HTTPS化(SSL化)の対策

GoogleがGoogleChromeに対してHTTPSにHTTPの混在がある場合、ブロックする仕様変更を行うことが公表されました。

期間は2019年12月から2020年2月までの間に行われるバージョンアップで、段階的に行うとされています。
順番としては以下の順で、ブロックされていきます。

  1. スクリプトとiframe(Googleマップなど)・・・2019年12月リリース Chrome 79バージョン
  2. オーディオと動画・・・2020年1月リリース Chrome 80バージョンから
  3. 画像を含むサブリソース・・・2020年2月リリース Chrome 81バージョンから

つまりは、2月からは記載によっては画像がリンク切れとなる部分が出てくるかもしれません。

詳細は、Google Security Blog からご確認ください。

GoogleChromeは日本ではブラウザのシェアの約50%(バージョン違いを含む)を占め、2位のIEの約12%と比べても、ダントツに利用者が多いブラウザです。
(2019年9月時点のブラウザシェア)
また、シェアの大きいブラウザで行われることは、順次他のブラウザでも同様の対策がなされていくと予想できます。

HTTPS・SSL暗号化通信について

ごく簡単にではありますが、そもそもHTTPS・SSL暗号化通信とはなにか、それによるメリットは何なのかという点をご説明します。

httpsは、HTTP over SSL/TLSの略です。httpで SSL/TLS通信が行われていることを指します。
簡単に言えば、httpsは、httpに暗号化通信を追加したものと、ご理解ください。
通信の内容をとってSSL化、またはSSL暗号化通信と呼ばれることもあります。

また、これまでは主に個人情報のやり取りが含まれる、お問い合わせなどのフォームメール、ホームページをブラウザ上で調整するCMSなどを利用するときに、ホームページの一部のみがこの対応をしていることがありました。
今回はホームページのすべてのページがHTTPSの暗号化通信を行われていることが求められています。また、このようにホームページ全体がHTTPS化されていることを常時SSLともいいます。

データは暗号化されてやりとりされるため、複合化ができない第3者からは、内容を読みとくことができません。つまり、暗号化技術でホームページのセキュリティを高めるものです。

HTTPS・SSL暗号化通信を導入するには?

このHTTPS、SSL暗号化通信は、通信の暗号化をし、認証局より発行されるSSLサーバ証明書を購入して、自社のホームページに導入する必要があります。

SSLサーバ証明書は、そのホームページにおいて、運営者が実在することを証明し、ブラウザとウェブサーバ間で「通信データの暗号化」を行うための電子証明書のことです。

認証局から発行されますが、その取得は様々で、サーバ会社が代行したり、中には無料のものから、高額ですが、なりすまし対策にもなるEVタイプなどがあります。
また、これには有効期限があり、通常1年から最長で3年以内に設定されています。
有効期限が切れる前に更新をする必要があり、費用については、この有効期限の間を証明する費用となりますので、更新費が発生します。

なお、ご利用のレンタルサーバなどによっては、利用できるSSLサーバー証明書の種類が限られることもあります。
予算を含め、改めて自社におけるホームページの役割を見直したうえで、最適な証明書を選ぶ必要があります。

自社サイトで既に対策済みかどうか確認するには?

自社のホームページがHTTPS化通信がなされているか、わからないときは、自社のホームページを開き、アドレスバーをご確認ください。
アドレスバーに「!」マークと、「保護されていない通信」「保護されていません」などの表示が出たり、アドレスがhttp://から始まるときは、HTTPS通信化ができていないか、導入はできていても一部の情報にhttpのみの情報が残っているかのどちらかです。

より詳しくは、アドレスバーの「!」マークをクリックすると、「サイトへの接続は保護されていません」(そもそも導入されていないとき)や「サイトへの接続は完全には保護されていません」(導入はされているが、一部の画像やスクリプトなどにhttpからの記載がある場合)などのエラーメッセージを読むことができます。

このような際は、認証局への申請・証明書購入及びHTTPS化対応が必要になります。

ウエイ企画では、HTTPS化、SSL化において、最適なプランの提案から、証明書の購入代行、ホームページへの反映・設置まで行っております。ぜひお早めにご相談ください。