WEBサイトを常時SSL化。WordPressでのSSL導入メリット・デメリット、注意点など
-
-
-
-
-
Copied!
個人のコンテンツ化やDeNA事件により、「情報」の価値や信憑性がますます淘汰されつつある昨今。WEBサイトという情報コンテンツも当然のことながら見直され、サイトを管理するCMSやお客様情報をやり取りするメールフォームなど、安心・安全なデータやり取りが求められています。
サイト全体をhttps(暗号化通信)にし、第三者によるデータの“盗聴”や“改ざん”を防ぐことができる「常時SSL」化。
セキュリティが高くなるだけではなく、実際にどんな効果があるのか? 自分のサイトには必要なのか? メリット・デメリットは? ・・・と、SSLとWEBサイトの様々な関係性を解説していきます。
常時SSL化(https)とは
常時SSL化とは、URLが「http」ではなく「https」から始まり、全てのページをhttps(暗号化通信)にするという事です。
これによりログイン情報や決済情報、Cookieへの不正アクセス(盗聴)を防止することができます。
さらに認証レベルを上げることで疑似サイトやフィッシングサイトへの誘導を防ぐことが可能になります。
Google Chromeがhttp(非暗号化)ページを警告表示
Google Chromeでは個人情報やパスワードを入力するページで、httpsに対応していないページの場合、「保護されていない通信」という警告をアドレスバーに表示させ、利用者に注意喚起を行っています。
「独自SSL」と「共有SSL」の違い
本題の前にSSLには独自ドメインに対して、SSLサーバー証明書を設定できる「独自SSL」と、サーバー会社が取得代行したSSLサーバー証明書を利用する「共有SSL」が存在します。
独自SSL
- 1つのドメインに対し、専用のSSLサーバー証明書を使う
- 年間数千円~数万円、運用コストがかかる
- 身元証明ができるサイトシールを利用できる
- 更新手続きが必要
- サイトの信頼性をより効果的にアピールできる
共有SSL
- 1つの証明書を複数人で分け合って使う
- 無料、もしくは数百円で利用可能
- サイト所有者の身元保証がされない
- 更新手続の必要なし
- フォームや個人情報入力画面でURLが変わってしまう
「独自SSL」「共有SSL」共に、どちらも情報を暗号化する機能は存在しますが、共有SSLでは「同サーバー利用者によるCookieの盗聴」が問題視されることもしばしば。
セキュリティ向上のためにSSL化を検討しているのに、結果盗聴されてしまうのは本末転倒なため、企業として信頼を得るためのSSL導入であれば「独自SSL」を推奨します。
常時SSLのメリット
情報に対する“セキュリティ”が向上する
暗号化通信なので、会員登録の個人情報や決済画面でのクレジットカード情報などを守ることができます。
WEBサイトで言えば、CMS(WordPress)のログイン情報の盗聴などもSSLによって防ぐことができます。
サイト・企業の“信頼性”が上がる
SSL化する場合、第三者機関のSSL認証局より「SSLサーバ証明書」の発行が必要となります。証明書にはいくつか種類がありますが、SSLサーバ証明書はブラウザで確認することができるため、ユーザーにとってはサイトを通じて企業を信頼するひとつのきっかけになります。
WEBサイトの“SEO”に効果的
Googleはランキングシグナル(検索順位決定要因)にhttpsを使用すると公式に発表しています。
httpsをランキング シグナルに使用します。
出典:Googleウェブマスター向け公式ブログ
ただし、httpsの配信が全体ではなくページ単体とのことなので、実際のところSSL化によって“劇的”にSEOが変動するとも言いづらいところはあります。
Googleのアルゴリズムは数多く存在するため、あくまで1つの要因と捉えることが大切でしょう。
常時SSLのデメリット
運用コストの増加
セキュリティが向上し、WEB上での信頼性が上がるわけですから、もちろんコストはかかってきます。
WEBサイトの種類や用途によって無料のものから年間10万程度のものまで幅広くあります。
1サイトにつき1つの証明書が必要なため、複数サイトを運営している場合には、サイトの数だけ必要になります。
導入・設定には専門的な知識が必要なのもあり、このあたりが導入障壁になるかもしれません。
アドセンス広告収入の減少リスク
Google Adsenceでは以前SSL化したサイトのコンテンツに対し、以下のような注意点を設けていました。
SSL 対応の AdSense 用広告コード
https対応サイトでは、広告を含むページ上のすべてのコンテンツがSSLに準拠している必要があります。そのためAdSenseでは、https対応ページに掲載する広告を決めるオークションから、SSL非準拠の広告を除外します。
サイトをhttpsに対応させることを検討している場合は、オークションからSSL非準拠の広告が除外されることによって、オークションの競争率が低下し、HTTPページに広告を掲載する場合よりも収益が低下する可能性があることに注意してください。
出典:Google AdSense ヘルプ
…が、現在では
サイトをhttpsに対応させることを検討している場合は、オークションからSSL非準拠の広告が除外されることによって、オークションの競争率が低下し、HTTPページに広告を掲載する場合よりも収益が低下する可能性があることに注意してください。
↓↓↓
また、同じ広告がオークションで競合するため、サイトをhttpsに変更しても、多くのユーザーに表示される広告やオークションの競争率に影響はありません。ただし、httpsトラフィックが遮断されたり、阻害されたりする国のユーザーのみ例外です。
出典:Google AdSense ヘルプ
と変更され、一般的なサイトであれば広告収益が低下する可能性は低いと考えられます。
ソーシャルボタンのカウントがリセットされる
URLが「http」から「https」に変わるので、Facebook・twitter・はてブなど、記事単体(URL)に付随したいいね!などのアクションカウントが0になってしまいます。
Googleアナリティクス、Google Search Consoleにて再設定が必要になる
SNS同様、GoogleアナリティクスやSearch Consoleでも「http」と「https」は別のサイト扱いになるため、再登録の必要があります。
SSLの種類
サイトの常時SSL化にはサーバ証明書が必要になります。
SSLサーバ証明書には、認証レベルとして「ドメイン認証(DV: Domain Validation)型SSLサーバ証明書」「企業認証(OV: Organization Validation)型SSLサーバ証明書」「EV(Extended Validation) SSL証明書」の3種類が存在します。
セキュリティを証明するものなので「何を基準に」証明するかで種類が異なります。
SSLサーバ証明書の種類と比較|シマンテック
| ドメイン認証SSL | 企業認証SSL | EV SSL | |
| ドメイン使用権の認証 | 〇 | 〇 | 〇 |
|---|---|---|---|
| ウェブサイト運営団体の 実在性を認証 | × | 〇 | 〇 |
| 個人による取得 | 〇 | × | × |
| アドレスバーに組織名表示 | × | × | 〇 |
| フィッシング詐欺対策 | × | 〇 | ◎ |
| 信頼性 | ★ | ★★ | ★★★ |
出典:SSLサーバ証明書の種類と比較|シマンテック
ドメイン認証SSL
「このドメインは信頼できます」と証明するための認証で、3つの認証レベルの中で、もっとも手軽な認証方式です。
手続きも簡潔で料金が安く、個人や企業など関係なく誰でも登録することができる特長があります。
ただし個人や企業ではなく、ドメインのみの証明のため、情報の信頼度としてはあまり高くありません。
企業認証SSL
その名の通り、企業・団体のみが登録できる認証方式で、ドメインの持ち主であると同時にサイト運営の実在性を認証します。
手続きには企業の「登記証明書」が必要になり、資料の照らし合わせや電話確認など、一定水準の審査が設けられています。「企業が個人情報をどう活用するのか」を明確にすることができるため、決済にて情報を取得したり顧客情報を収集する際には欠かせないでしょう。
EV SSL
3つの認証レベルの中で最高ランクの「EV(Extended Validation) SSL」。
審査も厳しく、費用も年間十数万円〜になりますが、ブラウザのアドレスバーに「企業名+国のイニシャル」を表示でき、フィッシング詐欺の強化に最適です。視覚的に暗号化されたサイトであることをアピールできるため、信頼性が最も高めやすくなります。
SSLサーバ証明書:料金比較
SSLサーバ証明書の発行には料金がかかります。
以下、各認証局の料金比較です。
※料金はすべて2017年4月現在のものになります
※1年契約料金、すべて税抜き
シマンテック
| 証明書 | 認証レベル | 定価 |
|---|---|---|
| セキュア・サーバID | ★★ | ¥81,000/年 |
| セキュア・サーバID EV | ★★★ | ¥162,000/年 |
出典:SSL証明書の比較|シマンテック
グローバルサイン
| 証明書 | 認証レベル | 定価 |
|---|---|---|
| クイック認証SSL | ★ | ¥34,800/年 |
| 企業認証SSL | ★★ | ¥59,800/年 |
| EV SSL | ★★★ | ¥128,000/年 |
出典:SSLサーバ証明書価格表|グローバルサイン
ジオトラスト
| 証明書 | 認証レベル | 定価 |
|---|---|---|
| クイックSSL プレミアム | ★ | ¥31,300/年 |
| トゥルービジネスID | ★★ | ¥55,000/年 |
| トゥルービジネスID with EV | ★★★ | ¥115,200/年 |
出典:製品・価格の一覧|ジオトラスト
サイバートラスト
| 証明書 | 認証レベル | 定価 |
|---|---|---|
| Sure Server | ★ | ¥75,000/年 |
| Sure Server EV | ★★ | ¥150,000/年 |
出典:SSL証明書 SureServer 製品ラインアップ|サイバートラスト
ラピッドSSL
| 証明書 | 認証レベル | 定価 |
|---|---|---|
| ラピッドSSL | ★ | ¥1,500〜/年 |
出典:RapidSSL|SSLストア
結局、どこの認証局が良いの?
認証レベルも3段階存在し、認証局自体も「シマンテック」「グローバルサイン」「ジオトラスト」「サイバートラスト」「ラピッドSSL」と、多く存在します。
ウイルス対策ソフトで有名な「Norton(ノートン)」や大手ネットバンクもシマンテック(旧ベリサイン)を採用し、国内で言えばグローバルサインがシェアNo.01であったりと、各認証局とも認知度やブランド力によって選考基準が異なります。
先日こんなニュースが取り上げられました。
Google Chrome でシマンテック (旧ベリサイン) 発行 SSL 証明書の有効期限が強制的に短縮されたり、EV (拡張認証) が無効になるかもという話|WWW WATCH(2017年3月28日)
要するにシマンテック発行のSSL証明書がブロック(無効・期間短縮)されるかも、とのこと。
さすがに“一網打尽でごっそり”というわけにもいかないと思いますが、ジオトラストやラピッドSSLもシマンテック傘下にあるため、現在利用中・導入を検討されている方は、調査する必要があるでしょう。
有効期限にご注意!
SSL証明書には有効期限が存在します。中小企業の場合、SSL期限を管理するアカウントマネージャーを誰に設定するのかも問題になってきます。
せっかくのセキュリティ強化も、有効期限切れでは意味がありません。
また通常、設定コストを考えると長期間の証明書を取得するわけですが、「所在地」「社内セキュリティのコンプライアンス」等の変更により再取得を余儀なくされるケースもあります。
証明書の有効期限には、手間やコスト・トラブル低減などのメリットを比較し、検討するようにしましょう。
WordPressで構築したサイトの常時SSL化は?
WordPressで構築したサイトをSSL化の場合、パスの引き渡しを「http」から「https」に変更する作業が必要になります。
またアドレスが変わるため、別サイト扱いになるので、301リダイレクトを行うなどし、検索エンジンの評価を引き継ぐことが重要になります。
この辺りは構築設計によって左右することもあるため、一度自社サイトの構造を確認してみましょう。
まとめ「SSLの導入はWEBサイトのリニューアルと併せるべき」
WEBサイトの存在自体が、事業を統括する情報発信源であったり、新規サービスを強化するツールであったりする場合、サイトの常時SSL化は企業全体の方針にも関わってきます。運用コストがかかる分、導入には検討が必要ですが、セキュリティや個人情報の安心・安全が当たり前の今、サイトの常時SSL化のニーズは確実に高まっています。
導入のデメリットで挙げたように、常時SSL化によりアクセス解析やSNSをボタンなどには「再設定」が必要になります。常時SSL化への少しでも早い対応が、今後のWEB戦略において一歩抜け出せる存在と考えるほうが得策ではないでしょうか。
-
-
-
-
-
Copied!
この記事を描いたひと
企業のWeb担当者と制作会社の想いをつなげるメディア「untenna」の編集部。
- Copied!
