WEBZINNE

website-securityのサムネイル

ウェブサイトのセキュリティ

いまでは必須!Webサイトの常時SSL化のすすめ

WEBZINNEトピックス編集部のアイコンWEBZINNEトピックス編集部

公開日:2019年11月29日

かつては「個人情報を扱うサイトだけSSL化すれば良い」と思われていたサイトの常時SSL化ですが、いまでは常時SSL化はサイト運営の必須項目となりつつあります。

常時SSL化することのメリット

Google SEOで優遇される

GoogleはサイトのSSL化を推奨していて、SSLサイトかどうかをGoogleの検索アルゴリズムのランキングシグナルに使っていることが明言されています。

SSL化サイトがどれくらい優遇されるかというのは具体的にはわかりませんが、ランキングへの影響はほんのわずかでしょう。それでもSSL化するだけランキングシグナルにプラスの影響を与えるのであれば、サイトを常時SSL化しない理由はありません。

HTTP/2でサイトが高速化

現在、多くのサーバーで導入が進められているHTTP/2という新しい通信方式。HTTP/2は、これまでのHTTP/1.1とは違い、同じサーバーから複数のリソースを同時並行で取得できるようになるのが大きなメリットです。

従来使われてきたHTTP/1.1では、ウェブサーバーに対して原則1つずつしかリクエストを送ることができません。たとえばウェブページに表示する画像が2つあったとして、1つ目の画像を読み込み終わってから、ようやくもう1つの画像を読み込み始めるということです。

一方、新しく登場したHTTP/2では、複数のリクエストを同時に処理することができます。先ほどの例にあてはめると、仮にウェブページに2つの画像があれば、その2つを同時に読み込むことができるわけです。これにより通信の効率が改善し、ウェブページの読み込みが早くなります。

【図解】HTTP/2って?HTTP/1.1との違いと導入メリット・課題まとめ | カゴヤのサーバー研究室

しかし、このHTTP/2は、ブラウザ側の仕様で「HTTPS通信でしか使えない」という制限があります。つまり、サーバー側がHTTP/2に対応していても、サイトが常時SSL化されていないと、HTTP/2では通信ができないのです。

通信環境が飛躍的に進化したことで、サイト内での画像ファイルなどのコンテンツのサイズや量が増える傾向にあり、さらにサイトのSPA化や様々な外部ライブラリの読み込みで、現在のサイトは同時並行で多くのファイルを読み込んでいます。

こうした中で、HTTP/2通信ができる常時SSL化はサイトの高速化にも寄与してくれると言えます。

常時SSL化しないことのリスク

かつては、個人情報を取り扱わないサイトではSSL化はいらないとも言われてきました。というのも、通販サイトや会員サイトでない場合、Webサイトが扱う個人情報の量が非常に少なかったことと、サイバー犯罪が今ほど高度化されていなかったからです。

しかし、現在ではそうした個人情報保護の理由以外でも、常時SSL化しないことのリスクが出てきています。

Chromeバージョン68から非SSLサイトでは警告表示

現在、PC向けブラウザでマーケットシェア1位のGoogle Chromeでは、バージョン68から非SSLサイト(HTTP)サイトを開くと警告が表示されるようになりました。

【SSL化必須】Chrome「全HTTPサイトに警告表示」でどうなる?2018年7月開始 | カゴヤのサーバー研究室

サイトを閲覧できないわけではありませんが、ブラウザのアドレスバーに「保護されていません」と表示されるため、たとえ個人情報を扱っていないサイトであっても、ユーザーにマイナスの印象を与えてしまいます。

混在コンテンツ(Mixed Content)がブロック対象に

SSLページの中に、非SSLコンテンツ(画像やCSSなど)が混在しているページのことを「混在コンテンツ(Mixed Content)」と言います。こうしたコンテンツがある場合は、常時SSL化とは言えません。

混在コンテンツページは、かつて非SSLでサイトを運営していて、常時SSL化した際などによく出る現象で、原因の多くは「リンクの書き換え漏れ」です。

特に多くのページを持つサイトは、全部のページで「http://」を「https://」に書き換えるのが大変な作業になってしまうため、サイトはSSL化したけれども、ページに中身はそのままということがあります。

しかし、Google Chromeはこうした混在コンテンツを表示させない方向にアップデートしていきます。

ChromeがMixed contentの段階的なブロック強化を開始!詳細や対応方法とは? | さくらインターネット

ページがブロックされるというわけではなく、あくまでページの中の非SSLコンテンツをブロックするだけなのですが、だましだましそのままにしていたページも、今後はしっかりと常時SSL化を進めていく必要があるでしょう。

SSL化サイトの優遇から非SSLサイトの除外へ

このように、Webサイト運営者にとって、Webサイトの常時SSL化は、もはやマストとなったと言えます。

無料SSLのLet's Encryptの登場で、サイトの常時SSL化が誰にでも簡単にできるようになったため、Googleなどのブラウザ側もより非SSLサイトを締め出しやすくなったという背景もあります。

かつては「SSL化しておけばSEOにちょっと有利かも?」と言われていた時代から、「SSL化しないと不利になる」、非SSL除外の時代へと進んでいると言えるでしょう。

時代の流れが変わっている以上、今からでもWebサイトの常時SSL化を進めておいた方が良いと言えます。

「ウェブサイトのセキュリティ」の記事