしている場合はhttpsとなり、それぞれ自動的にプロトコルを選択してくれます。
広告タグもHTTPSに差し替える
Google AdSenseやアフィリエイト広告などを利用している場合は、広告タグをhttpsに対応したものに差し替えてください。
動作確認を行う
HTMLコードの修正を終えたら、正しく表示されるかを確認します。
DV-SSL、OV-SSL
EV-SSL
URLの左に鍵マークではなく、エクスクラメーションマークが表示された場合はHTMLコードにhttpが混在していることを意味します。
エクスクラメーションマークが表示された場合はGoogle Chromeのデベロッパーツールを使うと問題点の調査が簡単です。
ショートカットキーでデベロッパーツールを起動し、Securityタグを表示します。
- Windows・・・Ctrl + Shift + i
- Mac・・・Command + Option + i
HTTPが混在している場合は「Mixed Content」という警告が表示されます。
この状態でESCキーを押してConsoleタブを表示させると、HTMLソースのどの部分が問題なのかが分かります。
安全にHTTPS接続が確立されている場合は「Resources – all served securely」と表示されます。
次のような警告が表示された場合は、SSL証明書が正しくインストールされてないことを意味します。
1〜2時間ほど待ってみても状況が変わらない場合はSSL証明書のインストールを見直します。
WordPressはサイトアドレスを変更
WordPressを利用している場合は動作確認後に一般設定の
- WrdPressアドレス(URL)
- サイトアドレス(URL)
をhttpからhttpsに変更してください。
リダイレクトを設定する
動作確認で問題なければ、リダイレクトの設定を行います。
リダイレクトとは、あるページへのアクセスを違うページへ自動的に転送することです。ここではhttpでアクセスがあった場合にhttpsへ転送する設定を行います。
具体的には.htaccessに以下を記載します。
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]
</IfModule>.htaccessを編集する際は必ずバックアップを取って、いつでも元に戻せる状態にしてください。
外部ツールの設定を変更する
アクセス解析などの外部ツールを利用している場合は、ツールごとにURLを変更していきます。
Google Analytics
Google Analyticsを導入している場合は、プロパティ設定のデフォルトURLをhttps://に変更します。
トラッキングコードはhttpとhttpsを自動で判別するので変更する必要はありません。
Google Search Console
Google Search Consoleは、URLの変更ができないので、新たにプロパティを追加します。
XMLサイトマップを送信する
XMLサイトマップは、ウェブサイト内のURLを記述するxml形式のファイルのことです。
検索エンジンがウェブサイトのURLを収集する手掛かりとなるため、設置をおすすめします。
設置したXMLサイトマップは、Google Search Consoleで送信し、検索エンジンに通知します。
印刷物のURL表記変更
名刺、封筒、チラシ、看板などに変更前のURLを印刷している場合も多いと思います。
変更前のURLはリダイレクト設定によって、変更後のURLに転送されますので、早急に変更しなければならないということはありません。
印刷物が切れたときに変更後のURLに切り替えて印刷しても大丈夫でしょう。
これでウェブサイトのSSL化は完了です。
まとめ
いかがだったでしょうか。
ウェブサイトにSSLを導入するメリット、手順をお分かりいただけたかと思います。
SSLに対応させる一番の目的はウェブサイトのユーザーが安心して利用できるようにすることです。
SSLを導入していないという場合は、すぐにでもSSLの導入を検討してみてください。
