WebサイトのURLを見ると、http://〜で始まるURLとhttps://〜で始まるURLのサイトが存在します。みなさんはこの2つのサイト、何が違うかわかりますか?
2つの違いを説明する前に、まずは前提知識としてhttpについて説明します。
目次
インターネットの通信規則http
httpとはHyperText Transfer Protocolのことで HyperText(ハイパーテキスト)とはWeb上にある文書(インターネット上の情報というイメージ)のことです。
Web上のハイパーテキストはリンク(正式にはハイパーリンクと呼ばれています)によって結びついているのは、みなさんもご存知の通り。
インターネットで情報を検索するということは、このハイパーテキストを取得しようとする一連の行為をさします。つまり、インターネットユーザーからの「ハイパーテキスト(情報)をちょうだい」というリクエストに対して、「どうぞ」と情報を返すことにより、インターネットの仕組みが成り立っているということができます。
このやりとりをするためにいくつかの「お約束」がもうけられています。それがProtocol=プロトコルです。
つまり直訳すると
httpとは
HyperText=インターネット上の情報を Transfer=転送(取得)するための Protocol=決まりごと
もう少しわかりやすい言葉で例えるなら、「(インターネットの)通信規則」と言い換えることができます。
なるほど、Web上にある全ての情報(サイトやページ)のURLの先頭には必ずhttpが付くことが理解できます。全ての情報のやりとりは決まりごとにしたがっているということになります。
ここで、「決まりごと」というとわかりにくいかもしれませんが、
例えば、会話では、同じ言語で話して初めて会話が成り立ちます。
つまり、インターネット上での通信を会話に例えるならば、決まりごと(プロトコル)は言語です。
このように、何らかしらの決まりごとをもうけない限りコミュニケーションが成立しません。
そのため、インターネットの世界でもプロトコルというかたちで決まりを設けています。
言語が一緒で初めて会話は成立する
ではhttpに対して、httpsの語尾加わるsは?となりますが、sはSecure、つまり「安全な」という意味を持ちます。
つまり、sが付いているかどうかで
その通信規則が安全か安全でないかということがわかります。
SSLとかTLSとかよく聞くけど、それってなに?
さて、ここからが本題です。インターネット上の通信規則には安全なものとそうではないものがあるということを説明しましたが、ではどのようにその安全を保つかというと、それは暗号化です。
決まりごとによってやりとりされるインターネット通信ですが、どうしても、第三者がその通信を「傍受」する可能性が生じます。個人情報の漏洩がニュースになるなんてことがよくありますよね。
このため、誰かに通信の内容を「傍受」されても問題ないように、通信内容をあらかじめ暗号化するという技術が生まれました。これをSSLと呼びます。
SSLとはSecure Sockets Layerのことで、Socketとはサーバーやプログラムとネットワークを繋ぐための接続口を示します。
つまり、イメージとしては「安全な(状態が保たれた)プログラムとネットワークの接続口」と訳すことができます。
また、SSLはTLS(Transport Layer Security)とも呼ばれ意味はSSLと似たものだというのは理解いただけるかと思います。というのも、実は、SSLのVer.3.0以降をTLSと呼んでいます。つまり、両者はイコールと考えて問題ありません。
この、SSL/TLSによって通信が暗号化されたサイトやページに対しのみ、前述のhttpsが割り当てられます。逆に、httpは、通信の暗号化が行われていないサイトということになります。
クレジットカードなどの個人情報は特に狙われやすい
SSL/TLSの目的と種類
SSL、TLSはともに通信の安全を高めるためのものですが、安全な状態でないと、具体的にどんな危険があるのか整理してみましょう。
- ①データの盗聴(例:クレジットカード番号などの本人しか知り得ない情報が漏洩)
- ②データの改ざん(例:ネットショッピングなどで商品を購入する時など、注文数などを書き換える)
- ③なりすまし行為(例:架空の会社やサイトを築き、金銭や個人情報などを不正に取得する)
といった危険が生じます。
SSLやTLSは専門の認証機関や一部のレンタルサーバーなどに用意された無料(有料)オプションによって設定を行うことが可能です。サイトに対しSSL/TLSを設定すると、電子証明書が発行され、そこに、暗号化に必要となる鍵や認証機関の署名、そして、サイトの所有者に関する情報が記されます。
また、SSL/TSL化には3段階の認証レベルがあり、認証レベルが上がるとSSL認証書の記載内容もより詳細になります。
つまり、認証レベルにより、そのサイトやページの信頼度が上がる仕組みなっているため、それにあわせ、認証の際の費用も高くなります。
※上記費用は認証機関に委託した際の相場価格となります。
前述の通り、SSL/TSLを設定する方法は、専門の認証機関に依頼するか、レンタルサーバー内の無料(有料)オプションで設定するなどの方法があります。サーバー内のオプションでSSL/TLS化する場合のメリットはずばりコスト。より手軽に安く行うことができます。
ただし、そのほとんどが認証レベルの中では最も低い、ドメイン認証が主流です。
これに対し、認証機関にてSSL/TLS化を行うと、企業実在認証やEV認証が可能になりますが、クレジットカード情報などの重要機密情報を取り扱うようなサイトでない限り、ドメイン認証で必要十分というのが当社の見解です。
ちなみに東日印刷は、エックスサーバーというレンタルサーバーを利用しており、SSL/TLSも同サーバーの無料オプションで対応しています。また、このエックスサーバーはCMSなど動的サイトとの相性も良いため、制作でもおすすめしています。
SSL/TLS認証の確認方法(東日印刷の場合)
SSL/TLSがSEO(検索エンジンへの最適化)に及ぼす影響について
T-NEXTではサイトのリニューアルを希望され、https化を行なっていないお客さまには、リニューアルを機にSSL/TLSへの対応をおすすめしています。
httpからhttpsに変わるということはURLが変更になるため、タイミングとしてサイトリニューアルを機に行うのがベストだと考えています。(もちろん、SSL対応のみのご依頼も承ります。)
サイトリニューアルにおいては、デザインの刷新、スマートフォンなどモバイル端末への対応をはじめ、企業の取り組みや、業界内でのポジショニングによるコンテンツの見直しやテコ入れ、サイト構成など情報のグルーピングの見直しなど様々な改善を行いますが、それらは全てSEO(検索エンジンへの最適化)を意識したものです。
つまり、検索ユーザーの立場に立ち、サイトの改善を行います。
ですから、個人の情報とも密接に関わるWebサイトでは、セキュリティも重要な課題になります。
ちなみに、SEOでは、SSL/TLSはどのように捉えられているのでしょうか?
みなさんもご存知、世界の検索エンジンの8割のシェアを持つ最大手Googleは、2014年8月に、ウェブサイトがhttpsかどうかを検索順位の決定要因にすることを発表し、すべてのWebサイトに対してhttpからhttpsへの切り替えを推奨しました。
そして、翌2015年12月には、同じような内容のコンテンツでhttpページとhttpsページが存在する場合、httpsページを優先的にインデックスするというアナウンスを行なっています。
つまり、SSL/TLSはSEOにおいて重要な要素と捉えることができます。
また、それにあわせGoogle Chromeは、httpサイトへの警告表示を強化。
2017年の段階で、httpサイト内でもID・パスワードやクレジットカード番号の入力するためのフォームがあるページでデータ入力が行った際にのみ表示していた警告が、今では、httpサイトである場合、全てのページにおいてアドレスバーの左に「保護されていない通信」と表示するようになりました。
このような流れからもSEOの世界では、サイト全体の通信が保護されている状態(これを常時SSL化と呼びます)を良しとする傾向にあることが理解できます。
SSL/TLSが行われていない場合
東日印刷サーバー内のテスト環境より
まとめ
「他社がやっているから」「Webのトレンドとして」「SEOを意識して」など、サイトをSSL/TLSへの対応には様々な理由があると思いますが、最大の理由は、何と言ってもWebサイトにアクセスしてくるユーザーの安全確保。
Webサイトが名刺や会社案内の役目を果たし、会社の顔と言っても過言ではない現代社会において、SSL/TLSに対応していないがために「この会社大丈夫?」などという印象をユーザーに与えてしまうとしたら、それは非常にもったいないことです。
何もSSL/TLSに限ったことではありませんが、Webサイトをユーザー目線で構築することは、ユーザー目線でものを考える企業、つまり、ユーザーにとって優しい会社であるというブランドイメージにつながります。
SSL/TLSへの対応がまだだという会社のみなさんには一刻も早く常時SSL化されることをおすすめします。