当サイトは、Amazon.co.jp の商品を宣伝することにより、紹介料を獲得できる Amazon アソシエイト・プログラムの参加者です。
当記事に Amazon へのリンクが含まれている場合、それをクリックし買い物をすると、当サイト(および当サイト管理人)に対して一定の収益が発生します。
発生した収益の一部は、持続的なサイト維持のために使用されます。
ちなみに下記リンクをクリックし Amazon内で何かしら買い物をしていただくと、当サイト内で紹介した商品以外の購入でも収益は発生します。
もし「ブログの内容が役になった」「記事のおかげで助かった!」といった方は上記リンクをクリック頂き、Amazon内で買い物をしていただければ幸いです。
悩ましいのは、協力頂いた皆さんには持続的なサイト維持以外何の見返りもないということです。せめて皆さんから頂いた額を見て、ブログ読者の方への感謝の気持ちを忘れぬよう日々努めます。
先月だけで5件ほどSSLに関するトラブルシューティングに携わりました。基本的に自分の関わっているサイトの多くは常時SSL化を既に導入しているのですが、更新忘れ、設定漏れでサイト全体やサイトの一部が HTTPS 化されなくなってしまっており、クライアントに連絡を入れいずれも対応してもらうなどしました。
SSL が切れてしまうと、例えば Google Chrome で特定のサイトを閲覧した際に URL 箇所に「保護されていない通信」と表示されるようになります。特に Google Chrome のセキュリティレベルによっても変わってくるのですが、最悪の場合「この接続ではプライバシーが保護されていません」と表示され、それ以降サイトに進めなくなってしまいます。
接続しているネットワーク環境の問題でもこの警告が表示されることがあるのですが、SSL 関連のトラブルで上記のような警告が表示される場合、被害は甚大です。オーガニック流入や広告流入によって発生していたコンバージョンや売り上げが減少するだけではなく、ブランドイメージの毀損すら招きかねません。この記事では SSL について、SSL 化されていないリスクについて正しく理解することの重要性について解説していきたいと思います。
目次
そもそもSSLとは何か?
まずそもそも SSL とはなんなのでしょうか。
まず SSL とは Secure Sockets Layer の略であり、インターネット上で安全にデータを送受信するための約束事(プロトコル)です。データの送受信を行う際にそのプロトコルにしたがってデータの送受信をソフトウェアを使用し実施します。大抵の場合は Open SSL というソフトを使用します。※1
そして「SSL化=HTTPS化」ではありません。FTP や SMTP とも組み合わせて使われることが多いプロトコルになります。SSL を組み合わせて使うことで通信が暗号化されて保護されることがSSLの主な役割になります。そのため「SSL=HTTPS」ではなく「HTTPS はあくまでもSSLが機能している一側面でしかない」という認識が正しいのです。※2
※1,2『SSLをはじめよう ~「なんとなく」から「ちゃんとわかる!」へ~ はじめようシリーズ』参照
SSLのこれまでの話
現在では常時 SSL 化(別名:常時 TLS 化、フル SSL 化、AOSSL )Web サイトの大半を占めており、有名企業の Web サイトやネットサービスの大半は SSL 化されています。 しかし元々は大抵の Web サイトは SSL 化されておらず、ここ5年ほどで大手サイトを含め個人ブログまでもSSL化する流れとなりました。元々は個人情報入力ページやクレジットカードの入力ページだけをSSL化しているところが多く、今ほど必須ではありませんでした。※3
しかし2014年頃から Google が「HTTPS everywhere」を提唱し、オーガニックのアルゴリズムで HTTPS 化されている Web サイトを優遇する旨を発信した他、2018年からGoogle Chrome で HTTPS 化されていないサイトを閲覧すると「保護されていない通信」と表示されるようになったため、個人ブログであってもHTTPS 化を進めるところが一気に増えました。※4
※3,4『SSLをはじめよう ~「なんとなく」から「ちゃんとわかる!」へ~ はじめようシリーズ』参照
SSLが不十分なケース
SSL 化が正常にされれば Google Chrome 上で URL バーに「保護されていない通信」と表示されなくなり、通信上のトラブルも起こり得なくなります。しかし SSL が不十分なケースは多々存在します。そう言った場合は URL バーに「保護されていない通信」と表示されますし、セキュリティ設定によってはサイト閲覧に支障が生じます。
SSLが不十分なケース(1)更新切れ
まずよくあるのが SSL の更新切れです。自動更新設定にしているところも多いはずですが、期限を忘れてしまっているケース、支払いに使用しているカードの更新を忘れていてしまっているケースなどが発生した場合 SSL の有効期限が切れてしまい、結果 SSL 化されなくなることがあります。
SSLが不十分なケース(2)設定漏れ
トップページだけ HTTPS 化されていて他のページを設定漏れしてしまっていたり、広告のランディングページだけ HTTPS 化していて他のページが設定されていなかったり、特定のカテゴリー(お客様の声や Q&A など)だけ設定されていなかったりするケースも存在します。初期設定時に確認は必須です。
SSLが不十分なケース(3)画像が http://〜 から始まるケース
ページそのものは SSL 化されていても、ページ内の画像やリンクが SSL 化されておらず、それが原因で「混合コンテンツ」扱いになるケースが存在します。「混合コンテンツ」となると URL バーに「保護されていない通信」と表示されてしまいます。
結論として何が言いたいかと言えば…
まず一番大事なのは HTTPS 化がされていないとセキュリティ面で様々なリスクがあるということです。ここには詳しく記載しませんでしたが HTTP のままですとWi-Fi スポットなどでセッションがハイジャックされる恐れがある他、サイトにアクセスした人が様々なリスクに晒されることになります。
次に重要なのが HTTPS 化がされていないと、コンバージョン率に影響が出るということです。URL バーに「保護されていない通信」と表示されるだけではなくセキュリティレベルによっては「この接続ではプライバシーが保護されていません」と表示され、それ以上サイトを見れなくなってしまうこともあります。これはサイトにとっても、サイトを運営している組織・企業にとっても大きくマイナスです。またオーガニック面においても相対的に HTTPS 化されていないことで不利になっていくことが想定されます。SSL 化は安ければ年間1,000円程度で可能です。しっかりと設定をしましょう。
そして最後に抑えておくべきことが、SSL 化されているからと言ってそれで OK ということではないということです。上記「SSLが不十分なケース」で述べた通り、SSL 化していたとしてもヒューマンエラー、ケアレスミスで正しく機能しない事態が想定されます。特に金融や個人情報を取り扱うセキュリティレベルの高さが要求されるサービスはもちろんですが、それ以外のサイトなどでも定期的に確認するなどの取り組みが必要です。
