検索結果の順位決定ランキング要素のひとつに、セキュリティを高めるhttps(SSL/TLS対応)にする事が公式で発表されたという事から、個人商用サイトでもhttpsにするべきか?しない場合どう対策するべきかを色々調べて考察してみる
httpsってなんだろう?
webサーバーとwebブラウザ間の通信を暗号化するためのURLの形式。サイト上で入力フォーム等に個人情報を書き込む際、入力データが解読できる状態では問題・・。という事で、入力情報を解読できないように、暗号化して通信するセキュリティ機能を高めた通信形式をSSL(Secure Socket Layer)またはTLS(Transport Layer Security)といい、導入されているサイト、あるいはページではURLがhttpsになっているのが特徴です
httpsにするために必要な事は?
電子証明書(サイトの身分証明書)
電子証明書とは、サイトの信頼性を表す身分証明書。認証局を通して発行されるもので、この証明書に暗号化を行うための公開鍵が含まれています
データの暗号化は、3つステップで行われます
- お客さんが入力した情報を公開鍵で暗号化
- 自社のWEBサーバーに保管する時、秘密鍵で複合化
- お客さんの入力した個人情報を確認する
認証局の許可をもらったサイトである事(身分証明に含まれる公開鍵)
複合化されたデータをもとに戻すための秘密鍵がある事
このふたつの鍵が対になっている事が条件とされているためとても厳重なセキュリティです
httpsにするためにかかるランニングコスト
一言でSSL対応の証明といっても種類やグレードがたくさんあるようで、年間コストも1000円~10万円など、金額の差異があり、知名度・信頼度により価格が大きく変わるとの事。そして、SSLと一言で言っても「独自SSL」と「共有SSL」の違いもあります。※独自SSLと共有SSLの違いについては調べてください
どのレベルのSSLなら問題視されないのか?
一言でSSLといっても、提供している会社も違えば、対応している接続形式から暗号化の方法やセキュリティ証明の内容も違います。参考までにhttpsのURLになっている大手企業のセキュリティ証明を確認して一覧化してみました
| Apple | Amazon | YahooJapan | 楽天市場 | ||
| 接続形式 | TLS1.2 | TLS1.2 | TLS1.0 | TLS1.2 | TLS1.2 |
| 識別情報 | Google Internet AuthorityG2 |
Symantec class3 EV SSL CA-G3 |
Symantec class3 SecureCA-G4 |
Globalsign Organization Validation CA-SHA256-G2 |
Geo Trust SSL CA-G3 |
| 証明書の 透明性 |
○ | ○ | × | × | × |
| 暗号化 | AES_128_GCM | AES_128_CBC | 3DES_EDE_CBC | AES_128_GCM | AES_128_GCM |
| メッセージ認証 | AES_128_GCM | HMAC-SHA1 | HMAC-SHA1 | AES_128_GCM | AES_128_GCM |
| 鍵交換 | ECDHE_ECDSA | RSA | RSA | ECDHE_RSA | ECDHE_RSA |
TLSとは?
TLSとは、Transport Layer Securityの略で、通信プロトコルのひとつ。SSL(Secure Sockets Layer)の呼び名が現在TLS/SSLやSSL/TLSと併記されるようなので、意味としてはSSLと同じです。規格として、TLS1.2が最新ですが、次世代規格としてTLS1.3もすでに草稿されている事から、最新規格への対応はいたちごっこになりそうな予感・・
識別情報
契約しているセキュリティ会社の証明。各種グレードなどの違いありますが、CA-G4、CA-G3という表記は、中間CA証明書です。SSL接続の際に、ブラウザは下層から順番に証明書を辿り、最上位のルート証明書まで確認し、正しい検証ができないと、無効な証明書と認識される仕組み
EVという表記が付くと、アドレスバーが鍵マーク付きの緑でhttpsだけでなく、企業名で表示されるようになるので※Appleのサインインフォームでチェックしてみてください
証明書の透明性に関する情報
大手企業のhttpsページをチェックしていった時に、思わず二度見してしまったのが「証明書の透明性に関する情報がサーバーから提供されませんでした」という文字。証明書の透明性とは何なのか?について調べてみるとCertificate Transparency(CT)という説明がありました
CTは不正な証明書(認証局がハッカーの不正アクセスで偽の証明書を発行)を早期に発見、検知する仕組みで2013年にGoogleによって規格化されたようで・・これに非対応の場合、透明性に関する情報(それ・・偽の認証じゃない?)の信頼性が低いとみなされるようですね
暗号化・メッセージ認証・鍵交換の形式の色々
接続形式のTLS1.0や1.2によっても使える暗号化の形式が違うらしく、例えば、この表から言えば、Amazonが使っているTLS1.0では、AESという形式がありません。TLS1.1で脆弱性の問題が見つかり、TLS1.2からAESは必須・・という事になった点から考えても、TLS1.2とAESというのが安全ラインかもしれません
結論(理想):TLS1.2+AES+CT+EV+CA-G4
そこまでがっちがちにサイトの信頼性や安全を証明しないと
ランキング要素で評価マイナスされるとかだったら・・やめてほしいですよね・・
httpsにした所で掲載順位が上がるのか?
私はここが疑問点と感じます
大手企業が導入しているのは、自社サービスを利用する顧客の情報漏えいを防ぐ措置として、導入は当たり前の話。例えば、日々、検索されて多くの利用者がいる(あるいは今後も増える)WEBサービスが、セキュリティに問題があった場合、当然、責められるのは、企業ですが・・
そのセキュリティの甘さをクロールしてわかった状態でも、それを検索結果の上位に表示すれば、少なくとも・・セキュリティが甘いページを上位化させたGoogleにも責任があると判断されるかもしれません
そういう意味では、会員制のログインが必要なサイトや、個人情報を取り扱うフォームがあるWEBサイトの場合、SSL/TLSなど、信頼できるWEBサイトで安全だと証明できていないのであれば、影響があってもおかしくはないかもしれませんが・・
下がる事はあっても、上がる事はないのでは?と思います
(同業他社が未対応で勝手に下がる事で上がるかも?)
個人情報の取り扱いに対する個人サイトと大手企業の差はない
個人情報を求めるケースとしてブログやホームページ上にお問い合わせフォームを設置する人が多いです。フォームによっては、簡易的な名前とアドレスだけ求めるものもあれば、年齢、住所、生年月日等、必須項目の入力を必要とするものまであり、このフォームに入力された情報がサイトオーナーに送信されます
このデータが暗号化、複合化などSSL/TLSで解読不能な状態になっていなければ、不正アクセス(ウイルス・スパイウェア含む)の第三者によって、情報を盗まれてしまう危険性などがある事に変わりはありません
SEOのランキング要素(サイトの安全・信頼性)としてhttpsが判断基準となる場合
個人サイトの入力フォームであっても大手企業と同じ安全性を求められる事になり
逆に言えば、SSL/TLS未対応のHTMLソース上に
入力フォームがあるだけでマイナス評価・・もないとは言い切れない話
そうなってしまった時の対策として、以下の方法もありかと
お問い合わせフォームをなくし、直接メールで連絡できるようにする
アフィリエイトや物販系など、個人商用サイトにおいて、お客さんと直接やりとりするケースが少ない場合、お問い合わせフォームをなくしてしまうか、直の連絡にしてしまうというのも一つの手です
サイト上でクリックでメール送信画面を開かせる方法
ちょっとした技ですが、実はリンクメールに本文や件名を仕込む事も可能です
これだけやれれば入力フォームいらない気がしてきますよ
クリックしてみてください
サイト上でクリックで電話をかけさせる方法
デメリット:事前情報がない(致命的)
お問い合わせフォームのページだけ独立させる
お問い合わせフォームがない・・というのは、商品やサービス内容について相談したいけど
直接メールや電話する事に抵抗がある・・
というユーザーからの機会損失にもつながるため、やはりお問い合わせフォームはあったほうがいいです
そこで、フォームのページだけ、安全確保(SSL/TLS対応)を行う方法があります
※ほとんどのショッピングサイトなどがこれを採用
まとめ:https化が「ランキング要素に絡むを仮定」した場合の対処
Googleがランキング決定要素のひとつにHTTPS化を上げた理由について「サイトの信頼性・安全性の証明」と考えた場合・・気になるのは、どのレベルの証明を基準とするか?が重要です
接続形式・暗号化・中間CA証明・クロスルート証明・EV証明・CT証明・・などなど、ユーザーにとってはアドレスバーで「https」と表示されていたとしても、その安全性や信頼性における中身はピンキリです
一番手っ取りやすく、低コストかつ、面倒な手続きなしでとりあえずhttps化させようというのであれば
レンタルサーバーが所有する証明書を共有する共有SSLでもhttpsにはなりますからね
果たして、それでhttps問題解決なの?という疑問・・
どのラインをもってすれば、Googleが求める推奨レベルに達するのか
SSL/TLSのガイドラインがほしい所ですね
追記:2017年10月にGoogle Chrome対策でSSL化しました。詳しくはこちらの記事を参照
https化が順位決定の要素になること知りませんでした!
でも確かに、暗号化されている方が何を入力するにも安心ではありますよね。
とても勉強になりました。ありがとうございます。
応援完了してます^^
水島夕月さん いらっしゃい
順位決定要素といっても、個人情報の入力を促してる環境があれば
そのセキュリティは安全か?という意味で絡んでくるものだと思うので
そんなに、重要ではないような気もしないでもないですが・・
メルマガ登録やお問い合わせフォームなどに対しても
同様のセキュリティが求められるのかどうかという点では
今後、軽視できない要素でもあるかもしれませんね