サイト全体がHTTPSに! 常時SSL化のメリットとデメリット

Webサービス セキュリティー

2016.02.05(Fri)

こんにちは、プランナーの崎山です。
今回は、「HTTP/2」の登場以来、再び話題沸騰中の「常時SSL化」についてご紹介したいと思います。

SSLの現状は?

一昔前は表示が遅く、お問い合わせフォームやショッピングカート、ログイン先の画面など特定のページのみに適用されることが多かったSSLですが、最近は高速化も進み、サイト全体へ適用(常時SSL化)するケースが増えています。
GoogleやYouTube、Facebook、Wikipediaなどみなさんが日常的にアクセスしているサービスも、常時SSL化に対応済みです。
アドレスバーに表示される鍵のマークや緑のバーを見かける機会も増えたのではないでしょうか。

01_%E3%82%A2%E3%83%88%E3%82%99%E3%83%AC%E3%82%B9%E3%83%8F%E3%82%99%E3%83%BC.jpg

Webトラフィックの分析結果を提供している「HTTP Archive」によると、HTTPSでのリクエストが占める割合は年々増加していて、2016年1月時点で約25%にも及びます。
天下のGoogleがHTTPSを推奨していることもあり、この流れは今後も加速するものと予想されています。

02_https_requests.jpg

※HTTP Arcive「HTTPS Requeste 2012.1.15~2016.1.15」

常時SSL化のメリット・デメリットは?

ところで、サイトの常時SSL化にはどんなメリット、デメリットがあるのでしょうか。
それぞれ以下に挙げてみました。

メリット

  • サイトのセキュリティ強化
    改ざんやなりすましの防止、マルウェア対策、盗聴防止、Free Wi-Fiからの接続の安全性確保など
     
  • HTTP/2対応ブラウザで表示が早くなる
    IE、Safari、Firefox、Chromeなど主要ブラウザの最新バージョンは軒並みHTTP/2に対応済みです
     
  • SEOにほんの少しだけ有利になる
    Google検索順位決定要因の一つになるそうですが、影響を受ける検索結果は全体の1%未満とのこと
     
  • サイトの信頼性をアピールできる、ユーザーに安心感を与えることができる
    鍵マークの表示、EV SSLだと緑のバーも表示で、一目でわかってユーザーも安心
     
  • SSLの有無で動線を分ける必要がなくなる
    フォルダ分けしたり、リンクの記述を変えたり、Cookieの扱いを気をつけたりとか面倒臭いことを考えなくてもよくなる

デメリット

  • 導入に費用がかかる
    証明書費用、設定代行費用、転送設定やパスの修正などの改修費用、など
     
  • HTTPSに非対応のツールや広告が非表示になる
    ニコニコ動画、Amazonアフィリエイト、A8などHTTPS非対応なもの結構あります

  • ソーシャル系ボタンのカウントがリセットされる
    カウントがいっぱい集まっていた記事とかが「0」になると結構ショックです・・・

  • Google Search Consoleに再登録が必要
    Search Consoleの仕様で、HTTPとHTTPSは別のサイトとして登録する必要があります。またリンクの否認をしている場合は、ファイルの再アップロードも必要です

  • 使っているサーバが、常時SSL化に対応しづらい場合がある
    特定のディレクトリ以下にファイルを置かないとHTTPSにならない、.htaccessが使えない、など
     
  • SSL対応していないファイルを読み込むと警告が出てしまうブラウザがある
    気づかずHTTPのjsやcssを読んでるパターン、結構あります。警告が出ていると鍵マークの表示がないより怪しい感じがします・・・

企業サイトやECサイトなどはメリットが大きそうですが、アフィリエイト目的のサイトやブログはデメリットが大きいですね。
また、手間やコストを考えると、個人のサイトなどは共用SSLでないと対応は難しそうです。

常時SSL対応のサイト事例

さて、ここで実際に常時SSL化されているサイトをいくつかご紹介したいと思います。

Google

03_Google.png

https://www.google.co.jp/

HTTPSを推奨しているだけあって、自身もちゃんと対応しています。
Google+やYouTube、Googleマップ、Nexusなど、Google系のサイトはすべて常時SSL化対応済みのようです。

Facebook

04_Facebook%20-%20%E3%83%95%E3%82%A7%E3%82%A4%E3%82%B9%E3%83%95%E3%82%99%E3%83%83%E3%82%AF%20-%20%E3%83%AD%E3%82%AF%E3%82%99%E3%82%A4%E3%83%B3%20(%E6%97%A5%E6%9C%AC%E8%AA%9E).png

https://www.facebook.com

Facebookは、日本では2011年から常時SSL化が始まりました。
FacebookページにSSL非対応の外部ファイルを読み込んでいて、対応に追われたWeb担当の方も多いのでは・・・懐かしい!

自由民主党

05_%E8%87%AA%E7%94%B1%E6%B0%91%E4%B8%BB%E5%85%9A.png

https://www.jimin.jp

2016年1月現在、国会に議席を持っている13政党のうち、自民党、民主党、公明党、維新の党、日本を元気にする会の5政党の公式サイトが常時SSL化対応済み。うち4サイトが「EV SSL」を採用していました。
政党のサイトは信頼性が重要ですからね!

日清食品

06_%E6%97%A5%E6%B8%85%E9%A3%9F%E5%93%81%E3%82%AF%E3%82%99%E3%83%AB%E3%83%BC%E3%83%95%E3%82%9A.png

https://www.nissin.com/jp/

日清食品のコーポレートサイト。ブランドサイトは非対応でしたが、これから常時SSL化されていくのでしょうか・・・ところで、SSLとは関係ないですがこのどん兵衛の特設ページ、なんかすごいです・・・

まとめ

SSLサーバ証明書国内最大手のシマンテックによると、今後4、5年のうちにサイトの常時SSL化が進み、将来的にはインターネット通信全てがHTTPSで暗号化される時代が来るだろうとのことです。
今すぐ導入!が難しくても、今後リニューアルや新規構築を控えているWeb担当の方は、ぜひ常時SSL化を検討事項の1つに入れてみてください。

以上、崎山でしたっ(=゚ω゚)ノ