常時SSL化のメリットおよび注意点 | 株式会社ドリームハイブ

常時SSLとは？

正式には常時SSL（Always On SSL）と呼び、Webサイト内のログインや注文などの情報を入力するフォームだけでなく、すべてのページをSSL化することを指します。
※SSLについてはセキュリティ対策として後述

常時SSL化することの一番のメリットは暗号化によるセキュリティの強化ですが、それ以外にもアクセスするユーザーとWebサイト管理者の双方にとって様々なメリットがあります。

常時SSL化は、Googleの方針の変更によって業種や規模にかかわらずほぼ必須と言える状況にあります。

常時SSL化のメリットは大きくわけて次の4つがあります。

それぞれをもう少し詳しく見ていきましょう。

SSL（Secure Sockets Layer）とは、WebサーバーとWebブラウザーとの通信を暗号化する技術の一つで、認証されたサーバーにしか発行されないため信頼性を証明することができます。

暗号化することで、通信経路途中での盗聴や改竄を防ぐことができます。

SSL化された分かりやすい例としては、SSLを導入したWebサイトでは、URLが「https://」で始まり、鍵マークが表示されます。

この暗号化機能によって、次の2つのセキュリティリスクに対抗できます。

著名なWebサービスのWebサイトそっくりに作ったページにユーザーを誘導し、IDやパスワード、クレジットカードなどの個人情報を不正に入手する、いわゆる「フィッシング詐欺」のことです。

メールなどで送られてきた不正なリンクをクリックすることで、誘導させられるパターンがよく見られます。

カフェなどで提供されるフリーWi-Fiで暗号化されていないものには情報漏洩の可能性があります。

暗号化されていないWi-Fi自体は減りましたが、悪意のある第三者が偽のアクセスポイントなどを提供するなどへの対抗策として、完全ではないものの有効です。

2014年8月にGoogleは常時SSLかどうかを検索順位の決定要因にすることを発表しました。

これまで、SSLを導入する目的はフォームなどに入力する情報を安全に保つことが主目的でしたが、検索エンジンの方針変更によって、フォームのあるページだけなどの一部のページのみのサイトは、安全ではないサイトと認識されてしまいます。

また2015年12月には、同じコンテンツであればhttpsページをhttpページよりも優先的にインデックスすると発表しました。

結果としてアクセスが減り、検索順位も下がるという悪循環に陥ります。

HTTPの新しいバージョンであるHTTP/2は、高速な通信を実現するため2015年2月に登場しました。

このHTTP/2を利用するにはSSLが必須要件となっていますが、Google Chrome、Mozilla Firefox、Microsoft Edge、Safariなど主要なブラウザーはすでに対応しています。

一昔前は常時SSL化すると通信速度が低下するなどがありましたが、昨今のネットワーク環境やPCのスペックであれば、その差は感じられるようなものではないでしょう。

古いシステムなどで制限がかかるような場合でもなければ、Webサイト全体を常時SSL化してHTTP/2のメリットを優先すべきと言えます。

HTTPSページとHTTPページが混在したWebサイトでは、Cookie情報も別々のユーザーとして保存されてしまいます。

また、Googleの検索自体が常時SSL化されたことにより、HTTPS（Google）からHTTPS（自社Webサイト）であればアクセスログに残り解析対象となります。

つまり、HTTPSとHTTPのページを混在させると解析データがぶつ切れになってしまうことを避けるため、すべてのページをSSL化した方がよいということです。

2019/4/時点で国内上場企業の70.7%がWebサイトの常時SSL化に対応しているようです。

個人サイトなどをすべて調査した情報は見つからないのですが、常時SSL化をしているのは肌感覚としてはWebサイト全体の50%といったところでしょうか。

なお、サーバ証明書には3種類あり、信頼性の高い順にEV > OV > DVです。

よくある無料SSLで提供されているのはDV認証ですので、暗号化通信という視点では上位のものと機能的な差はないものの、厳格な企業からすると信頼性という観点で見劣りします。

用途と費用のバランスを考え、自社に適した常時SSL化を行いましょう。

常時SSL化を検討されている方、フォームからご相談ください。