今日は、当サイトの長年の懸案だった常時SSL化が意外に簡単にできちゃった、という話。
なお、技術面の深い話はよく知らないし苦手なので、本稿は指南書ではありません。「こういうやり方もあるよ」くらいの乗りで書きますので、期待しないで読んでいただければこちらも安心です(笑)。
前編は、自分の勉強を兼ねて「SSLとは?」のあたりを少々。
1.SSL/TSLとは…
さて、そもそもSSL(Secure Sockets Layer)とは何なのでしょう。
SSLとは、インターネットなどのTCP/IPネットワークでデータを暗号化して送受信するプロトコル(通信手順)の一つ。
データを送受信する一対の機器間で通信を暗号化し、中継装置などネットワーク上の他の機器による成りすましやデータの盗み見、改ざんなどを防ぐことができる。
簡単に言うと、インターネット上のブラウザ〜サーバ間での通信やデータのやり取りを暗号化して、セキュリティを向上させる仕組みのことです。
SSLと併記されることがあるTLS(Transport Layer Security)はSSLの後継規格で、実は現時点で実際に普及しているのはTLSの方だそうです。
「SSL/TSL」や「TSL/SSL」などと並べて書かれるのは、SSLという名称がすでに一般化しているための便宜的な措置とのこと。
交通信号の進めは、実際には緑色●なのに「青●は進め!」と言っているようなものですね(ちょっと違う?笑)。
2.ページをSSL化すると(しないと)どうなる
SSL化されたWebページは、URLが「http://」ではなく「https://」で始まり、ブラウザによっては鍵(南京錠)マークが表示されます。
これは訪問者目線では、まず視覚から安心感を持ってもらえるでしょう。
一方、SSL化されていないページでは、ブラウザのアドレスバーに「安全ではありません」(Safari)とか「保護されていない通信」(Chrome)などの不穏なメッセージが時には赤文字で出て、訪問者に大なり小なり警戒心を抱かせるような仕組みになっています。
実際に受け手側が危機に晒されるかどうかは別にして、ブラウザ上に「このページ、ひょっとしたら危ない?」と思わせるネガティブなサインが出れば、発信側は訪問者数、クリック数、滞在時間に影響すると考えなければなりません。
主要なWebブラウザーでは、「http」のWebサイトを表示する際、アドレスバーに警告が表示されることがあります。
GoogleやYahoo!JAPANといった検索ポータルサイト、TwitterやFacebook、InstagramといったSNSもユーザー保護の観点から常時SSL化されています。
日本の政府機関においても、情報セキュリティ対策を規定する「統一基準」の見直しが進んでおり、政府機関の全Webサイトの常時SSL化が義務化される見通しです(2018年5月時点)。
3.常時SSL化とは…
Webサイトの個々のページすべてをSSLで暗号化して、サイト全体のセキュリティを向上させることを常時SSL化といいます。
常時SSL化されると、当然ですが全てのページのURLが https:// で始まるようになります。
実はSSLの黎明期には、Webサイト内のログインページ、決済ページ、フォーム画面(名前や電話番号、カード情報などを入力する画面)だけをSSL化して保護するのが一般的でした。
盗まれたり改ざんされたりすると危険な情報を入力する画面に限っていたのは、実用化初期には当然の発想と言えるでしょう。
それが、ネットの普及、発展と世の中のセキュリティ志向の高まりとともに、2010年代半ばから「サイト全体をSSL化したい」という要求や気運が高まり、現在では「SSL化」と「常時SSL化」は、ほぼ同義と言っても良いような状況になっています。
◆Web担当者Forum/Webサイト全体HTTPS化(常時SSL)の流れはもう止まらない
◆(株)日本レジストリサービス/常時SSL化で押さえておきたいメリットとデメリット
4.常時SSL化の歴史
ここでちょっと歴史を振り返っておきます。
SSL(/TLS)化は1995年頃に実用が始まり、Webサイト側では最初は先述のように一部の画面だけに適用されていました。
- 1995/03:Netscape NavigatorにSSL2.0が実装された
- 1999/01:SSL3.0の後継規格TSL1.0がリリースされた
- 2006/04:TLS 1.1がリリース
- 2008/08:現行規格であるTLS 1.2リリースされ現在に至る
そして、現実的にSSL化の旗振り役になっているGoogleは…
- 2012/03:Google検索サイトを常時SSL化
- 2012/09:ChromeがTLS1.1対応に
- 2014/08:検索アルゴリズムにhttpsサイトを優遇するロジックを実装
- 2017/10:Chrome62からSSl化されていない入力フォームページに警告表示を開始
- 2018/02:Chrome68から全てのhttpサイトに警告を表示すると発表
常時SSL化を推進している企業のひとつがグーグルだ。冒頭に述べたように、2014年8月からHTTPS Webサイトの順位を優遇するロジックを実装している。
出典:Web担当者Forum
この警告が表示されないようにする方法は1つしかありません。サイト全体をSSLに対応(常時SSL化)させることです。
出典:カゴヤのサーバー研究室
ここにもGoogleの力が影を落としていたというのが正直なところで、帝王という言葉が現実のものとして迫ってきます。
5.当サイトはhttpを放置状態だった
さて、自宅PCのSafariで当サイトを表示させたときに、アドレスバーに「安全ではありません」と出るのをだいぶ長いこと放置していました。
SSL化することでそれが解消できてセキュリティも向上すると知ってはいましたが、サーバー側の変更作業や証明書云々という煩わしい作業がMUSTということで、知識や技術の不足もあってなかなか踏み出せなかったのです。
それが、最近になってWordPressの場合はプラグインを使えば簡単に常時SSL化できる、しかも無料の方法もあると知り、思わず膝を叩いて即実行したという次第。
根がせっかちなんですよね(笑)。
・・・ということで勉強だけで長くなりました(古い情報ばかりで呆れられているかも)ので、2/2実践編へと続きます。