Google透明性レポートでHTTPS通信比率見たら、常時SSL化みんな結構頑張ってるんじゃない?と思った件

今年に入って、本当にたくさんお客様と話しをしてきた常時SSL化。

機密情報の送信を行うページだけ暗号化すれば良いという旧来のSSLの常識は捨てサイト全域を暗号化することで、利用者の閲覧行動を含めて守る(閲覧している内容を傍受されたり、その閲覧行動の流れ…セッションを乗っ取られたりする危険性から守る)事が出来る、簡単なセキュリティ対策が常時SSL化です。

  • サイト運営者はみんなヤラなきゃしょーがない問題なんですよー
  • 今すぐやっとけば「さすがっしっかりしてる会社ですね」と先行者利益を得られる期間が長くなる
  • 対応出来ないまま放って置いたら「あ〜ぁ、このサイトダメだね」ってレッテル貼られるようになる

自分から案内をしてしまうと、根本を理解していただく以前に、セールスに対する拒否感として、「うちはまだいいよ…」という方もいらっしゃいました。

まぁそういう方もいらっしゃるでしょう。でも少なからず関わっているお客様サイトが、「安全でないサイト」と判定されてしまうのはとっても嫌なのです。

なので少しでも速く正しい判断をしていただくために、今の状況を客観的に見てもらおうと思います。

今年に入ってHTTPS化はものすごい勢いで伸びています

つまり、競合他社はすでに正しい判断を下し、実行しているんです。

下の画像は世界で使われているChromeユーザーによるHTTPS利用率の動き。


出典元:Google 透明性レポートHTTPS に関する報告

一番底辺を走っているグラフが、セキュリティ対策を怠っている我が国ニッポンwww

その平和ボケ感はおいておいて、閲覧するウェブページのHTTPS対応がどんな風に進んでいっているか、常時SSL化浸透の流れが読み取れるわけですが、今年に入ってかなりの勢いで伸びていますね。

1月からChromeで「安全でない通信」表記警告が始まり、3月にFirefoxがそれに追随しました。
巨大なPVのあるYahoo!JAPANが全てのサービスで常時SSL化完了したなどもありますが、ブラウザによる警告表示が契機になって多くの企業サイトが対応を急いだ結果と思います。

自分もウェブ制作にたずさわる人間として、啓蒙活動〜SSL化対応実施まで、この2〜3ヶ月は随分とこのグラフ上昇に貢献しました(笑)

当社でサイト保守をさせていただいているお客様サイトについては、ほぼ目処がつき、あとは10月に無料独自SSLが利用開始となるHETEMLのお客様のサイトを残すのみです。

ここ数年でSSL証明書の費用も市場価格は急激に下がりましたし、ここ数ヶ月で無料独自ssl(let’s encrypt)に対応してるレンタル・サーバもどんどん増えました。

有名所としてはかなり前から対応していたエックスサーバーやファーストサーバのZenlogic、小規模なサイトにおすすめしている「ロリポップ」も、7月頭に無料SSLに対応しましたし、Value domainのコアサーバーなど、各サービスも8月頭に無料SSL対応のアナウンスがありましたね。

ウェブ業界全てが安全なインターネットを作ろうと動いている感が凄いっす。

それでもまだ、「うちはまだいいよ」とか言い続けますか?

では、もう一つ。Google先生からのご伝言です。


▲クリックで拡大

2017 年 10 月より、ユーザーが Chrome(バージョン 62)で HTTP ページのフォームにテキストを入力すると、「保護されていません」という警告が表示されるようになります。また、シークレット モードを使用している場合は、HTTP ページにアクセスするだけで「保護されていません」と表示されます。

貴サイトでは、たとえば以下に示す URL に、Chrome の新しい警告が表示されるテキスト入力フィールド(< input type="text" >、< input type="email" > など)が見つかりました。これらの例を参考にどのページで警告が表示されるかを確認し、ユーザーデータを保護するための措置を講じていただきますようお願いいたします。なお、下の URL の一覧は、すべてを網羅したものではありませんのでご注意ください。

とのこと。次のX-Dayは10月です。そして

長期的には、HTTP で配信されるすべてのページを「保護されていません」と明示することを計画しており、この新しい警告はその一環です。

と。

これが本質ですね。

みなさまの町でも子どもたちを守るために、標語がいたるところに貼られてりしますよね。
インターネット上でも、「安全でない通信」って書いてあるサイトは危ないので利用しないでくださいって、安全ボケしている我々にブラウザが教えてくれてる様になるんだという事。

暗号化されていない状況でサイト公開するなんて無責任なサイト運営者だな、って思われる様になる。

そんなレッテルを貼られるまえに、素早く判断し、対応を急いて下さいねー(;´∀`)

Google vs Symantecにプチ巻き込まれ

Google対Symantecの図式はもう数年来バチバチやってるようですが、「えぇ〜〜〜!?ヤバイじゃん!どうなんの?さすがにこの影響どんだけ広がるの?」と、ちょっと前に話題になっていた、Google ChromeでシマンテックのSSLサーバ証明書がそのうちエラーになるよ…の件、そろそろタイムリミットになってきたところで、自分も軽く巻き込まれ中です。

バチバチの経緯は割愛しますが、気になる方は、「Google vs Symantec」あたりでぐぐってみてください。

さてさて、本題に戻って、買収を続けてきたシマンテック傘下の認証局(ベリサイン、ジオトラスト、ラピッドSSL…)が発行している証明書のシェアは、全体の約30%ほどと言われていますので、影響の範囲の大きさがおわかりいただけると思います。

シマンテック系のSSL証明書を販売会社から購入したり、レンタルサーバ経由で導入したウェブ管理者の方々には、さすがにそろそろご案内が届いているのでは?と思います。見落としてないですか?

シマンテックのサイトに情報が良くまとまっているので引用しますと、

シマンテックのSSLサーバ証明書のうち、2016年6月1日より前に発行された証明書の一部を導入している場合、2017年8月8日以降リリースされるGoogle Chromeにおいて警告/エラーが表示される恐れがある。

複数年で購入して忘れてたなぁ…ってくらいの方がビンゴ。大丈夫ですか?

Googleの提案では、Chromeは2017年8月8日から段階的に2016年6月1日以前に発行されたすべてのSymantec、GeoTrust、RapidSSLブランドの証明書を警告/エラーの対象とすることを提案しています。
Google社の提案は現時点においても「提案」であり、Google社より実施について確定的な発表はありませんが、今回Google ChromeによるSSLサーバ証明書の警告/エラー表示と回避方法に関するメールを受信したお客様はGoogleの提案する警告/エラーの対象となる証明書をご利用のため、万が一この提案内容が実施された場合にも影響を回避いただけるよう、事前の対策として証明書の再発行および入れ替えなどの対応をいただくことを推奨申し上げます。

2016年6月1日以降に発行されたSSLサーバ証明書は対象ではありません。

出典:Symantec FAQ  Google ChromeによるSSLサーバ証明書の警告/エラー表示と回避方法について

証明書の更新はちょっと手間ですが、無償で更新が出来るはずです。自分はまた3年分無償で更新出来たのでちょっぴり得した気分にもなりますが、Google vs Symantecの図式がどうなるのか、というところで不安を感じつつ…。

まぁ本気でシマンテックの証明書を無効化してやろうなんてGoogleが考えているわけでもないでしょうしね。

対象者の方は忘れずに!!!

企業サイトの常時SSL化(AOSSL)はもう標準化すべき

あなたの会社のサイト 常時SSL化してますか?

常時SSL、してますか!?

セ○ムしてますか!?懐かしいですね。でもほんと内容はセキュリティの話なんで、こんなフレーズ、業界的に今年流行るんじゃね?なんて思っている今日このごろ。

先日、小規模サイトの常時SSL化の是非という記事を書いたのですが、ウェブ関係の方たちやお客様ともいろいろ話す中、我々がお手伝いしてサイト構築をするサイトは、これからはもう全て常時SSL化で行くべきでしょ!!そうでしょ!!標準化すべきでしょ!!という話になったので、もう一回AOSSLの話題を。

この記事で何が言いたいのか?

「企業なら常時SSL化しとかないとまずいでしょ!」の時代ついに到来。
我々制作側も今後お手伝いするサイトには標準対応していきます!

どんな方に読んでいただきた情報か?

・ウェブサイトを開設する全ての方
・会社組織のブランド、信頼性を守る立場の方

この記事を読むのに掛かる時間

おおよそ約5分で読めます。ぜひご一読くださいm(_ _)m

常時SSL(AOSSL)についてのおさらい

ブラウザのアドレスバーでご存知だと思いますが、http://ではなくて、https://となっている暗号化された通信を、常時行うのが、常時SSLです。

これまでの常識だと、コンタクトフォームやショッピングカートエリアなど、個人情報やクレジットカード番号など、機密情報を扱うページは暗号化して通信することで、盗聴されても解読できないように暗号化して安全を守るというものでした。しかしながらこの一部SSL化の場合、Cookieを始めとするサイトとユーザ間でやり取りされる情報を完全に守りきれているわけではありません。

もう少し噛み砕いて書くと、ユーザがサイトに訪れてからお帰りになるまでをセッションと呼び、セッションIDを振って管理していることが多々ありますが、暗号化しているページとそうでないページが混在する環境では、適切にこのセッションを管理していないと、第三者に漏えいし、セッションを乗っ取られてしまう事があるわけです。

また現在では、これだけ公衆無線LAN(フリーWi-Fi)スポットが充実し、Firesheep(同じフリーwi-fi環境に接続している他人のSNSアカウントなどのなりすましを可能にしてしまうツール)の様な専門知識を持たなくてもハッキングが出来てしまうアプリが誰でも使える状況になっています。あぁ恐ろしい…。

こうした不正アクセスに関して、あらゆる個人ユーザがしっかりと自分を守ろうという意識をもち対策できるとは思えないわけで、情報提供者側(ウェブサイト運営者)による対応が求めらているわけですね。

ウェブ制作会社こそ、お手伝いするお客様サイトの常時SSL化を推進すべき

昨日リノバスのラーメン大好きのぶやま社長と、この常時SSL化の話しをしていたところ、

我々がこれから開発・販売する車に、ABSもエアバックもついてないなんてありえない。標準装備しとかなきゃまずいでしょ!って事だね〜!

と、得意の超絶分かりやすい例えが出ました!!
(衝突回避システム、自動ブレーキ、歩行者検知…技術的にはこの辺が近いかも…常時SSL化。ってそこまでしっかり練らなくてもいいかwww 例えついでに言うと、バックアップを取らずにwordpressでサイト運用をされている方、それは無保険で車運転してるようなもんですよ!)

運転に不安のあるお客様が「自動ブレーキオプションつけるといくらですか?」と質問されるのと同様に、今年に入って「常時SSL化ってしたほうが良いですか?」「うちのサイトで”保護されていない通信”って出てるんですけど大丈夫でしょうか?」と質問されることが本当に増えてきましたが、普段から業界の技術的側面に触れ、サイト制作・構築を行う我々が先頭に立って、お客様のためになる事を推進していかなくてどうするんだ!という話になって然るべきと思うわけです。

車に例えたら、今どき安全対策してない新車を作りますか?売りますかってこと!

なぜなら、とてもコストパフォーマンスに優れたセキュリティ施策で、かつメリットはいっぱい、デメリットはあまり見当たら無いからです。

安全・安心を手に入れつつ、様々なメリットを享受。
構築作業も運用もミス無く行える

前回の記事でも書きましたが、2014年にGoogleが「httpsサイトをランキングで優遇しまっせー」と明言してから早3年、今年の1月にはChromeが、3月にはFirefoxが「HTTPサイトを安全でない!」と表示警告し始めました。もう待ったなしの状況になりました。

そんな折、SSL証明書の市場はどんどん低価格化が進んでいて、無料の証明書まで出てきており、選択の幅が広がりました。レンタルサーバーによってインストールできる証明書の縛りがあったりしますが、単にセキュリティ対策実務としてSSL化を!ということであれば、ドメイン認証という安価な選択で十分なわけですし、事業体によってサブドメインをたくさん使っていたり、複数のドメインを使っていたりする場合に対応するマルチドメインSSL証明書もあります。

その昔は「あぁこの問い合わせフォームのためだけに年間10万か〜…こっちのドメインのはレンサバの共用SSLで我慢だな…」なんて思われていた方も多いのではと思いますが、SSL証明書市場はずいぶんと変わりました。

「まぁうちの規模なら独自SSLはいいや」と済ませていた企業さんも、「wordpressで運用してるけどログインSSL化してないのずっと気になってたのよね…」というウェブ担当者さんも、今度こそ上層部にしっかりとSSL導入を強く打診スべきタイミングです。

また我々サイト制作や運営のお手伝いをする側にとってもメリットがあり、暗号化エリアとそうでないエリアをわけずに済みますから、それぞれを細かく絶対リンクで書いたり、設定情報を持ったりする必要がなくなり、作業・検証の手間も、ミスも減らすことが出来るわけです。

さらに、httpsサイトからhttpサイトへのアクセスがあった場合には、リファラー情報が引き継がれないので、サイト全域をhttps化することで、アクセス解析の精度も向上しますし、現代のブラウザでは、SSL化したサイトの方が表示速度が高速化するとも言われています。

このように常時SSL化されたサイトは、大義として掲げる誰もが安心してウェブを閲覧する環境を創る!という事以外にも、メリットはたくさんあります。

2017年、企業の常時SSL化は、もうまったなしの状況だという危機感を

現在すでに、みなさんのサイトも「(i)このサイトへの接続は保護されていません」と表示されてしまっているわけです(常時SSL化していなければ)。

近い将来お客様から「このサイトは安全じゃないから見るのやめよー。ダメだなこの企業」と認識されてしまう前に、常時SSL化対応しないとです。多少詳しい人には既に「この企業はあまいな〜」と思われているわけです。

サイト運営者の方々には、こうしたブラウザによる警告表示が、今後サイト利用者の心理にどう影響してくるかについてもしっかり考えて頂きたいですし、そして何よりウェブで情報発信をする企業であれば、ユーザーの安全を守るための常時SSL化は、やってて当たり前の時代なんだと、認識して欲しいと思います。

運用中のお客様から順次すでに説明差し上げていますが、私もここでこう宣言した以上、これから新たにお手伝いするサイトについては必ず常時SSLしましょーという姿勢で臨ませていただきまっす!

小規模サイトの常時SSL化の是非

先日もまた、この件でお客様(個人事業主の方)からご質問をいただきました。

ショッピングカート以外のところも、常時SSL化ってしたほうが良いですか?
したほうが良いのは確実です。

ただ、この方がご利用中のレンタルサーバーでは、導入出来るSSL証明書が限られており、かなりコストが嵩んでしまうため、「今すぐに行うのは厳しいと感じられるかもしれません。絶対にヤラなければ…という感じではなく、おいおいいいタイミングが来た時でも良いかと思います。」と言うような内容を書き添えたと記憶しています。

お客様とサイト運営者の情報のやり取りを安全にする施策、やったほうが良いのは確実ですが、問題になるのは導入に掛かる様々なコスト面ですよね。運営されているサイトのサーバーの縛りがネックになって常時SSL化に踏み切れていない個人事業主の方や企業様も多いのではないでしょうか?

個人事業でありながら、企業認証並みの証明書の価格を払うのはあまりにももったいないですし、企業であっても企業認証・EV認証までコストを掛けなくたっていいという考え方ももちろんあると思います。

常時SSL化は比較的簡単に出来る、セキュリティリスク回避策

さて、当社サイトもそうですが、常時SSL化の大きな波は2014年あたりから始まっていますよね。

SSLというと送信フォームは暗号化通信を掛けて個人情報を守る…というのが定説でしたが、Googleが「httpsサイトをランキングで優遇しまっせー」と明言してから、サイト全域のSSL化(常時SSL化)はどんどん進められていますね。(当サイトの常時SSL化もそれがきっかけでした)

常時SSLのメリットについてSEOに有利とか、HTTP/2で早いとかもありますが、もっと本質的なところをおさらい的に簡単に書いておきますと、

  1. ユーザの投稿情報を守る。
    サイトを訪れるユーザにとって、安心・安全感を与えサイトの信頼性(偽物じゃないよー)を伝えやすくなります。
  2. ユーザのサイト上の行動を守る。
    上2つの様な情報送信を行わない状況の閲覧などでも、Cookieへの不正アクセスを防止でき、セッションを乗っ取られてしまうなどの対策に繋がります。
  3. サーバーサイドでサイト内容を操作するCMSでのサイト運営についても必須。
    CMSへログインする際、情報投稿する際、保持している個人情報を閲覧・操作する際…などなど、通信を傍受される危険性はいつもつきまといます。

個人事業主の方や若い経営者の方などは、忙しく動き回りながら、積極的に情報収集や情報発信に取り組んでいるケースが多いですが、フリーWi-Fiエリアで、自社サイトの情報更新をしたり、なんてことも多いかと思います。セキュリティに関する細かな知識を持ち合わせていないわりに、けっこう楽観的だったり^^;とっても危ない行為なんですけどね…。

サイト改ざん、個人情報漏えいなどのリスクは、小さな会社は一瞬で吹っ飛んでしまうほどの怖さがありますので、すぐ出来るリスク回避策としても、常時SSL化は有効かと思います。

常時SSL化のススメ方

常時SSL化の流れを簡単に言えば、

  1. SSLの証明書の購入
  2. サーバーへのインストール
  3. ウェブサイトへの適応(既存コンテンツの細かなリンク記載の見直しなど含む)

です。

SSL証明書、年間1,000円程度で済むものから20万円以上掛かるものまでピンからキリまで有りますよね。
認証レベルや実在証明など機能的な違いがもちろんありますが、安いものだからといって、暗号化の強度が大きく違うのか?というと、実はそういうわけではないのです。

冒頭にも書きましたが、企業として「サイト所有者の身元の信頼度」をどれだけみせたいか!?ではなく、「サイト運営者として、運営管理の実務における情報のやり取りや、お客様の自社サイト上での情報のやり取りなどを、安全に守る環境を作っておきたい」という事が目的であれば、安いSSL証明書でも十分だと思います。

サイトで展開するサービスにもよりますが、個人事業主さんや小規模な事業所さんであれば、身元の信頼度に固執するよりも、まずは安全性の目的を達成するために安いSSL証明書を選択すれば、会社を安全に維持できると思うのです。(無駄なプライドにコストを掛けてほしくないと)

ただ、お使いのサーバーによっては、提供しているSSL証明書が限定されている(SSL証明書の購入後の持ち込みが出来ない)ケースも多いと思われます。

どこか大手のサーバーをやり玉に上げたくはないので明記はしませんが、これからは常時SSLでのサイト運用を大前提として、レンタルサーバーも考えていく必要があります。サーバの月額費用は500円、なのに証明書は最安のを選んでも月額3,000円程度かかってしまう…なんて事もありますから、トータルコストで無理なく安全なサイト運用を行えるサーバーを選んでおきたいものですね。

※2017/07/12 追記
xserverやzenlogicにつづいて、ロリポップが独自SSLを無料で提供し始めました。
ちゃんと利用者と対話をしてくれている、小規模事業者にとってぴったりのレンタルサーバプロバイダ「ロリポップ」らしい英断ですね!

▼無料独自SSL開始記念で、初期費用無料キャンペーンやってるっぽいです。
無料独自SSLのロリポップ