Google透明性レポートでHTTPS通信比率見たら、常時SSL化みんな結構頑張ってるんじゃない?と思った件

今年に入って、本当にたくさんお客様と話しをしてきた常時SSL化。

機密情報の送信を行うページだけ暗号化すれば良いという旧来のSSLの常識は捨てサイト全域を暗号化することで、利用者の閲覧行動を含めて守る(閲覧している内容を傍受されたり、その閲覧行動の流れ…セッションを乗っ取られたりする危険性から守る)事が出来る、簡単なセキュリティ対策が常時SSL化です。

  • サイト運営者はみんなヤラなきゃしょーがない問題なんですよー
  • 今すぐやっとけば「さすがっしっかりしてる会社ですね」と先行者利益を得られる期間が長くなる
  • 対応出来ないまま放って置いたら「あ〜ぁ、このサイトダメだね」ってレッテル貼られるようになる

自分から案内をしてしまうと、根本を理解していただく以前に、セールスに対する拒否感として、「うちはまだいいよ…」という方もいらっしゃいました。

まぁそういう方もいらっしゃるでしょう。でも少なからず関わっているお客様サイトが、「安全でないサイト」と判定されてしまうのはとっても嫌なのです。

なので少しでも速く正しい判断をしていただくために、今の状況を客観的に見てもらおうと思います。

今年に入ってHTTPS化はものすごい勢いで伸びています

つまり、競合他社はすでに正しい判断を下し、実行しているんです。

下の画像は世界で使われているChromeユーザーによるHTTPS利用率の動き。


出典元:Google 透明性レポートHTTPS に関する報告

一番底辺を走っているグラフが、セキュリティ対策を怠っている我が国ニッポンwww

その平和ボケ感はおいておいて、閲覧するウェブページのHTTPS対応がどんな風に進んでいっているか、常時SSL化浸透の流れが読み取れるわけですが、今年に入ってかなりの勢いで伸びていますね。

1月からChromeで「安全でない通信」表記警告が始まり、3月にFirefoxがそれに追随しました。
巨大なPVのあるYahoo!JAPANが全てのサービスで常時SSL化完了したなどもありますが、ブラウザによる警告表示が契機になって多くの企業サイトが対応を急いだ結果と思います。

自分もウェブ制作にたずさわる人間として、啓蒙活動〜SSL化対応実施まで、この2〜3ヶ月は随分とこのグラフ上昇に貢献しました(笑)

当社でサイト保守をさせていただいているお客様サイトについては、ほぼ目処がつき、あとは10月に無料独自SSLが利用開始となるHETEMLのお客様のサイトを残すのみです。

ここ数年でSSL証明書の費用も市場価格は急激に下がりましたし、ここ数ヶ月で無料独自ssl(let’s encrypt)に対応してるレンタル・サーバもどんどん増えました。

有名所としてはかなり前から対応していたエックスサーバーやファーストサーバのZenlogic、小規模なサイトにおすすめしている「ロリポップ」も、7月頭に無料SSLに対応しましたし、Value domainのコアサーバーなど、各サービスも8月頭に無料SSL対応のアナウンスがありましたね。

ウェブ業界全てが安全なインターネットを作ろうと動いている感が凄いっす。

それでもまだ、「うちはまだいいよ」とか言い続けますか?

では、もう一つ。Google先生からのご伝言です。


▲クリックで拡大

2017 年 10 月より、ユーザーが Chrome(バージョン 62)で HTTP ページのフォームにテキストを入力すると、「保護されていません」という警告が表示されるようになります。また、シークレット モードを使用している場合は、HTTP ページにアクセスするだけで「保護されていません」と表示されます。

貴サイトでは、たとえば以下に示す URL に、Chrome の新しい警告が表示されるテキスト入力フィールド(< input type="text" >、< input type="email" > など)が見つかりました。これらの例を参考にどのページで警告が表示されるかを確認し、ユーザーデータを保護するための措置を講じていただきますようお願いいたします。なお、下の URL の一覧は、すべてを網羅したものではありませんのでご注意ください。

とのこと。次のX-Dayは10月です。そして

長期的には、HTTP で配信されるすべてのページを「保護されていません」と明示することを計画しており、この新しい警告はその一環です。

と。

これが本質ですね。

みなさまの町でも子どもたちを守るために、標語がいたるところに貼られてりしますよね。
インターネット上でも、「安全でない通信」って書いてあるサイトは危ないので利用しないでくださいって、安全ボケしている我々にブラウザが教えてくれてる様になるんだという事。

暗号化されていない状況でサイト公開するなんて無責任なサイト運営者だな、って思われる様になる。

そんなレッテルを貼られるまえに、素早く判断し、対応を急いて下さいねー(;´∀`)