こちらの記事では、SSLについてまとめました。
SSLの役割、常時SSL通信の設定方法、SEOとの関係、SSLの種類(ドメイン認証、企業認証、EV)などについて触れています。
安全な通信を行うためにWEBサイトへのSSL導入は必須と言っても過言ではないので、
興味のある方は、ぜひ最後まで目を通して下さい。
SSLとは
もう少し具体的に説明すると、
例えば、WEBサイトを閲覧しているユーザーが、お問合せフォームやログインフォームなどでデータをやり取りする際に、
SSL通信を行っておけば、そのデータを暗号化してくれます。
その為、もし途中で盗聴されてしまっても安全にデータを保護してくれる仕組みになります。
決して盗聴自体を防いでくれる訳ではないので、注意して下さい。
以前は、
お問合せフォームやログインフォーム、ECサイトなどの個人情報、カード情報を入力するサイトでの導入が主流でしたが、
現在は、Googleが全ページへのSSL通信設定の導入を推奨しています。
ほんの僅かですが、GoogleがSEO面でもSSLを導入しているサイトを優遇すると言っているので、
多くのサイトで導入されるようになっています。
その為、SSLを導入することによる検索ランキングへの優位性はほとんど無くなってきていますが、
導入しておかないと他サイトに出遅れるので注意しましょう!
SSL/TLSとは
SSLについて調べると、必ず「SSL/TLS」と表記されているのを見掛けると思います。
SSLはバージョン3.0まで進化を重ねたのですが、
SSLにはどうしようもない欠点が見つかり、
根本的に設計から見直されることになりました。
そこで、SSLの役割を引き継いでリリースされた仕組みがTLS(Transport Layer Security)というものになります。
つまり、TLSとはSSLの後継バージョンということになります。
ただ、世の中ではSSLという名前で認知されてしまっていたので、
そのまま「SSL」と表記したり、
「SSL/TLS」と表記するようになりました。
役割に大きな違いはないので、SSLとTLSの名称の違いを気にすることはありません。
SSL通信の役割とSEO効果
SSLの役割は「安全なデータ通信」です
冒頭でも少し説明しましたが、SSL通信の役割はWEB上での安全なデータ通信です。
例えば、飲食店やオフィスなどでWi-Fiに接続してインターネット接続を行う機会は多々あります。
その際、悪意のある人間であれば、やり取りしているデータを引っこ抜くことも可能です。
ただ、SSL通信を行うことで、サーバー間でのデータのやり取りを暗号化してくれます。
その為、万が一データを引っこ抜かれても、そのデータ自体が暗号化されていれば安全です。
SSLには「企業の実在証明」という役割もあります
「企業の実在証明」もSSLの重要な役割です。
SSLには、ドメイン認証SSL、企業認証SSL、EV認証SSLの3種類存在します。
その内、企業認証SSLまたは、EV認証SSLを導入する場合には、「ドメインに登録されているサイト運営元の団体が実在していること」の証明も必要になります。
その為、「企業の実在証明」になり、フィッシング詐欺の対策にもなります。
「ドメイン所有権」の証明も
SSLの証明書は、ドメイン所有権の確認を行ってから発行されます。
その為、一応ドメイン名の所有権証明にもなります。
SSL通信によるSEO効果(検索ランキングへの影響)
Googleは、SEO面でもSSL通信を導入しているサイトを優遇すると言っています。
その為、GoogleがSSL通信を推奨し始めたころには、多くのサイトでSSLの導入が進みました。
ただ、現在ではSSL通信の設定はデフォルトになってきていて、その優位性はほとんどないのではないかと考えています。
それに、もともとSSL通信で発生するSEO効果は小さなものです。
その為、SSL通信を導入してもGoogleの検索ランキングへの影響は少ないです。
実際に、既存サイトへSSL通信を設定しても検索の順位が上がった例はほぼないです。
とはいえ、
SSL通信の導入が不要というわけではないので注意しましょう!
現在は、SSL通信の導入はデフォルトで行っておくべき設定になり、WEBサイトの安全面を考慮しても必須と考えて下さい。
常時SSL通信とは
全てのページでHTTPSでの通信を行うように設定することを、常時SSL通信や常時HTTPS通信、常時SSL化などといいます。
もちろん、http://~へアクセスされた場合でも、https://~に強制的にリダイレクトさせます。
ただ、
既存サイトにSSL通信の強制化を導入すると、問題が発生することも多々あります。
例えば、CSSやJavascriptの外部ファイルをパスではなくURLで読み込んでいた場合、
そのURLがhttp://~になっていると読み込めなくてレイアウト崩れを起こしたり、Javascriptが正常に機能しなかったり、などです。
その他にも、プログラムの改修が発生して、そこそこの費用が掛かる場合もあります。
それでも、WEBサイトをより安全に運用するために、強制的にSSL通信させるように設定しておくことはとても重要です。
まだ対応されていない方は、ぜひ対応されることをおすすめします。
■常時SSL通信の設定方法については以下のページにまとめています。
[ 常時SSL通信(常時SSL化)の設定方法 ]
■WordPressを利用されている場合の常時SSL通信の設定方法は以下を参照して下さい。
[ WordPressサイトの常時SSL通信設定(HTTP通信設定) ]
■常時SSL通信の設定後にXMLサイトマップやGoogle Search Consoleの変更も必要になります。
[ 常時SSL通信設定後にやっておくべきこと ]
■また、以前別の記事でも「常時SSL通信」についてまとめているので、そちらにも目を通してもらえればと思います。
[ 常時SSL通信とは ]
SSLの種類
SSLには認証レベルに応じて、
ドメイン認証SSL(DV)、企業認証SSL(OV)、EV SSL(EV)の3タイプに分けられます。
個人でのサイト運営の場合には、ドメイン認証SSLを利用するのが一般的です。
また、企業認証SSL、EV SSLまで導入すると年間に掛かる費用が高いので、
中小企業も通常はドメイン認証SSLを導入されます。
が、企業認証SSL、EV SSLまで導入しておくとドメイン(サイト)の信頼性がかなり上がるので、
企業のIT担当者の方には企業認証SSL以上をおすすめします。
SSLの種類に関しては以下のページを参照して下さい。
[ SSLには、EV認証・企業認証・ドメイン認証の3種類があります ]
無料SSL(Let’s Encrypt)について
Let’s Encryptとは
せっかくなので、無料SSL「Let’s Encrypt」についてもまとめておきます。
今や、多くのサイトで導入されており、WEB制作に関わっている方であれば、
必ず聞いたことがある名前だと思います。
「Let’s Encrypt」とは、ISRG(Internet Security Research Group)という団体により運営されているSSL証明書です。
特徴としては、
・ドメインの種類は「ドメイン認証(DV)」
・証明書の有効期限は90日間と短い
・完全無料で利用できる
などが上げられます。
Let’s Encryptのインストールについて
【共用サーバー】
最近は、ほとんどのレンタルサーバー(共用サーバー)で、ボタン一つで導入できるようになっています。
「Let’s Encrypt」の有効期限は90日間なので、都度更新する必要があるのですが、ほとんどの場合、レンタルサーバー側で自動で更新を行ってくれるので、私たち利用者は有効期限を気にする必要もありません。
【VPSサーバーや専用サーバー、クラウドサーバーなど】
VPSサーバーや専用サーバー、クラウドサーバーなどを利用されている場合には、
サーバーの利用者自身が「Let’s Encrypt」のインストールから90日間毎の自動更新の設定まで行う必要があります。
ただし、最近はかなり簡単にインストールから自動更新設定まで行えるようになりました。
インターネット上にも多くの情報があふれているので、「Let’s Encrypt」の導入に困ることはほぼなくなっています。
CentOS7、Ubuntu環境へのインストール方法については、以下のページでまとめています。
■【CentOS7サーバー】Let’s Encryptをインストール
■【Ubuntuサーバー】Let’s Encryptをインストール(Certbot編)
■【Ubuntuサーバー】Let’s Encryptをインストール
最後に
現在、多くのWEBサイトでSSLの導入が進んでいます。
少なくとも、新規でのホームページ作成ではSSLの導入はデフォルトになっていると言えます。
また、既存サイトだと、まだまだ導入されていないサイトも多いですが、
安全なデータのやり取りを考えるのであれば、SSLの導入は必須です。
まだ、自社のサイトにSSLの設定を行っていない場合には、必ず設定されることをおすすめします。
