2018年2月27日（火）、GoogleはWebマスター向け公式ブログにて、 “常時SSL”促進に対し、固い意志を明確に示しました。

引用元：「保護されたWebの普及を目指して」

簡単に説明すると、2018年7月リリース予定である「Chrome 68」で、SSLが設置されていないWebサイトを見た場合、「保護されていません」と警告が表示されるようにアップデートするというものです。

これまでも、ChromeでSSLが設置されていないWebサイトを見た場合、警告表示が出なかったわけではありませんが、エクスクラメーション「！」が表示されているだけで、一見深く危険性を匂わせる表現ではありませんでした。

「Chrome」は、世界や日本国内においても普及率が高く、このアップデートは大きな影響を及ぼしそうです。

※引用元：StatCounter（2018/6/4）

2018年7月に向けて、SSLのおさらいをし、対策を考えましょう。

そもそもSSLとは

世界標準のセキュリティー技術で、Webサイトと閲覧しているユーザーのやり取りを暗号化するものです。

お店予約や商品購入など、インターネット上で済ませることがほとんどですが、その際、住所・氏名、クレジットカード番号、各種パスワードなどの個人情報を入力させられることが一般的です。

SSLが設置されていないWebサイトでは、これらの情報を悪意ある第三者がいつでも盗み見ることができる状態となっており、インターネット犯罪に巻き込まれる危険性を孕んでいます。

インターネットがライフラインとまでに考えられる昨今において、SSLの設置はサイト運営者の義務と言えるでしょう。

また、Webサイトを閲覧しているユーザーも自身の身を守る術として、よく訪れるサイトがSSL設置済か否かを気にしておくことも大切です。

常時SSLとは

Webサイト内、すべてのページにSSLを設置（通信を暗号化）することを指します。

※引用元：Symantec公式サイト

SSLの種類

SSLの設置にはSSLサーバ証明書が必要で、シマンテックやセコム、グローバルサイン、サイバートラスト、ジオトラスト、JPRSなどの認証局で取得（購入）することができます。

SSLサーバ証明書は下記の3種類に分かれます。

• ドメイン認証SSL
• 企業認証SSL
• EV SSL

	ドメイン認証型 SSLサーバ証明書	企業認証型 SSLサーバ証明書	EV SSL証明書
ドメイン使用権の認証	〇	〇	〇
Webサイト運営団体の実在性を認証	×	〇	〇
個人による取得	〇	×	×
アドレスバーに組織名表示	×	×	〇
フィッシング詐欺対策	×	〇	〇
認証レベル（信頼性）	★	★★	★★★
導入コスト	低	中	高

SSLサーバ証明書には、「SSLによる通信の暗号化」と、「Webサイト運営団体の身元証明」という2つの機能があります。

暗号化の機能は認証局や証明書の種類による違いはありませんが、身元証明の機能はSSLサーバ証明書の種類によって大きく異なります。

※引用元：SSLサーバ証明書の種類と比較｜Symantec公式サイト

ドメイン認証型SSLサーバ証明書

ドメイン所有者情報の正確性を審査し発行されるSSLサーバ証明書です。

導入コストや審査期間など、他2つと比較して一番手軽に取得することができますが、Webサイト運営団体の実在性は審査対象に含まれておらず、証明書の信頼度は最も低いものとなっています。

とにかくお手軽にSSLの設置（通信の暗号化）を行いたい場合にオススメです。

企業認証型SSLサーバ証明書

ドメイン所有者情報に加えて、Webサイト運営団体の実在性を審査して発行されるSSLサーバ証明書です（物理的な所在地の確認は行われません）。

審査には登記簿謄本の提出や電話確認なども含まれ、ドメイン認証型SSLサーバ証明書と比べて信頼性の高さを明示することができます

個人情報の入力が必要な会員制サイトやクレジットカード情報の入力が必要なECサイトへの設置にオススメです。

Webサイト運営団体の実在性を約束されていることで、ユーザーは安心してネットショッピングなどを楽しむことができます。

EV SSL証明書

ドメイン所有者情報に加えて、「CA/ブラウザフォーラム」という主要なブラウザベンダーと認証局で構成される団体が策定した「EVガイドライン」に基づき、所在地などの物理的な確認を含むWebサイト運営団体の実在性を審査して発行されるSSLサーバ証明書です。

審査は厳しく証明書の発行までに時間はかかりますが、EV SSL証明書が設置されているWebサイトにアクセスすると、ブラウザのアドレスバーが緑色に変わりWebサイト運営団体名が表示されるなど、閲覧者にも視覚的に安全性をアピールできます。

高度なセキュリティ対策が必要とされるオンラインバンキングや、より強固なセキュリティ対策に取り組んでいることを明示し信頼性の高さを詠いたい、個人情報の入力が必要な会員制サイトやクレジットカード情報の入力が必要なECサイトで利用されています。

常時SSLのメリット

1.Webサイト全体のセキュリティが向上
マルウェア対策、改ざんやなりすまし、盗聴の防止、Free Wi-Fiからの接続の安全性確保などWebサイト全体のセキュリティが向上します。

2.Webサイト閲覧者から安心と信頼を獲得
セキュリティを意識していないWebサイト閲覧者にも直感的に安心感を伝えることができ、利用頻度の向上に繋がる可能性があります。

3.SEOで上位化につながる

Googleは、ユーザーが Google から安全なサイトにアクセスできるようにすることを目的に、2014年8月7日（木）、Webマスター向け公式ブログにて SSLが設置されているか否かをSEOのランキング指標として用いると発表しています。

参照元：「HTTPS をランキング シグナルに使用します」

4.Webサイトの表示速度が向上する
HTTP/2に対応したブラウザでWebサイトを閲覧した際、表示速度が向上します。
Edge、IE、Chrome、Safari、Firefox、Operaなど主要ブラウザは全てHTTP/2に対応しています。

常時SSLのデメリット

1.コストがかかる
SSLサーバ証明書の取得費用や申請、設置コストがかかります。
また、有効期限があるため更新の手間も発生します。

2.SSL非対応のアフィリエイト広告やツールが表示されない
アフィリエイトが表示されないなど広告収入にも影響を及ぼす可能性があるため、今利用しているアフィリエイトやツール（プラグイン）がSSLに対応しているか否か、設置前に必ず確認してください。
ちなみに、Amazonアソシエイトが表示されなくなったという記事をよく見かけますが、リンク先をhttpからhttpsに書き換えることで対応可能です。

3.FacebookやTwitterなどのソーシャルプラグインのカウントがリセットされる
SSLの設置前は、各プラグインとの紐付けがhttpで始まるURLで設定されています。
SSLを設置すると、httpsとなるためゼロから認識されることとなります。
各プラグインもアップデートが進みこういった問題への対応も進んでくると思われます。

4.Search ConsoleやGoogleアナリティクスの再登録が必要となる
ソーシャルプラグインの例と同様に、SSLの設置前はhttpで始まるURLにSearch ConsoleやGoogleアナリティクスが紐付けされています。
再登録を行うことで、SSLが設置されたことをGoogleへ通知することができるため、忘れずに行いましょう。
SEOに影響します。

お手軽SSL「Let’s Encrypt」

SSLサーバ証明書取得には費用が発生するとお伝えしてきましたが、無料で取得できる「Let’s Encrypt」というサービスが最近流行っています。

最後にこちらをご紹介して終わりたいと思います。

無料で利用できるわけ

「誰でも信頼された証明書を無料で取得することができ、インターネットを利用する全てのユーザーに安全なWeb体験を提供する」ことを目的に、ISRGという公益法人が無料でサービス提供を行っています。

仕様

「Let’s Encrypt」にて取得できるSSLサーバ証明書の種類はドメイン認証型のみとなっています。

上でもお伝えしたように、証明書の信頼度は最も低いものですが、暗号化の機能は企業認証型やEVと違いがないため、とにかくお手軽にSSLの設置（通信の暗号化）を行いたい場合にオススメです。

他に特徴的なのは証明書の有効期限が90日間に設定されていることです。

一般的な証明書の有効期限は1年以上ですが、「Let’s Encrypt」では万一のトラブルに備え、被害を最小限に抑えるためこのような仕様となっています。

証明書の更新に手間りそうなな印象を受けますが、自動更新の仕組みもあり安心です。

インターネットインフラサービスを提供するさくらインターネットでは、より簡単に「Let’s Encrypt」を利用できるサービスも提供されているようなので、SSLの設置が難しい場合は検討してみてもいいかもしれませんね。