SSL化のメリット、デメリットについて考える。本当に必要な機能なの?

SSL化のメリット、デメリットについて考える。本当に必要な機能なの?

 

SSLを利用したドメインがブラウザに表示された画像

 

「ここに注目してください!」

 

最近は情報保護が重要視されていて、googleも検索順位の一要素にすると発表しています。SSL化(https化)はどういうものなのか?そして、誰もが本当に必要な機能なのか、このページで考えていきたいと思います。

 

 

SSL(https://)をよく知るための もくじ

 

 

○SSLとは何ですか? 正しく理解して使いたいSSL

 

  ・SSLの仕組みを簡単にご説明します

 

  ・実をいうとSSLは過去の呼び名で、今はTLSといいます

 

  ・httpsでも完全にSecure(安全)でないものもある

 

  ・「常時SSL」という言葉もよく聞きますが?

 

  ・認証レベル≠暗号の強度という事実をふまえて考える

 

  ・申し込みはどこですればいいのですか?費用はどれくらいかかりますか?

 

○SSL化するとどうなる?導入のメリット・デメリット

 

  ・何がSSL導入のメリットですか?

 

  ・結局SSLは本当に必要な機能なのか?

 

○httpからhttpsに移転する手続きをご説明します

 

  ・301リダイレクトを利用する方法をご説明します

 

 

 

 

 

SSLとは何ですか? 正しく理解して使いたいSSL

 

安心の表情でスマホ決済している女性の画像

 

「安心して取引できるのがいいですね。」

 

 

SSLの仕組みを簡単にご説明します

 

 

平成29年2月9日

 

 

 

 

「SSLとは・・ナンですか?」

 

簡単に言うと、あなたの持っている情報端末と
サーバーの間でやり取りする情報を暗号化する
規格のことを言います。

 

暗号化することで、データを第三者の改ざんや
漏洩から守ることができるというものです。

 

図で表すと下の通りになります。
「情報の暗号化」の部分がSSLです。

 

 

SSLのイメージ画像

 

 

 

SSL(Secure Sockets Layer)の直訳は難しいですが
「暗号の利用により安全性を高めるための規格」ぐらいで
ご理解いただければよいと思います。

 

SSLの暗号は「SSLサーバ証明書」という電子証明書を
利用します。

 

その電子証明書は「認証局」から発行されたものを用います。

 

ただ、その「認証局」は、どこが信頼できるものか、
大手以外では個人で見分けるのは難しいです。

 

でも実際は、契約しているレンタルサーバーで使える認証局が
限定されているので、サーバーを通じてSSLの契約をすると
不審な認証局と契約する事態にはならないと思います。

 

例えば、エックスサーバーでは、取り扱いしている電子証明書
以外は対応していないということになっています。

 

↓↓こんな感じです

 

 

エックスサーバーで取り扱っているSSLサービスの画像

 

 

エックスサーバーで取扱可能なSSL一覧です↓↓

 

 

エックスサーバーで取り扱っているSSLサービス一覧の画像

 

 

さくらサーバーで取扱可能なSSL一覧です↓↓

 

 

さくらサーバーで取り扱っているSSLサービスの画像

 

 

上に出ている認証局はすべて大手で信頼できる
会社とされています。

 

ですので、ご契約しているレンタルサーバーが
取り扱っているSSLの中から、価格、性能を
検討して選んでゆけばいいということになります。

 

 

 

実をいうとSSLは過去の呼び名で、今はTLSといいます

 

 

 

実をいうと「SSL」は現在は存在しません。

 

現在の最新版の規格は「TLS 1.2」です。

 

TLSの元になった規格がSSLで、そのSSL
という名称が広く普及しているため現在も
SSLという呼び名が使われているにすぎません。

 

 

ところで、TLSを使用した通信規格をHTTPSといいます。

 

HTTPS(Hypertext Transfer Protocol Secure)は、
HTTPによる通信を安全に(Secureに)行うために
TLSを使用して実行されます。

 

冒頭の画像のように「保護された通信」の表示や
「https〜」で始まるURLはSSLにより保護されている
通信であるといえます。↓↓

 

 

SSLを利用したドメインがブラウザに表示された画像

 

 

 

 

httpsでも完全にSecure(安全)でないものもある

 

 

 

httpsで始まるURLでも「保護された通信」でないものが
存在します。

 

私のサイトにもありますが、httpのサイトにリンクを貼っていたり
その他条件で、「保護された通信」になりきらないものもあります

 

 

SSLを利用したがブラウザに「保護された通信」と表示されない画像

 

 

これは、一般のhttpのサイトと同じで「保護された通信」では
ありませんので、個人情報やクレジットカードなどの情報を
入力すると、第三者に漏洩する危険があるサイトと考えられます。

 

ただ、「危険なサイト」というわけではなく、一般のhttpのサイト
と同じ普通のサイトと同じなので、くれぐれも間違いなく。

 

 

→chromeヘルプ サイトの接続が安全かどうかを確認する より抜粋

 

通信の状態を表すgoogle chromeアイコンの説明画像

 

 

 

 

「常時SSL」という言葉もよく聞きますが?

 

 

 

SSLを調べると「常時SSL」という言葉をよく聞きますが、
常時SSLとはサイトまるごとSSL化してしまうことです。

 

図で見れば簡単に理解できます。

 

 

常時SSLの図解説明の画像

 

symantecさんのwebサイトより抜粋→常時SSLとは?  

 

 

まるごとSSL化してしまうほうが楽なのでしょうが、
SSL化のメリット・デメリットを考えてどうするのか
決めていきます。

 

ひとまず、ここでは「サイトまるごとSSL化する方法」と
「サイトの一部だけSSL化する方法」があることを
覚えておきます。

 

 

 

認証レベル≠暗号の強度という事実をふまえて考える

 

 

 

下の表はさくらSSLさんの、SSLサーバー証明書の
比較表です。

 

暗号強度自体は値段の高さに比例していません。

 

 

認証の値段は「この企業が確かにそこで営業していて
その会社が確かに運営しているサイトかどうか」を
証明する値段ということがわかります。

 

 

ドメイン認証

(認証レベル1)

企業認証

(認証レベル2)

EV認証

(認証レベル3)

暗号化通信

ドメイン名の所有権の確認

組織の実在性の確認

-

フィッシング詐欺対策

-

発行対象者

個人・法人

法人

法人

価格

1,500円〜

38,500円〜

49,500円〜

信頼性

用途 ○問い合わせフォームやキャンペーン応募など各種フォーム

○イントラネット環境

○個人情報の入力が必要な会員制サイト

○クレジットカード情報や個人情報の入力が必要なECサイト

○個人情報の入力が必要な会員制サイト

○クレジットカード情報や個人情報の入力が必要なECサイト
○企業サイト、オンラインバンキング

信頼性 低コストで発行スピードが速い 企業の実在性を証明 緑色のアドレスバーにより、サイトの信頼性向上

参考サイト →さくらSSL作成SSLサーバー証明書の違いより作表

 

 

要は怪しい組織にユーザーさんが個人情報を
提供していないかを保証していることが認証レベル
の違いです。

 

加えて、SSL認証による暗号化で情報漏洩をふせぐ
ことがSSLを使う主目的になります。

 

 

また、サイトシールを貼ることでユーザーさんに安心感を
与えることができるので、シールの有無もSSLの価格の
差になっています。

 

 

サイトシールの画像

 

 

いろいろ書きましたが、結局お申込みや使える証明書は
契約しておられるサーバーが取り扱うSSLサービスに
なりますので、具体的に金額などご確認の上対応ください

 

参考までにSSLの比較ページのリンクを貼っておきます。
ちなみに無料で使えるものもあります。

 

○エックスサーバーの対応SSL → 独自SSL
○さくらサーバーの対応SSL → さくらのSSL
○ロリポップ!の対応SSL → 独自SSLについて

 



ロリポップSSLへのリンク

 

 

 

SSL化するとどうなる?導入のメリット・デメリット

 

笑顔でパソコンに向かう女性の画像

 

「やっぱり、個人情報は大切ですよね。」

 

 

何がSSL導入のメリットですか?

 

 

 

ここまで、SSLについての基礎知識について
ご説明してきましたが、SSLを導入すると
今までと何が違うのでしょう?

 

SSL導入のメリットとして、次のようなことが
考えられます。

 

 

○盗聴、なりすましを防止することによるユーザーの安心感向上
○情報を暗号化することによるサイトの改ざん防止
○検索エンジン上位表示に影響するためアクセスが増加する
○リファラー受け渡し改善による、アクセス解析の精度向上
○HTTP/2対応ブラウザでのサイト速度の向上

 

 

なりすましを防止することによるユーザーの安心感向上

 

 

銀行のログイン画面。社名付きSSLが付いている画像

 

 

認証レベルの高いSSL通信は、なりすまし防止にも効果が
高く、間違いなくその会社のサイトの中で、個人情報を
やり取りしている感覚がありますので、守られている安心感を
もって取引ができます。

 

特に金融機関などでは、「金融機関名の入った 保護された通信」
のもとで、個人情報・クレジットカード情報などの大切なデータを
やりとりしていますので安心感が違います。

 

銀行や証券会社、クレジットカード会社のような金融機関
との取引をネットでする顧客が増えていますが、ワンタイム
パスワード利用やセキュリティソフトなど、これでもかと
安全対策がとられている実情をユーザーは体験しています。

 

 

最近では個人情報を入力するサイトは、鍵マークが付いて
いるのが当たり前になっていますので、保護のない一般サイトで
個人情報の入力をすることになったら、「気持ち悪い」とさえ
思われ、大きなマイナスとなってしまうことでしょう。

 

商品をせっかく買う気になっても、決済の段階になって
「気持ちが悪いのでやめておこう」と購入をやめる人もいる
と思いますので、個人情報のやり取りや、クレジットカードの
情報のやり取りをお考えの方は、SSL導入は必要な対策
と考えます。

 

 

情報を暗号化することによるサイトの盗聴、改ざん防止

 

鍵の画像。情報が保護されているイメージ

 

「暗号で保護されているので安心ですね」

 

 

SSLの機能的なメリットが盗聴、改ざん防止です

 

認証レベルの低いSSLであっても、安全性の高い
2048bitの証明書を使用することになっているため
認証レベルに関係なくSSLを導入すればセキュリティ
効果が見込めます。

 

 

 

検索エンジン上位表示に影響するためアクセスが増加する

 

 

 

決して大きな効果があるわけではありませんが、
googleは「HTTPSをランキング シグナルに使用します」
と発表しています。

 

 

googleウェブマスター向け公式ブログより
→ HTTPS をランキング シグナルに使用します
→ HTTPS ページが優先的にインデックスに登録されるようになります

 

 

googleウェブマスター向けブログの抜粋

 

googleウェブマスター向けブログより抜粋      

 

 

検索結果でのHTTPS URLの掲載順位を若干引き上げる
取り組みにも着手したと書かれています。

 

このランキングの変更は、全要素の1% 未満にしか影響しない
のですが、これから長い期間をかけて強化していく方針です。

 

 

 

リファラー受け渡し改善による、アクセス解析の精度向上

 

 

 

リファラーとは、サイトの訪問者があるWebページに訪れる
直前に、どのWebページを見ていたかという「参照元」の
ページの情報の事です。

 

参照元ページを知ることで、ユーザーが何を見てこのサイト
に訪問したのか分析することができますので、サイトの内容
向上にリファラー情報を役立てることができます。

 

 

しかし、下の表のとおり参照元ページがhttpsで、訪問した
ページがhttpであった場合、リファラー情報の受け渡しが
されず、どこが参照元ページかわからない状態(no referrer)
となります。

 

 

リファラー情報の受け渡し (参照先URL) http (参照先URL) https

(参照元URL) http

受け渡しする

受け渡しする

(参照元URL) https

受け渡ししない

受け渡しする

 

 

 

HTTP/2対応ブラウザでのサイト速度の向上

 

 

 

お使いのブラウザをHTTP/2に対応させることで
サイトの速度が速くなります。

 

ただし設定が難しく、挑戦してみましたがあきらめました。

 

 

 

SSL導入のデメリットはどのようなことが考えられますか?

 

 

 

SSL導入についてはいいことばかりではありません。
考えられるデメリットについてもあげておきます。

 

 

○SSLサーバー証明書発行費用がかかる
○AdSence収入減少の可能性がある?
○https非対応のツールや広告が非表示になる
○httpのサイトとは別サイトになるので管理が煩わしい

 

 

 

SSLサーバー証明書発行費用がかかる

 

 

 

サービスを使うので費用がかかるのは当然ですが
情報の暗号化にどれくらいお金をかけるのかが
問題となってきます。

 

 

→ 「ロリポップ!」ロリポップレンタルサーバー公式サイトへのリンクレンタルサーバーで提供するサービスの価格

 

ロリポップレンタルサーバーで提供するサービスの価格の画像

 

 

エックスサーバーでは、無料のSSLを使うことが
できますので、「情報の暗号化」だけでもしたい
という方は、お得なサービスだと思います。

 

 

→ エックスサーバーエックスサーバー公式サイトへのリンクで提供する無料SSL

 

エックスサーバーで提供する無料SSLの紹介画像

 

 

 

AdSence収入減少の可能性がある?

 

 

 

タイトルの最後に「?」をつけました。

 

一般的にSSL化でAdSence収入が減少する可能性がある
と言われていますが、本当にそうでしょうか?

 

 

SSL化したときには、SSL対応の広告をきちんと張りなおせば
問題ありません。

 

一部SSLトラフィックを遮断したり排除したりする国があるよう
ですが、一般的にはほとんど影響がないと考えていいでしょう。

 

 

参考サイト → SSL 対応の AdSense 用広告コード

 

adsenceでSSL対応広告を使用する際の留意点についての抜粋

AdSenseヘルプ 「SSL 対応の AdSense 用広告コード」より抜粋     

 

 

 

https非対応のツールや広告が非表示になる

 

 

 

これは、https導入の本当のネックになる部分かも
しれません。

 

私のサイトもhttpsを導入していますが、現在は
httpとhttpsを併存させている状態です。

 

 

http トップページへのリンク → http://homepagenotukurikata.com/
httpsトップページへのリンク → https://homepagenotukurikata.com/

 

 

最初は一気にSSL化しようと考えていましたが、
httpsのサイトでは「月間アクセスランキング」の
ブログパーツが全く非表示になっていることに
気づき、前面https化を見合わせています。

 

「他にもいろいろ困ることがあったら大変だな。」

 

と考えるようになりました。

 

 

SSL非対応ツールが非表示になってしまう画像

 

 

また、ブログパーツを付けているせいか、httpsに
しても「保護された通信」と表示されません。

 

非表示になって困るものがあれば、「情報の暗号化」
とどちらが重要か検討が必要になります。

 

 

 

httpのサイトとは別サイトになるので管理が煩わしい

 

 

 

httpとhttpsの別々のURLが併存する状態に
なりますので、ある程度のめんどくささが伴います。

 

次の項で説明する「301リダイレクト」もそうですが
表示させるサイトを一本化させるための作業や、

 

Google Search ConsoleでURLごとに登録する作業
など、いろいろ手間化がかかります。

 

 

Search ConsoleでURLごとに登録している画像

 

 

まあ、「情報の暗号化」や「信用力アップ」のためには
ある程度の手間は仕方ないですね。

 

 

 

結局SSLは本当に必要な機能なのか?

 

 

 

いろいろ書きましたが、SSLは本当に必要な
機能なのでしょうか?

 

SSLの必要性についての私の意見を書かせて
いただきます。

 

ユーザーさんの立場によってかなり必要性が変わります。

 

 

クレジットカード情報や個人情報をやり取りする
企業やお店の方は、認証レベルの高いSSLが必要です。

 

 

近年、情報漏洩で大きく企業イメージを損なう事例が
頻発しています。何も対策をせずに「情報が流失」してしまう
ということは、社会的に許してもらえない時代になりました。

 

また、認証レベルの低い入力フォームに、個人情報の
入力をためらう方も多いと思いますので、何もしていない
と売り上げダウンにつながると考えます。

 

 

個人のブログや個人情報の受け渡しをしない方は
あえてSSL化をする必要はありません。

 

情報の改ざんが心配だとかお悩みになるくらいなら
無料のSSLもありますので、https化したらいいと思います。

 

手間がかかるといっても、ずっと心配に思うくらいなら
たいした手間でもないからです。

 

 

以下に常時SSL化の手順をご説明しましたので
ぜひ参考にしてください。

 

お使いのレンタルサーバーで、SSLのご契約を
済ませていることが前提ですので、気を付けてください。

 

 

エックスサーバー公式サイトへのリンク

 

 

 

httpからhttpsに移転する手続きをご説明します

 

httpとhttpsをイメージした双子の男の子の画像

 

「http と https は双子のような存在」

 

 

 

googleは、「.htaccess」を利用して、301リダイレクトを
使った重複コンテンツの解消を推奨しています。

 

Google Search Console ヘルプ → HTTPS でサイトを保護する

 

 

「.htacess?」「重複コンテンツ?」って思われた方も
いると思いますが、「.htacess」や「重複コンテンツ」を
ご説明した記事がありますので気になる方は読んでみてください。

 

ここからの記事は.htaccessの説明のため、そのページに
記載したものを利用しています。

 

→ 超簡単!重複コンテンツ整理のための.htaccess設定方法

 

 

また、「301リダイレクト」って聞きなれない言葉だなって
感じられた方もいらっしゃるかもしれませんが、

 

リダイレクトとは「転送」するという意味で、
301リダイレクトは「永続的に転送する」命令の
ことを指します。ご参考まで。

 

 

 

301リダイレクトを利用する方法をご説明します

 

 

 

ここでは「http」から「https」のURLに
301リダイレクトを利用して転送する
命令を書き込む作業をご紹介しています。

 

httpsで始まるURLで運用を始める際は、
今までと違う別のURLになりますので、
一時的にですがgoogleのインデックスが落ちます

 

また、httpで運営していた分析データも引き継がれ
ませんのでそのつもりで作業をします。

 

できれば段階的にA/Bテストなどを入れながら
移転するのが望ましいです。

 

参考サイト(Google Search Console ヘルプ)
URL の変更を伴うサイト移転

 

 

 

テストを入れながら段階的に実施するのか、一気に
実施するのかは別にすると、具体的作業は3つだけです。

 

1.301リダイレクトを.htaccessに記載する
2.Search Console に HTTPS のプロパティを追加する
3.Google analyticsの登録

 

 

1.301リダイレクトを.htaccessに記載する

 

 

これは「常時SSL化」といってサイトすべてを
移転する場合の記載方法です。

 

一部だけhttpsにする場合は個別ページの
301リダイレクトを参考にしてください

 

 

参考ページ → 301リダイレクトで個別ページのURLを整理できる

 

 

具体的な記載は次の通りです。

 

 

Options +FollowSymLinks
RewriteEngine on
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://○○○.com/$1 [R=301,L]

 

赤色の部分はあなたのサイトのURLです

 

 

今回は、エックスサーバーのサーバーパネルから
.htaccessを記載してみます。

 

 

エックスサーバーのサーバーパネルから.htaccessを操作する画像

 

 

「.htaccess編集」ボタンを押すと、編集画面が
出てきますので、下の通り入力(コピペ)しました。

 

 

エックスサーバーのサーバーパネルから.htaccessにリダイレクトの命令を入力する画像

 

 

今回はあわせて「wwwなし」「index.htmlなし」の
記述も別に入れました。

 

 

 

.htaccessが正しく動いているか確認する方法

 

 

 

入力が終わったら.htaccessの設定が正しく
できているか確認します。

 

ベタな方法ですが、8つの重複コンテンツを
ひとつひとつ検索して確認するのが一番
確かです。

 

 

 

 

8種類のURLを入力してみて、すべて
同じURLが表示されたら、正しく正規化
の設定が行われているということです

 

 

2.Search Console に HTTPS のプロパティを追加する

 

 

Google Search ConsoleからhttpsのURLを追加登録する画像

 

 

ボタンを押すと、URLを入力する画面が出て
きますので、入力して「追加」ボタンを押します

 

 

Google Search ConsoleからhttpsのURLを追加登録する画像

 

 

所有権確認の画面が出てきますが、httpで
所有権確認ができていれば、「確認」ボタンを
押すだけで所有権確認は完了します。

 

 

Google Search ConsoleからhttpsのURLを追加登録する画像

 

 

確認がうまくいくと下の通り完了画面が表示されます。

 

 

Google Search ConsoleからhttpsのURLを追加登録する画像

 

 

最後にサイトマップを送信してSearch Consoleの
登録は終了です。

 

 

Google Search ConsoleからhttpsのURLを追加登録する画像

 

 

 

Google analyticsの登録

 

 

 

Google analyticsの登録はもっと簡単です。

 

対象ホームページのプロパティ設定画面を開いて
デフォルトのURLをhttpsに変更します。

 

 

Google Search ConsoleからhttpsのURLを追加登録する画像

 

 

最後にGoogle analyticsとSearch Consoleと
紐づけするため「Search Consoleを調整」ボタンを
クリックして完了です。

 

 

Google Search ConsoleからhttpsのURLを追加登録する画像

 

 

 

 

 

よく読まれる関連ページ

クロールの効率性を追求!robots.txtへのリンク画像

クロールの効率性を追求!robots.txt

301リダイレクトで個別ページのURLを整理できるへのリンク画像

301リダイレクトで個別ページのURLを整理できる

SIRIUS【簡単にサイト公開しませんか?】へのリンク画像

SIRIUS【簡単にサイト公開しませんか?】

よく考えられた「descriptionメタタグ」は訪問者を誘(いざな)うへのリンク画像

よく考えられた「descriptionメタタグ」は訪問者を誘(いざな)う


Top相互リンクをいただいているサイトです。

簡単無料ホームページ

簡単に無料でホームページ作成。掲示板、ブログ、アルバム、携帯サイト、メールマガジン、お問合せフォーム、リンク集等の便利機能付き。商用利用もOKです



SSL化のメリット、デメリットについて考える。本当に必要な機能なの?関連ページ

絶対に間違いのないSEO最新マニュアル
全13工程でサイト改善!「検索エンジン最適化スターターガイド」
3秒でチェック!!形式的SEO対策をあなたにこっそり教えます
アクセスアップのためにやっちゃった失敗をお教えします
被リンクについて最低限知っておくべき10のポイント
5分でわかる!具体的相互リンクの手順
サイト公開するなら、最低限canonicalタグを使いこなせ!
超簡単!重複コンテンツ整理のための.htaccess設定方法
Googleが伝える、適切な「alt属性の入力」のススメ
あなたは外部Javascriptを利用する目的を知っていますか?
よく考えられた「descriptionメタタグ」は訪問者を誘(いざな)う
301リダイレクトで個別ページのURLを整理できる
みんなに伝えたい!正しいサイトマップの「作り方」「送り方」
クリック率アップ!リッチスニペット導入でライバルサイトに差をつけろ
パンくずリストをリッチスニペットで表現してみた!
お手軽にリッチスニペット!構造化マークアップ支援ツール
進化しているデータハイライターを、あなたにもぜひ体験してほしい
とにかく目立つ!リッチスニペット著者情報の作り方
レシピを出すなら試したい!リッチスニペットを使った目立つ検索表示
rel=”nofollow”使いこなし術を解説!正しい使い方をご存知?
これで安心!URLエラーの大半は簡単に処理できる。修正方法を解説
エラーページを処理する5つの方法
SEOに効果あり!404エラーページのカスタマイズ
クロールの効率性を追求?robots.txt
よくわかる!noindexメタタグの正しい使い方
たった1分で劇的に改善!ページスピード高速化の方法
3行入力するだけ!誰でもできる圧縮によるサイト高速化
もっと早く導入すればよかった。画像圧縮ソフトによるサイト高速化
正しい対処の仕方をご存知ですか?放置できないソフト404エラー
鳥肌が立つほどカンタン!1クリックで終わる表示速度高速化
「誘導ページ」でペナルティを受けないための5つのチェックポイント
あなたのサイトは「モバイルフレンドリー」ですか?
rel="canonical"をもっともっと知りたい!
ホームページ、ブログの削除のしかた

 
ブログパーツ
トップページ 目次 サイト公開までのプロセス プロフィール お問い合わせ