常時SSL
SSLは、以下のようにブラウザーのアドレスバーに安全なサイトとして鍵のマークが表示される。この鍵マークが、サイト内の全ページで確認できることを常時SSLと言っています。
| ブラウザー | HTTPSのアドレスバーの状態 |
|---|---|
| Chrome |  |
| Edge |  |
| Firfox |  |
| Opera |  |
| Safari |  |
常時SSLとは
Webサイト内のお問合せページ等、顧客情報を登録しリクエストを投稿する際暗号化(HTTPS化)に用いるSSLをWebサイト全体に行うことです。
SSLは暗号化の鍵
SSLは、インターネットが普及する中で、従来GETメソッドでリクエスト(要求)とレスポンス(応答)で始まった通信手続きを秘匿性の高いPOST方式なども採用し進化を遂げてきましたが、悪意あるユーザーが「ナリスマシ」や盗聴などを行える通信方法でした。
そこで通信自体を暗号化し、安全で安心できる通信環境を確立するために登場した暗号化プロトコルで、暗号化用の鍵を使った通信方法をするためのプロトコルです。
はじめは、SSLというプロトコルでしたが、現在ではTLSというプロトコルを使って暗号化をしています。依然からの名残で暗号化を総称してSSLと言ってますが、厳密にはTLSプロトコルによる暗号化です。
常時SSL化の背景
モバイルの普及と同時にSNSに代表されるユーザー投稿型のWebアプリケーションも増え続けています。これらのWebアプリケーションは、ユーザーアカウントを登録し、ID/Passwordでログインすることで個人を特定し、コミュニケーションを取るためのツールです。
この様なアプリでは悪意あるナリスマシなどで個人情報を盗まれることが有ります。ユーザーに安心で安全な環境を提供するためにSSLは必須で、サイト全体で常に暗号化するニーズも高まりました。
この流れの背景にはHTTP/2などのWebの安全性向上及び速度向上の機能が普及したことも要因です。その流れは一般サイトでも常時SSLで安全安心を確立することが、スタンダードな仕様となってきました。
主要ブラウザーも非SSLサイトにアクセスすると、警告を出したり、検索ロボットも、常時SSLサイト(HTTPS)をランキングシグナルに使用すると発表しました。
なぜ常時SSLなのか
常時SSL化にGoogleも動きだした
Google ウェブマスター向け公式ブログ 2014年8月7日木曜日 HTTPS をランキング シグナルに使用しますセキュリティは Google の最優先事項です。Google は、デフォルトで強力な HTTPS 暗号化を導入するなど、業界でも最先端のセキュリティを Google サービスに導入することに力を注いでいます。これにより、たとえば Google 検索、Gmail、Google ドライブを使用しているユーザーは自動的に、Google に安全に接続することができます。Google は、Google のサービスだけにとどまらず、より広い範囲でインターネットを安全に利用できるように取り組んでいます。そこで大きな割合を占めているのは、ユーザーが Google から安全なサイトにアクセスできるようにすることです。たとえば、Google ではウェブマスター向けにハッキングの対策や修正方法について詳しい情報を提供するサイトを作成しました。Google ではさらにもう一歩踏み込んで、数か月前の Google I/O では、「HTTPS everywhere」をウェブで提唱しました。
HTTP/2とSSLによる高速化
モバイルユーザーによるネット利用シェアは拡大の一途を辿っています。これに伴い、Webアプリケーションも双方向通信を利用するサイトが増えてきています。
Webアプリケーションの多くは、テキストや画像などのデータを投稿する仕組みを使います。これを帯域の狭いモバイル環境で利用するには少しでも高速化で快適に使えることが望まれます。HTTP/2とSSLによるHTTPS環境は、モバイルユーザーには嬉しいサイトの高速化にも貢献する仕組みだと言えます。
高速化は、HTTP/2と常時SSLによるSPDYプロトコルによって実現できます。このため常時SSLにはWebサーバーもHTTP/2化する必要が有ります。
常時SSLにすると
SEO対策に効果
Googleは、ランキング アルゴリズムでのシグナルとして、暗号化された安全な接続をサイトで使用しているかを考慮に入れたテストを実施してきました。この実験ではよい結果が得られているため、ユーザーがもっと安全にサイトを閲覧できるよう、すべてのサイト所有者の皆様に HTTP から HTTPS への切り替えをおすすめしたいと考えています。
遠からず、常時SSLサイトでなければ検索結果に反映されない時代になりそうな発表です。
アクセス解析の必需品
Google Search Consoleでのアクセス解析には、リファラーという何処からリンクを辿ってページに到達したのか!という情報があります。
アクセス改正の際、役立つ情報の一つです。このリファラーが、非SSLサイトからの場合(direct)/(none)となり、参照元を追跡できないんです。
これも、Googleが常時SSLを標準規格と考え非SSLサイトからの情報を取得しないための問題です。
サイト運用には欠かせないサイトアクセス解析にも常時SSLは必要不可欠の要素になっています。
常時SSLのまとめ
もはや常時SSLは必須
サイト全体をSSLで暗号化することは、もはや必須要件となってきました。
常時SSL化もモバイルユーザーの拡大とともにWeb機能を生かしたアプリケーションへのアクセスにおける安全性や速度への課題解決に有効なことからGoogleなども必須に要件化につながる動きを加速させています。
ビジネスサイトを運用する場合、Webアプリケーションの有無を問わず、常時SSLによる全ページをHTTPSで公開しなければ、ユーザーアクセスを期待できなくなる可能背が高まっています。
ユーザー エクスペリエンス
Googleが重視するユーザー エクスペリエンス(UX)は、ユーザーが如何に楽しんでくれるか、心地よい体験をしてもらえるか、このためにHTTP/2+常時SSLが大前提となります。
言い換えれば、ユーザー エクスペリエンスを提供できるサイトとしてのコンテンツの拡張や機能の拡張を行う上で、ホスティング環境とは、HTTP/2+常時SSLを含む環境が前提となる。
今後ますます、ビジネスにおけるインターネットの活用は進み、モバイルの普及による利用頻度も向上する時代となります。ユーザー エクスペリエンス(UX)による顧客接点を拡大し顧客の顕在化にも活用できる条件が揃ってきました。ぜひWebサービスの配信環境に必要最低限の体制で臨んでください。