Googl chromeの常時SSL化で何が変わる?

2018/06/27

Googl chromeの常時SSL化で何が変わる?

「Google chrome68」がまもなくリリース

2018年2月、Google chromeは、7月にリリースされる新バージョン「chrome 68」以降、すべての非SSLサイトに警告を表示すると発表しました。

これまでもGoogleは段階的にセキュリティ強化の施策を実施してきており、現在もIDやパスワードの入力を求めるページでは、SSL未対応のサイトに対してアドレスバーに「保護されていません」の文言が表示されます。
chrome68においてこの方針をさらに一歩推し進め、いよいよ本格的に「http」サイトの排除に乗り出したといえるでしょう。

今回は、リリース直前ということもあり、改めてSSLについて理解し、対応がまだであればそれをスムーズに行えるよう、設定の方法についても説明していこうと思います。

そもそもSSLとは?

SSLとはSecure Sockets Layerの略で、インターネット上でデータを暗号化して送受信する仕組み(プロトコル)のことです。

ネットでの個人情報のやり取りが日常化し、セキュリティ意識は以前と比べて希薄になっていますが、暗号化されていないデータには、第三者による盗聴や改竄、なりすまし等のリスクがあり、特にカフェなどの無料Wifi環境下では無防備になりがちです。
そうした悪意のある攻撃を回避する効果的な方法が暗号化で、これをサイトとして導入していることの証明が、「https://~」から始まるアドレスということになります。
ちなみにhttpsはHypertext Transfer Protocl Secureの略で、「(安全な)ハイパーテキスト転送プロトコル」を意味します。Secure=安全が担保されているサイトですよ、という表示意図になります。


個人情報を守るだけならこれまで通りIDやパスワードの入力フォームがあるページだけ暗号化しておけば十分なのでは、と思うかもしれませんが、Cookieや検索ワード、閲覧履歴などもいまや立派な個人情報で、そこからコアデータを割り出される可能性も否定はできません。

今のところsafariやIE、firefoxなどは、これまで通り個人情報を入力する必要のあるページのみ、SSL未対応のサイトに警告を表示するというスタンスを変えてはいませんが、シェアトップのGoogleに追随する可能性は少なくありません。

日本におけるhttpsの使用率は、先進国の中で最低ランクです。他人を信じる国民性は美徳ではありますが、大切なサイトユーザーの情報を危険にさらしていいはずはありません。そうでなくても、「保護されていません」の警告が毎度表示される状況はサイトの信用に関わりますし、コンバージョンに影響が出るのは必至です。まだであるなら、早急な対応をおすすめします。

SSL化の設定方法

それではSSL化の設定方法について具体的に見ていきましょう。

SSL証明書の発行


SSL化の導入にはまず、SSL証明書を発行してもらう必要があります。電子証明書の発行を認められた「認証局」による認証作業を経る必要があります。現在お使いのサーバーで対応可能と思いますので、はじめに確認してみてください。
証明書の発行は通常は有料です。無料のものもありますが、身元が保証されず、詐欺等への対策が万全でないうえ、サポートが受けられず、また更新に手間がかかるなどのデメリットがあります。信頼度の高い有料版の導入をおすすめします。

また、証明書には種類があり、大別して、ドメイン認証SSL企業実在認証SSLEV SSLの3種があります。企業実在認証SSLが最も一般的で、1年契約で5万円前後~となります。最後のEV SSLはネット銀行や大手のオンラインショップで用いられるもので、さらに信頼度が上がります。

証明書の発行は、申請から発行まで、すべてweb上で行われます。
証明書が発行された段階で、すべてのデータのバックアップを取るようにしましょう。今回に限らず、バックアップを定期的に取る習慣は絶対に必要です。

サーバーへインストール


次に、発行されたSSL証明書をサーバーへインストールします。インストールの手順は利用するサーバーによって異なりますので、それぞれご確認ください。完全SSL化が目前に迫り、サーバー業者によってはインストールの代行サービスを行っているところもあります。

CMSの設定変更


Word Press等のCMSを利用している場合は、設定の変更を行う必要があります。
Word Pressの場合、管理画面→設定→一般と進み、Word Pressアドレス(URL)とサイトアドレス(URL)の項目を、「http」から「https」へ書き換えます。
また、リンクや画像など内部のパスの記述が「http://」になっている箇所は「https://」に変更しておきます。

ソースコードの変更


htmlファイル内の、絶対パスで指定されたソースコードのすべての「http」の記述を「https」に替える必要があります。
サイト外へのリンクについては変更する必要はありません。

Google系ツールの設定を変更


Googleアナリティクスを導入している場合、プロパティの設定変更が必要です。管理画面のプロパティ→プロパティ設定→デフォルトのURLの項目で「https://」を選択し、保存を押してくください。

Googleサーチコンソールでは、サイト情報を変更できないため、新規登録する必要があります。「プロパティの追加」を選択し、指示の通りに適切な操作を行ってください。登録後はサイトの認証を忘れず行うようにします。
ついでにサイトマップも新たなURL用のものを送信しておきましょう。

301リダイレクト設定


リダイレクトを設定することで、旧来のhttp://サイトへのアクセスを、自動的に新しいhttps://サイトに転送することができます。サーバーによって設定方法が異なりますので、それぞれのサーバーサイトをチェックしてください。

最後に・・・

ここまで目を通していただけた方ならお分かりだろうと思いますが、SSL化の設定は、ただでさえやることが多く煩雑なうえ、ちょっとしたミスでデータ損失など深刻な被害をもたらしかねません。できれば専門家に任せることをお勧めしますし、いずれにしろデータのバックアップは確実に取るようにしましょう。

他のブラウザの動きも気になるところですし、chrome68リリース後のweb界隈からはしばらく目が離せませんね。

SackleのWEB戦略はこちら