御社Webサイトが常時HTTPS化を検討するために知っておくといい2017年の状況まとめ
今日は、サイトの「常時HTTPS化」について。あなたのサイトは、常時HTTPS化しているでしょうか。もし検討すらしていないようなら、この記事の内容をチェックして、常時HTTPS化するべきか検討してみてください。
常時HTTPS化(AOSSL)とは?
念のために解説します。「常時HTTPS化(Always On SSL、略してAOSSL)」とは、WebサイトのコンテンツをすべてHTTPSで提供することです。
技術的には、HTTPSには以前は「SSL」と呼ばれる暗号化通信の仕組みを使っていましたが、いまは「TLS」が主流です。しかし、過去からの流れで「SSL化」と表現することは多いです。
ただし、HTTPSの「S」はSSLではなく「Secure(安全な)」の意味ですね。
サイトをHTTPS化すると、一般的には次のようなメリットとデメリットがあります。
- HTTPS化のメリット
ブラウザが正しい相手(Webサーバー)と通信していることを確認できる
→ ミスや攻撃で不正なサーバーに接続し、ユーザーが間違った情報を得たり、カード情報や個人情報などを不正な相手に送信してしまったりすることを防げるWebサーバーとブラウザの間での通信内容が暗号化され、経路の途中で中身を盗み見たり改ざんしたりすることができなくなる
→ ページ内の情報が正しい状態を保証できる。また、ユーザーが送るクッキーの内容を途中で盗まれることを防げる
- HTTPS化のデメリット
- サーバー証明書のコストがかかる(無料の証明書もある)
- Webサーバーに正しくサーバー証明書を設定しておく必要がある
- Webサーバー側での暗号化などの設定は複雑なので、適切に設定しないと、逆にセキュリティ上のリスクが増えたり、接続できないデバイスが出たりする
- ブラウザ側・Webサーバー側ともに暗号化・復号にともなう処理が必要になる
ご覧になってわかるように、メリットは主にサイト訪問者が得るもので、サイト運営側はコスト(直接原価・工数)増などのデメリットのほうが多く見えます。
そのため、これまではフォームページやログインページなど必要最小限な範囲でしかHTTPSを利用してこなかったのが現実です。
常時HTTPSサイトがどんどん増えている現状
しかし、グーグルが常時HTTPSを推奨したこともあり、いまではすべてのコンテンツをHTTPSで提供するサイトがどんどん増えています。
たとえば、こんな感じです。
- 国内初! アメブロが HTTPS 移行を大英断
- Yahoo!ニュースが常時HTTPS化。pixivとBASEも
- クックパッドがHTTPS化を完了。レシピサイトになぜHTTPSが必要なのか?
- 楽天・はてなブログなど、日本でも大手サイトが続々と常時HTTPSへ
そして、ついにグーグル検索結果の1ページ目に表示されるページの50パーセント以上がHTTPSページになっているとのことです(2017年4月時点)。
なぜ常時HTTPSの流れが?
では、なぜ常時HTTPS化するサイトが増えたのでしょうか?
その背景にある大きな理由は、グーグルがHTTPS化を推奨し、検索順位の決定にHTTPSかどうかを考慮するようになったことでしょう。
順位決定の要因とはいっても、現時点では実際にはかなり影響度は小さいようですが、それでも気にはなりますよね。また、今後いつ非HTTPSなサイトの順位が大きく下げられるとも限りません。
では、なぜグーグルはHTTPS化を推進しているのでしょうか。
それは、公衆Wi-Fi(公衆無線LAN)の普及などでセキュリティリスクが高まっていることが大きいと思われます。
技術的な細かい解説は避けますが、会員制サービスにログインしている状態を管理しているクッキーを盗み見られたり、中間者攻撃というものでページの内容を改ざんしたりということが、公衆Wi-Fiでは比較的やりやすいんですね。
そうした環境で、Webサイトを通じてユーザーに安心して情報を提供するには、HTTPS化しないとよろしくない ―― グーグルは、そうした判断でHTTPS化を推進しているのだと思われます。
主要ブラウザも「HTTPSが基本」の方向へ
そして、ChromeやFirefoxといった主要なブラウザも、HTTPSに対する姿勢を変えています。
これまでは
- HTTPが基本、HTTPSは特別にセキュリティ重視
というものだったのですが、すでに
- HTTPはセキュリティが甘い状態、HTTPSが基本
という考え方に舵を切っています。
そのため、いまは非HTTPSページではログインフォームなどに警告が表示されるようになっています。
この流れは、今後さらに加速していきます。最終的には、フォームなど何もない通常のコンテンツを表示するときにでも、HTTPSになっていなければ「このページは安全ではない」「保護されていない通信」と表示されるようになる予定です。
フィッシングサイトはいち早くHTTPS対応を進めている
こうしたブラウザの流れに対応してか、フィッシングサイト(詐欺サイト)はHTTPS化をいち早く進めています。
Netcraft社の調査によると、前述のようなHTTPページに対する警告が実装されたFirefox 51やChrome 56がリリースされて2か月程度で、フィッシングサイトのHTTPS化率がそれまでの3倍弱に増えたそうです。
HTTPS化しないと利用できないものも
また、HTTPS化推進にともない、新しい便利な技術を使うのにHTTPSを前提とするようになってきています。
代表的な例が、「Service Worker」です。これは、Web上でスマホアプリのような仕組みをつくってUXを改善する「PWA(Progressive Web Apps)」や、ユーザーがブラウザでそのページを開いていなくてもお知らせを届ける「ウェブプッシュ通知」を支える技術なのですが、HTTPSによるページ提供を原則としています。
また、ページ上の画像やCSSなども含めてサーバーからの転送を効率化するHTTP/2も、現在はHTTPSを前提としています。
ただし注意点も
ただ、単純にHTTPSにすればいいかというと、そうではありません。
まずチェックすべきなのは、WAF(Webアプリケーションファイアウォール)ですね。あなたのサイトでも、おそらくセキュリティを確保するために何らかのWAFを使っていると思います。
そのWAFがHTTPSに対応しているかの確認が必要です。
ユーザーのプライバシー確保のためにHTTPSにしたせいで、サーバーへの攻撃対策が甘くなってしまっては本末転倒ですからね。
また、前述のHTTP/2に関しても、WAFが対応してなければ利用できませんから、HTTPS化とともにHTTP/2化を考えている方は、その点もあわせてチェックしておくべきでしょう。
以上、常時HTTPS化するサイトが増えている背景と、そのメリットやデメリット、さらには検討する際に考慮すべき点などを解説しました。
すべてのサイトが常時HTTPS化すべきだとは言いません。しかし、あなたのサイトではどう考えるべきか、こうした情報をもとに判断してみてくださいませ。
ソーシャルもやってます!