Googleも推奨!サイト全体を「常時SSL化」するべき理由とメリットについて

こんにちは、チカッパであります(◉∀◉ )ゞ
前回のWebサイトのセキュリティ「SSLサーバ証明書」についてまとめてみたに引き続き「SSL」について学んでいきたいと思います。

最近よく言われる「常時SSL」。サイト全体をSSL化する方法で、現在Googleから推奨されている方法の一つです。

なぜ「常時SSL化」をする必要があるのか…?という疑問を元に改めておさらいしていきたいと思います!

常時SSLとひと昔前のSSLの違いについて

常時SSL」とはサイト全体をSSL化すること。
ブラウザなどからのアクセスは常にSSL接続となり、どのページも安全に閲覧することが可能になります。

一方、ひと昔前はお問い合わせフォームやECサイトのお支払いページなど、個人情報を入力する必要のあるページやディレクトリをSSL化(https://)する「一部SSL」が主流でした。

常時SSLとひと昔前の一部SSL

なぜサイトの一部だけをSSL化していたか…という背景には、現在よりもセキュリティの概念が緩く(全くなかったわけではありません)、個人情報をやりとりするページが守られていればセーフティだと考えられていたことが理由に挙げられます。

2つ目の理由は、SSLを導入しサイトを暗号化することで表示が遅くなる(暗号化のオーバーヘッド)という事例があったからです。

現在はサーバーやクライアント側のブラウザやデバイスの性能が上がった為、SSLを導入することで表示が遅くなる現象は改善されました。

むしろSSL化を行うと「HTTP/2(Hypertext Transfer Protocol version 2) 」という異なるプロトコルを利用するため、http://のページよりも表示が早くなるとも言われています。

では常時SSL化することで、このほかにどのようなメリットがあるのでしょうか?

常時SSL化することによるメリット

1.ユーザの情報を守ることができる

クレジットカード情報を入力する時や、メールフォームなどで導入することはもちろん理解できるけれど、個人情報を入力しないページでもSSLを導入している意味があるの?と疑問に感じることだと思います。

ここで忘れてはいけないのがCookie閲覧履歴ログイン情報など。
これらは日常的な閲覧に使用する機能ですが、実はここにもたくさんの個人情報が含まれています。

最近は公衆のWi-Fiなども増え、外出先でスマートフォンからサイトを閲覧する機会も増えましたが、公衆のWi-Fiはセキュリティ面でも甘いことが多く、第三者による個人情報の盗聴などのリスクも考えられます。

常時SSLを導入することで、どんな場所でどんな時でも安心してユーザにサイトを閲覧してもらえるようになる…というわけですね。

2.信頼性が上がる

前回のSSLサーバ証明書のブログでもお話ししましたが、「鍵マーク」「グリーンのアドレスバー」など、httpsがセキュアだと知らないユーザにとっても、一目見て「安全なページだ」とわかるようになります。

アドレスバーイメージ 鍵付き

また、団体の実在を証明する「SSLサーバ証明書の表示」も導入においての大きなメリットです。

3.Googleからの評価が高まる

2014年にGoogleから「HTTPSをランキングシグナルに使用する」すなわち検索順位の判断基準にすると公式発表がありました。

とはいえ、2017年現在の検索結果においては上位のサイトがすべて常時SSLとは限りません。
これは、現在Googleがより重視している判断基準として「ユーザにとって良質なコンテンツ(内容)であるかどうか」があるためです。

ですが、安全なWebサイトは、ユーザにとって「良質」であることは間違いありません。

httpよりもhttpsの方が順位に優遇されることは事実ですので、アルゴリズムに変更が加わった際に焦らなくても済むよう、早い段階で導入しておきたいところです。

参考:HTTPS をランキング シグナルに使用します|ウェブマスター向け公式ブログ

4.Google アナリティクスの精度が上がる

Google アナリティクスには参照元(ユーザがどこから訪問したかがわかる「リファラー」という便利な機能があります。

参照元が確認できない、参照元が無い、リファラーを確認することが出来ないアクセスはノーリファラーと呼ばれており、一覧の画面では(direct)/(none)といった形で表示されます。

ノーリファラーイメージ(direct)/(none)

実は自サイトがhttpの場合、httpsからのアクセスのリファラーを引き渡すことができないため、「ノーリファラー」となってしまいます。

リファラーの受け渡しについては以下のようなイメージです。

訪問元 自サイト リファラの受け渡し
HTTPSからのアクセス HTTPS
HTTPSからのアクセス HTTP ×
HTTPからのアクセス HTTPS
HTTPからのアクセス HTTP

自サイトがhttpsの場合は、httphttps問わず引き渡すことができるようになるため、より精度の高いアクセス解析が可能になります。

まとめ

今回は常時SSLを導入することで得られるメリットについて考えてみました。

次回は、サイトを常時SSL化するにあたり、どのようなことに注意すればいいのか、準備しておくべきことは何かあるのか…などをテーマにお伝えしていきたいと思います。

今週は以上です!チカッパでした!

▼ その他のSSLシリーズのブログはこちらです
Webサイトのセキュリティ「SSLサーバ証明書」についてまとめてみた
常時SSL化前に考える事、対応する事