保護された通信?HTTPとHTTPSの違いや、常時SSLのメリットとは
最近ブラウザーの「Google Chrome」で、ウェブサイトを閲覧していると、アドレスバーの左側に「保護された通信」と表示されるようになりました。しかしサイトによっては、表示されなかったり、社名のようなものが表示されていたり、これってどういうことなの。今日はそんなお話です。
HTTPとHTTPSの違い
サイトのURLには、http://~で始まっているものと、https://~始まっているものがあるのを意識されたことはありますか。サイトによっては、httpのページと、httpsのページが混在しているものもあります。
今「Google Chrome」で「保護された通信」と表示されているページの共通点は、URLが「https」から始まっているというところです。ではなぜhttpsであれば「保護された通信」になるのか。まずはそこから説明します。
「保護された通信」と表示されたアドレスバー
URLがhttpから始まる場合「HTTP」という通信プロトコル(通信方法)を利用します。このプロトコルは「ブラウザーから送ったリクエストに対して、サーバーがレスポンスを返す」というとってもシンプルなもので、例えば以下のようなイメージです。
あなたがブラウザーのアドレスバーにURLを入れてEnterを押す→ブラウザーからサーバーにこのURLの情報をくださいというリクエストが送られる→サーバーはそのリクエストに応えてHTMLや画像データなどをブラウザーに返す→ブラウザーはそれを受け取って処理し、あなたのPCやスマートフォンなどの画面に表示する。
このHTTPがブラウザーとサーバー間の通信プロトコルとしては今まで主流でした。
しかし、外出先でもインターネットを利用する人が増え、公共Wi-Fiなどの安全性の低い無線LAN接続を通してインターネットを利用することも多くなっている今、ブラウザーからサーバー、サーバーからブラウザーへデータを受け渡している途中で、悪意ある他者にデータを盗み見られたり、アクセスIDが改ざんされる可能性があるなど、「セキュリティ上の問題」が懸念されるようになりました。
そこで注目されたのが「HTTPS」です。HTTPSは、上で説明したブラウザーとサーバーとのやりとりを、SSL(Secure Socket Layer)というデータを暗号化する通信プロトコルを利用して行います。(※現在はSSLを元に標準化されたTLS(Transport Layer Security)がSSLの最新版として使われているため、SSL/TLSまたはTLSと言われることもあります。)
SSLにより通信することで、ブラウザーとサーバー間を行き来するデータを、当事者以外には意味の通じない形式に変換して通信することが可能です。つまり、データが送受信される過程で第三者がそのデータを横から盗聴することはできず、当事者のみデータの内容を確認することができるようになります。
これで「Google Chrome」ではhttps:// でアクセスされるURLの左側に、「保護された通信」と表示している理由がおわかりいただけるのではないでしょうか。
では「保護された通信」と表示されず、このページのようにURLの横に社名や組織名のようなものが表示されている場合ですが、これもURLの先頭がhttps://であることからわかるように、SSLで通信しています。SSLで通信していることに加えて、「シックス・アパートが運営しているサイトに間違いありません」ということを示すために、ドメインの所有者の確認と企業の登録をしているため、企業名が表示されています。
アドレスバーに「Six Apart Ltd.[JP]」と企業名が表示されている
企業名が表示されることで、このサイトが「シックス・アパートが提供している本物のサイトである」ということを証明できるため、閲覧者に、より通信の安全性を示すことができます。
HTTPSに対応することで閲覧環境をセキュアにできると言っても、今もHTTPのサイトは残っていますよね。「Google Chrome」がアドレスバーに「保護された通信」と強調して表示するようになったのも2017年になってからのことで、今まではHTTPSでアクセスした場合、現在の「Internet Explorer」などと同じように、鍵マークが小さく表示されているだけでした。では、どうしてはっきりとHTTPSの安全性を強調するようになったのでしょうか?
変わるHTTPSへの認識
HTTPSの技術自体は10年以上前から普及していて、これまでは「個人情報や他者に漏れてはいけない情報を送信するようなページに適用する」という考え方が一般的でした。そのためトップページやFAQのページはhttp://~だけど、名前やメールアドレスを入力するログインページはhttps://~というサイトは今も見かけます。
しかし今、フォームやログイン画面といった一部のページのみHTTPSにするのではなく、ウェブサイト全体をHTTPSにする動きが出てきています。このサイト全体をHTTPSに対応することを、「常時SSL」といいます。
常時SSL化とは、ウェブサイトのすべてのページへの通信をHTTPS化すること。
「SSLでセキュアに通信できることはわかっていても、どうしてウェブサイト内すべてのページをhttps://~にする必要があるんだろう?」「サイトにアクセスするだけで、盗まれてはいけない大事な情報がやり取りされるものなのかな?」と思いますよね。これには、セキュリティに関わることと、それ以外の要因があります。
要因その1:「守るべき情報の範囲が拡大している」
今や名前や住所といった情報だけでなく、「このページを見た人が次にどこをクリックしたか」「どんなキーワードで検索しているか」といった個人の趣向や行動が把握できるような情報も、保護すべき対象であるという考え方が認知されてきています。こういった情報も守ることで、閲覧者が安心して利用できるセキュアなサイトとなるため、常時SSL対応は注目されています。
要因その2:「ウェブページの表示速度の改善」
今まではHTTPSは暗号化する分、HTTPよりも通信効率が悪く、ブラウザーでの表示速度が遅くなってしまうという認識がありました。しかし今はHTTPSを利用した場合、多くのブラウザーで通信効率の良い「HTTP/2」というプロトコルが利用できるようになっています。こうしたデメリットの払拭により、HTTPSは更に前向きに捉えられるようになりました。
要因その3:「サイト解析の精度向上」
自分のサイトがHTTPのままで、アクセス元(流入元)がHTTPSだった場合、リファラ情報が送信されず、アクセス元や検索キーワードを取得することができません。一瞬、「http://~のサイトもまだ多いから大丈夫」と思ってしまいそうになりますが、検索エンジンとして主流なGoogle(co.jp)は既にSSLに対応していますし、Yahoo!もSSL化を進めています。ということは、自分のサイトがHTTPSに対応していない場合、SSLに対応した検索エンジンからのリファラが引き渡されず「検索キーワード」を把握することができません。HTTPSに対応していれば、HTTP、HTTPSどちらでアクセスされてもリファラを取得できるため、これはマーケティング目線でも大きなメリットです。
要因その4:「SEO対策」
“常時SSL SEO” などで検索すると、「GoogleがHTTPSをランキング シグナルに使用すると公式に発表しました」と書いて、Googleの公式ブログをリンクしている記事がでてきたりします。この記事を読んでみると、“ グローバルでクエリの 1% 未満にしか影響しませんが、これから長い期間をかけて強化していきます。” ということで、現時点ではHTTPSに対応しているかどうかは重要な判断基準ではないようですが、HTTPSがHTTPよりも高く評価されることは間違いありません。Googleはユーザー エクスペリエンスを重視していて、HTTPSに対応することは、そのユーザー エクスペリエンスのひとつであるということからも、HTTPS対応にはメリットがあると言えます。
「保護された通信」常時SSLに対応するためには
では、ウェブサイトの常時SSL化を進めるためにはどうすれば良いかですが、通常「常時SSL」に対応するには、SSLサーバ証明書の発行が必要です。証明書は無料のものや有料のものがありますが、どれも有効期限があり、有効期限が切れると閲覧者が見ているページにエラーがでてしまうため、更新メンテナンスも欠かせません。
MovableType.net でウェブサイトを構築・管理する場合は、設定画面よりHTTPS対応機能を有効にするだけで、常時SSL化が可能です。追加の費用は必要ありません。また、MovableType.net の標準のドメインである *.movabletype.io はもちろん、独自ドメインで運用しているサイトにも適用でき、SSL証明書の更新はシックス・アパートが行うため、面倒なSSL証明書の更新作業を気にすることなく利用できます。
構築したきりメンテナンスできずそのままになっている企業サイトやホームページなど、常時SSL化も簡単、サーバー管理・インストール作業も不要な MovableType.net をぜひご検討ください。
サービス紹介動画(※音付き、2分30秒)
常時SSL対応のための作業は、CMSやサイトの構築方法によって異なるかと思いますが、https://のサイトの中にhttp://の画像やファイルが入っていると、ブラウザ側で「Mixed Content」の警告がでてしまったり、連携しているサービスも設定や登録しているURLを変更する必要があったりと、気をつけるポイントは複数あります。抑えておくべきポイントをいくつか以下の記事でご紹介していますので、ぜひこちらもご参照ください。
最後はやや宣伝ぽくなってしましましたが(笑)以上、HTTPとHTTPSの違いと常時SSL化のメリットのお話でした。
MovableType.net 活用ブログでは、MovableType.net の新機能の使い方や、ウェブサイトの構築・運用に役立つTIPSを紹介しています。公式Facebookページにて更新情報をお届けしていますので、いいね!やフォローをしていただくと、
「トフでもできる!?テーマ開発講座」
こんな方におすすめ
・MovableType.net のベーステーマをもっと自由にカスタマイズしたい
・MovableType.net でカスタマイズしたテンプレートを汎用的に使えるようにテーマ化したい
・これから Movable Type をはじめてみようと思っている