https化(常時SSL化)への対応は済んでいますか

Webサイトの https化(常時SSL化) が、セキュリティやSEO対策として必須の対応となっています。このページでは、基本的な https化(常時SSL化) についてのポイントを詳しく解説します。

はじめに、常時SSL化の「SSL」とは？

SSLは、安全にインターネット上で通信をするための暗号化ベースのインターネットセキュリティプロトコルです。「Secure Sockets Layer ( セキュア・ソケッツ・レイヤー ) 」の頭文字をとって、SSLといいます。インターネット上でのWebブラウザとWebサーバー間の通信を暗号化し、盗み見られても解読が困難な状態にする仕組みのことです。

インターネット利用者が増加し、インターネット上でやりとりされるデータのプライバシーや認証およびデータの整合性を確保し、盗聴・改ざん・なりすましを防止する目的で、1995年にネットスケープコミュニケーションズ社によって開発・発表されました。

SSLは「SSL 1.0」からはじまり「SSL 2.0」「SSL 3.0」とバージョンアップされていきましたが、2014年に重大な脆弱性が見つかり、2015年6月にインターネットに関する技術の標準化を行っている組織「IETF ( インターネット・エンジニアリング・タスクフォース ) 」によって、SSL 3.0 は使用禁止となりました。その後、次世代規格の TLS を使うことになりました。

安全性をさらに高める改良がおこなわれた、次世代規格の TLS は「Transport Layer Security ( トランスポート・レイヤー・セキュリティ ) 」の頭文字をとって TLS といいます。

TLS は SSL と異なるものですが、SSLの名称がインターネットユーザの間で広く普及しているため、TLSを指していても、SSL または SSL/TLS と表記することが多いです。名称・表記が統一されていない状況ではありますが、本ページでは「SSL」と表記させていただきます。

SSL化と常時SSL化とは？

SSL化とは、暗号化された安全な通信方式SSLをWebサイトに導入することをいいます。常時SSL化とは、WebサイトのすべてのページをSSL化することをいいます。

昔は、Webサイト上でパスワードや個人情報等を入力するログインページやクレジットカード決済ページ、お問い合わせフォームなど、個人情報の通信がおこなわれるページの一部のみをSSL化し、通信を保護することが一般的でした。

しかし近年、インターネットにおけるセキュリティ意識の高まり、Webサイト全体の通信の安全性が求められるようになったことや、Google Chromeなどの主要なブラウザでの対応を受け、Webサイト全体をSSL化する常時SSL化が求められ、Webサイトでの必須な対応と認識されているといって過言ではありません。

常時SSL化は https化・HTTPS化 と表記されることもあります。これは SSL化した場合、アドレス〈http〉のあとに〈s〉が付いて〈https〉になるためです。この〈s〉は「secure ( 安全 )」の頭文字からとっているそうです。
つまり、「https://～ で表示されているWebサイトは、httpよりも安全！」ということを表しています。

十分な対応準備期間を確保していただき、速やかに https化(常時SSL化) の導入をおすすめします。