ブログ運営

SSL、AOSSL(常時SSL)とは?

SSL、SSL(常時SSL)がなんなのか?今や SSLしてないとやばい?

ブログを始めると、「SSL」という言葉を耳にするようになります。
SSL化とは何か、またSSL化によるメリット・デメリットは何か?
SSLについて概要をまとめてみましたので、どなたかの参考になれば幸いです:)

何かと話題のSSL

最近ではYahoo! JAPANも常時SSLに対応したとのことで話題になりました。

Yahoo! JAPANではお客様により安全にサービスをご利用いただくため、2016年4月から2017年3月にかけて、Yahoo! JAPANトップページやYahoo!ニュースを含むすべてのサービスにおいて常時SSL(AOSSL)に対応します。
参考:Yahoo!ニュース AOSSL対応によるURL変更のお知らせ – Yahoo!ニュース スタッフブログ

筆者はYahoo!ショッピングの運営にも関わっているのですが、商品ページを自動でSSL化しますという内容の案内が、今年頭にYahoo!からきてました。もちろん、2017年4月の現在は、SSLの対応が完了していることを確認しています。
また、イラスト投稿サイトとして二次元ファンにとってはお馴染みの「pixiv」、初期費用・月額費用がかからずにECサイトの作成から運営まで”無料”で行える「BASE」なども最近になってHTTPS化しています。

SSLとは?

SSLとはSecure Sockets Layerの略で、インターネット上でデータを暗号化して送受信する仕組みを言います。
個人情報などの重要なデータを暗号化して、サーバとPC間での通信を安全に行なうことができます。
例えばECサイトでは、エンドユーザーが商品を購入する時にクレジットカード情報を入力します。SSL化していないサイトですと、悪意のある第三者にその情報を盗まれてしまうリスクがあり、非常に危険です!

TLSとは?

SSLの話が出てくると一緒に出てくるTLSはTransport Layer Securityの略で、SSLとは別物と思われがちですが、SSLと同じものと認識して問題ありません。
というのも、SSLはバージョン3.0まで公開されましたが、それ以降のバージョンは名称そのものがTLSに変更されただけですので、「TLSのことを含めてSSLと呼ぶ」と認識してしまってokです。

SSL化されているサイトの表示例

ではSSL化されているサイトはどのように表示されるか?
下図のように「保護された通信」と鍵のアイコンが表示され、アドレスは「http」ではなく、「https」と表示されるようになります。
f:id:tkhs-nnon:20170424221753p:plain

常時SSL(AOSSL)とは?

Webサイト全体をSSL化した状態を「常時SSL」と言います。「Always On SSL」を略してAOSSLとも呼ばれます。
これまでのWebサイトは、問い合わせフォームやログイン画面など、個人情報など大事な情報を扱うページのみ「https://〜」とSSL対応をし、トップページなどその他のページは「http://〜」とするのが通常の流れでした。
ですが、サイト全体を「https://〜」とSSL化してしまう、常時SSLが主流です。

SSLのメリット

セキュリティが強化されます

SSLによってクレジットカード情報や個人情報などの盗聴を防ぐことができます。

信頼性が向上します

SSL化の際、第三者機関のSSL認証局がSSLサーバ証明書を発行します。証明書の種類にもよりますが、証明書を発行されたサイトは認証局のサイトシールをサイト上に掲載することができるようになります。こちらのサイトシールは認証局が運営企業を調査の上発行されるものなので、サイトの信頼性が向上します。

SEO対策の観点から有利

SSL化していないサイトよりもSSL化したサイトの方が優遇される。
Googleは、SEOランキングでHTTPSサイトを優遇すると発表しています。

今後SSL化していない方のサイトが悪目立ちしてしまう可能性がある?

SSL化されているサイトの通信時にはブラウザのアドレスバーの色が変わったり鍵マークが表示されたりして「暗号化通信であること」を知らせてくれます。
f:id:tkhs-nnon:20170424221753p:plain
逆にSSL化されていないサイトの場合、今後は「暗号化通信ではない」と警告を表示させることをGoogleは検討しているそうです。
これではSSL化していないサイトの方が悪目立ちしてしまいますねX(

SSLのデメリット

  • 導入にあたって作業が設定作業が必要。
  • コストがかかる。

…ぐらいですかね。

SSLにもいろいろあるけど、どれを選ぶのが正解?

SSLにもいろいろ種類があります。もしどれを選ぶかで困ったら、国内No.1のシェア率を誇る認証局であるGMOグローバルサインを選択することをおススメします。
jp.globalsign.com

公開中のサイトを常時SSLにした場合の注意点

常時SSLに対応していない「http://〜」と常時SSLに対応した「https://〜」はGoogleにおいて別サイトとして扱われてしまうようです。

リダイレクトをかけましょう

「http://〜」でアクセスがあった場合に、強制的に「https://〜」に転送(リダイレクト)させましょう。
この際にSEOの評価を引き継げる301リダイレクトを使用しましょう。302リダイレクトは一時的なURL変更の際に使用するリダイレクトですので、今回使用するには不向きです。

Google Search Consoleに再登録しましょう

Google Search Consoleに登録している場合は、「https://〜」のサイトを別途サイト追加しなければなりません。

Google Analyticsの設定を変更しましょう

Google Analyticsは「http://〜」を「https://〜」に一括変換する必要があります。こちらをしないと計測がうまくいきませんのでご注意。
常時SSLがこれからの主流になることは間違いなしですね。当サイトもまだSSLには対応できていないので、今後の導入を検討しようと思います:)

参考サイト

SSLサーバ証明書の料金比較と選び方総まとめ | ServerKurabe
SSLとTLSとは その特長と脆弱性の問題 | GMOグローバルサインブログ