Column

コラム

SCROLL
【2018年7月危機】要対応|SSL非対応のWebサイトは画面に警告が表示

【2018年7月危機】要対応|SSL非対応のWebサイトは画面に警告が表示

御社のWebサイトは『常時SSL化』の対応ができていますか?

Webサイト上のデータを暗号化して保護する技術である「SSL/TLS」を導入しないと、2018年7月24日から利用者(ユーザー)離れを起こすリスクがあるのです。

SSL/TLSとは?

SSL(Secure Sockets Layer)とTLS(Transport Layer Security)は、いずれもインターネット上のデータを暗号化して送受信する仕組みのことです。SSL/TLSを導入することで、クレジットカード情報や個人情報などの重要なデータを暗号化して、インターネット上での通信を安全に行なうことができます。
また、『常時SSL化』というのは、Webページをすべて暗号化することを指します。

利用者(ユーザー)離れを起こす理由

米グーグルが2018年7月24日にリリース予定の「Google Chrome 68」から、Webサイトに対するセキュリティレベルが厳しくなることが原因です。

具体的には、SSL/TLS対応がされていないWebサイトへアクセスすると、
「セキュリティで保護されていない」
とアドレスバーに表示されてしまいます。

2018年7月24日時点では、常時SSL化の対応がされていなくてもWebサイトへのアクセス自体は可能ですが、「セキュリティで保護されていない」というメッセージを利用者が見ることで不安に駆られてWebサイトから離脱する可能性が十分にあり得ます。

SSL/TLS対応がされているか確認する方法

自社が運営するWebサイトがSSL/TLS対応をされているかどうか、簡単に確認することができます。
URLの先頭が「https」になっているかどうかです。
 SSL/TLS対応がされているWebサイトは、URLが「https://〜〜〜」となっています。

SSL/TLS対応がされているか確認する方法

SSL/TLS対応をしないことによるその他の影響

SSL/TLS対応がされているWebサイトの方が、検索エンジンの評価が高くなり、検索順位が上がります。これは、公式にGoogleから公表されていることです。
 
逆に言うと、SSL/TLS対応がされていないと検索エンジンの評価が低くなるため、SEOの検索順位が下がってしまいます。
「SSL/TLS対応がされていない=データが暗号化されないサイト=情報が漏洩するリスクのある危険なサイト」と、Googleに見なされてしまい、評価が低くなってしまうわけです。

SSL/TLS、常時SSL化の対応方法

対応方法は大きく2点あります。いずれの作業も、システム会社へ依頼して対応してもらうことが多いです。
1.SSLサーバー証明書を導入・設定する
2.リンク(URL)を変更する

1.SSLサーバー証明書を導入・設定する

SSLサーバー証明書というものを購入し、自社のWebサイトがあるサーバーへ設定します。
 

2.リンク(URL)を変更する

常時SSL化の対応が完了すると、上述のとおりURLが変わります。
(http://〜〜 → https://〜〜)
よって、Webサイトで設定されているリンク(URL)をすべて変更しておく必要があります。
一括で置換する方法だけでなく、変更前のURL(http://〜〜)にアクセスがあった場合に、自動的に変更後のURL(https://〜〜)へ飛ばしてくれる設定をすることもできます。
 

費用について

認証レベル(≒セキュリティレベル)によって価格は異なりますが、SSLサーバー証明書の購入費用は「約6万円」です。これは1年間の費用ですので、毎年同額の更新費用も発生します。
また、システム会社へ対応を依頼する場合は、証明書の購入費用に作業費用や管理費用がプラスされます。
 

認証レベル(≒セキュリティレベル)とは

認証レベルには3つのレベルがあります。

・ドメイン認証:DV(Domain Validation)
・企業や団体の認証:OV(Organization Validation)
・最高レベルの認証:EV(Extended Validation )

認証レベルとは簡単に言うと「安全であるという証明をどの単位まで行うか」ということです。
認証レベルは、「ドメイン認証(DV) < 企業や団体の認証(OV) < 最高レベルの認証(EV)」で、認証レベルが上がれば上がるほど、費用が高くなります。
 
例えば、企業や団体の認証(OV)であれば、データが安全に保護される証明だけではなく、運営する企業の存在も証明することができるため、より信頼性が高まります。
一番下のドメイン認証(DV)であれば、無料で導入が可能ですので、あまり費用をかけたくない方はこちらがオススメです。
なお弊社が制作したWebサイトでは「ドメイン認証」を使っており、制作費用を頂いている場合は、常時SSL化対応は無償で対応させていただいております。
 

まとめ

従来は、パスワード入力や決済など、一部のWebサイトだけで暗号化するのが普通でした。
しかし、情報漏えい事故が多発している昨今においては、何か大きな理由や弊害がない限りは、自社が運営するWebサイトは常時SSL化対応をしておくべきです。
今後、常時SSL化対応がされていないと、そのWebサイトへのアクセス自体ができなくなるかもしれない、という話も出ていますので、いち早くご対応することをオススメいたします。