サイトの常時SSL化、お済みですか?
皆様、自サイト、ブログ、会社のHPの常時SSL化はお済みでしょうか。
私はサイト、ブログ、共にSSL化完了しております。
はてなブログも、今月に入ってやっと独自ドメインのSSL化に対応しましたので、早速設定しております。
既に多くの方は対応済みかと思いますが、まだまだ未対応の会社様も多いようです・・・。
なんと、私が行政書士として所属する支部のサイトも未対応でした・・・。
今回は注意喚起を兼ねて、SSL化の必要性と、私のわかる範囲での設定方法をご紹介したいと思います。
SSL化とはどういうこと?
そもそもSSLって何?
SSLとは、Secure Socket Layerの略です。
インターネットでの情報を送受信する際に、データを暗号化するプロトコルです。
プロトコルという言葉も聞きなれないと思いますが、「ルール」だと思ってください。
「送受信する情報を暗号化するルール」
このプロトコルが使用されているかどうかは、ブラウザのURLを見ればわかります。
当ブログであれば、"https://www.co-idealblog.com/~"となっていますよね?
この「https」という表示があれば、プロトコルが使用されている、SSL化されていると判断できます。
このSSL化ですが、呼び方もいろいろで、「HTTPS化」と言われたりもします。
はてなブログでは「HTTPS配信」と表記されております。
専門的な用語を使うのを避けているのだと思いますが、やることは同じです。
共有SSLと独自SSL
レンタルサーバーでSSL化する場合、簡易な共有SSLと、独自SSLを選べる場合があります。
本当は独自SSLを入れるのがセキュリティも高いのですが、共有SSLでも問題ないと思います。
後に書きますが、このSSL化は、セキュリティ対策が主目的ではありますが、もう一つの理由があります。
そのため、SSL化している場合としていない場合は、下記のようなイメージになります。
独自SSL>共有SSL>>>越えられない壁>>非SSL
まだ自サイトが非SSLであれば、SSL化 することをお勧めします。
SSL化はなぜ必要なの?
では、SSL化がなぜ必要なのか、少し詳しく説明いたします。
まずはセキュリティの向上
先に書いた通り、SSL化とは、送受信されるデータを暗号化するものです。
何気なくホームページを閲覧していても、色々な情報を送り、送られているものです。
暗号化されていない情報は、ちょっと悪意を持ったユーザーがちょめちょめすれば、情報を盗聴されてしまいます。
その盗んだ情報が、もし暗号化されていなかったら?
そのまま読めてしまいますね…。
でも、暗号化されていたのなら、解読するのはまた一苦労です。
ChromeでのURL表示
今巷でSSL化が叫ばれている大きな理由は、これでしょう。
現在、世界で最も使われているブラウザは、Googleが提供しているChromeです。
そのGoogleが、ChromeでのURLの表示について、以下のようなアナウンスをしております。
端的に言えば、SSL化されていないサイトは、「保護されてませんよ!」と、表示されてしまうということ。
具体的な表示例を…。
まずはSSL化されたサイトを開いたときのURL欄です。
何の問題もありませんね。
では、SSL化されていないサイトの表示を。
はい、ビックリマークが出てきました。
でも、これだけならまだ気に留めないかもしれません。
では、このSSL化されていないサイトで、フォームに文字を入れると…。
「保護されていません」と、明確に表示されてしまいます。
これでは、ユーザーは入力を躊躇してしまいますよね。
もしネットでの買い物やプレゼントの応募、申し込みの為に個人情報を入力仕様として、この表示が出たらどうでしょう。
企業のサイトや、行政書士のサイトでこのような表記が出たら、私はその会社や士業さんに依頼したいとは思いません。
もちろん、その会社や士業さんが普段から情報をぞんざいに扱っているとは言いません。
でも、残念ながら、現代ネット社会におけるリスクには対応できてはいないと、言わざるを得ないでしょう。
Google検索での優先表示
最後に、おまけのようなものですが、SSL化しているサイトは、Google検索で上位表示されやすくなるそうです。
明確に、はっきりとした効果があるというわけではないようですが、一応、公式なアナウンスでもあるようです。
今は公開していないようですが、「Googleの10の事実」として、Googleはユーザー志向である旨も宣言されております。
SSL化してセキュリティを高めることは、間違いなくWebを閲覧するユーザーにとって大切なことですので、そういったサイトを優遇することは理解できますよね。
SEO対策の一つとして、多少でもメリットがあるのであれば、ということですが、それ以上に上の二つの理由から、やらない手は無いでしょう。
SSLの設定方法は?
ここからは、当ブログと、私の事務所サイトで行ったSSL化について、やり方を簡単に説明します。
説明というか、ここから設定できますよ~というだけですが。
はてなブログをSSL化(HTTPS配信)する。
まずははてなブログから。
本当に簡単なので、画像一枚でどうぞ。
ログイン後のダッシュボード画面から、
設定>詳細設定>HTTPS配信
この項目を「有効」にするだけ。
ただし、一度設定すると元には戻せません。
一度設定してしまえば、元に戻す理由などないと思いますが、スターの数などがリセットされてしまうので、そこだけ理解して有効にしてください。
ロリポップ(レンタルサーバー)でSSL化する。
ロリポップは、国内有数のレンタルサーバー会社ですね。
事務所のサイト(未完成)は、このレンタルサーバーに置いてあります。
こちらもユーザーページがあり、簡単に設定が可能です。
ログイン後の画面から…。
セキュリティ>独自SSL証明書導入>無料独自SSLを設定する
と進んでいき…。
SSL化したいドメインを選択するだけです。
上の画像はすでにSSL化済ですので、まだの方は少し表示が異なります。
いずれにしても、特段の知識がなくても、ぽちぽちクリックしていくだけで完了します。
他のレンタルサーバーについてもググってみましたが、概ね変わりはないようです。
難しいことではないので、お休みの日にでもサクッと済ませてしまいましょう。
まとめ的なもの。
テレビや新聞でも、大手企業が何万人もの顧客データを流出させてしまったというニュースを目にします。
大手の場合、件数が膨大でニュースのインパクトも大きいですが、中小企業であっても、個人情報の流出にはもっと敏感になったほうがよいのではと思っております。
新しいものはちょっと…とは言っていられない時代です。
新しく出たものが10年、20年続く時代であれば、それでもよかったのかもしれませんが。
今は、1年2年すれば、次の新しいものが出てきますし、5年も経てば全く様変わりしてしまう時代です。
適応できない人、企業から、淘汰されていくということも、よく胸に刻んでおかなければなりません。
さて、ここまで書いておいて、 SSL化されていないサイトをあーだこーだ言っておいて、実は私がサラリーマンとして勤めている会社のサイトは…まだだったりします…。
なんということでしょう…。
早々に提案し、手配し、さくっと完了させてしまおうと思ってはいますが。
支部のサイトについても、支部の役員の方に一報入れてみようかと考えております。
多くの場合、設定はそれほど難しくはありませんし、メリットに比べてほとんどデメリットもありません。
めんどくさいくらい?
ですので、周囲でまだSSL化されていないサイトやブログを見かけたら、啓蒙していきたいと思います。