ホームページのSSL化（https化）は必須！しないとどうなる？

「SSLって何？」という方でも、Webサイトを閲覧しているとアドレスバーに「保護されていない通信」や「安全ではありません」と表示され不安になり、閲覧をやめたという経験はありませんか？

そのWebサイトは、URLが「http://」から始まるSSL化されていないサイトになります。

SSL化されていないWebサイトは、ユーザーに不安を与えてしまうだけでなく、セキュリティ面でのリスクもあります。

あなたのホームページのセキュリティを高めるために、必ずSSL化を行いましょう。

ホームページをSSL化することで、

• あなたのホームページが安全であることをアピールできる
• 訪問してくれるユーザーの安全も守られる
• SEO効果も期待できる

今やWebサイトには必須といわれる「SSL化」について、「初心者がまず知っておきたいこと」を中心に解説していきたいと思います。

SSL化って何？

SSL（Secure Sockets Layer）とは、インターネット上の通信を暗号化する仕組みです。

「閲覧しているWebサイト（サーバー）」と閲覧に使用しているユーザーの「パソコンやスマホ（ブラウザ）」のやりとりを暗号化します。

SSL化されたWebサイト上でのやりとりは暗号化されているため、万が一、個人情報やクレジットカード情報などを盗み見られたとしても、データ内容を解読することができません。

SSL化するとURLは「https://」から始まります。
それまでのURL「http」に「Secure（安全）」の「s」がつき、アドレスバーの先頭に南京錠のマークもつきます。

常時SSL化とは？

常時SSL化とは、サイト全体をSSL化することです。

個人情報が取り扱われる特定の場面、お問い合わせフォームや会員登録フォーム、ショッピングカートなどだけSSL化するのではなく、サイト全体をSSL化し “ユーザーのパソコンやスマホ” から “サーバー” までのすべての通信を暗号化することで、盗聴・なりすまし・改ざんを防止することができます。

現在ではほとんどの場合、SSL化というと常時SSL化のことを指します。

SSL化しないとどうなるの？

セキュリティ面でのリスク

SSL化されていないと通信データが暗号化されず、以下のようなリスクがあります。

• 送信した個人情報の漏洩
• 暗号化されていない公共のWi-Fiネットワークなどを悪用した盗聴、なりすまし、改ざん
• 「フィッシング詐欺」と呼ばれるようなWebサイトのなりすまし

ホームページを運営する側だけでなく、訪問してくれるユーザーにもリスクを与えてしまいます。

ユーザーへ不信感を与えてしまう

SSL化されていないと、アドレスバーに「保護されていない通信」や「安全ではありません」などの警告が表示されます。

警告表示を見たユーザーは、不安になりサイトから離れてしまいます。その結果、機会損失にもつながります。

検索順位が下がってしまう

Googleは 

• ”セキュリティはGoogleの最優先事項” であること
• ”SSL化されているサイト（httpsサイト）を検索結果で優先表示する” こと

を発表しています。

Googleなどの検索エンジンは「ユーザーが安心して利用できる質の高いサイト」を評価するため、SSL化されていないサイトは「ユーザーの安全性が確保されていない」と見なされ、評価が低くなり検索順位は下がってしまいます。

ページの表示速度が遅くなる

SSL化しHTTPS通信になることで、Webサイトの表示を高速化する “次世代プロトコルHTTP/2” を利用できるようになります。

SSL化されていないHTTP通信では、HTTP/2が利用できず表示速度が遅くなってしまいます。

一般的に「ページの表示に3秒以上かかると過半数のユーザーがサイトから離れてしまう」と言われており、Googleもまた ”ページの表示速度が検索順位に影響する” ことを発表しています。

表示速度が遅いことは、ユーザーにとってもSEO的にもデメリットになります。

SSL証明書の種類【3つのレベル】

SSL化すると「電子証明書」が認証局から発行されます。

SSL証明書の役割は以下の2つ。

• サイトの所有者の証明
• やりとりされるデータの暗号化

SSL証明書には3つのレベルがあり、どの証明書もセキュリティ強度に変わりはありませんが、信頼性に違いがあります。

DV（ドメイン認証）

ドメインの所有者とSSL証明書の申請者が一致していることを証明するもの。

ドメイン所有者の実在性はチェックされないため、実在証明としては最もレベルが低くなりますが、コストも低く、Web上で簡単に申請手続きができます。

無料のSSL「Let’s Encrypt」もDV（ドメイン認証）になります。

OV（企業認証）

ドメインの所有者である企業が実在していることを証明するもの。（企業や組織のみに発行される）

登記情報や電話確認によって企業の実在確認が行われ、コストも高くなります。

EV（EV認証）

「OV（企業認証）」より厳格な審査を経て、ドメインの所有者である企業が実在していることを証明するもの。

書類送付による所在地の確認が行なわれるなど厳格な審査を経るため、最も信頼性の高い証明書になり、申請から発行までには多くの手間と費用がかかります。

無料のSSL『Let’s Encrypt（レッツ エンクリプト）』

無料のSSLで有名なのが『Let’s Encrypt』です。

「なぜ、無料で利用できるの？」
「無料はうれしいけど、ちょっと心配…」

など不安になりますよね？

『Let’s Encrypt』は「誰もが安全にインターネットを利用できる環境を目指し、SSLを普及させる」ことを目的とした非営利団体で運営されています。

この理念に賛同した多くのIT企業、世界的な大企業がスポンサーとして支援を行っているため、無料で利用できる上、信頼もできるということです。
暗号化の強度にも違いはありません。

注意点は以下の２つ。

• SSL証明書としてはDV（ドメイン認証）レベルであること
• 無料であるためサポート対応がないこと

最近は、多くのレンタルサーバー会社が『Let’s Encrypt』を提供しており、簡単にサイトをSSL化できるようになっています。

サーバーの画面上で申請すれば、申請受付から証明書の発行、証明書の更新まで自動で行ってくれます。（Let’s Encrypt が発行するSSL証明書の有効期間は90日間と短めです）

まとめ

今は、情報収集のためだけでなくオンラインショッピングや個人の情報発信の場としてなど、誰もが日常的にインターネットを利用します。

そのため、個人情報の保護をはじめ、ユーザーの安全が守られることは大前提でなければなりません。

ホームページをSSL化することは、訪問してくれるユーザーの安全を守るだけでなく、ホームページを運営する側にも以下のようなメリットがあります。

• セキュリティの強化
• 検索順位で優先される
• ページ表示の高速化

Googleが推奨していることでSEO対策としても必須になっています。

ユーザーに安心してホームページを訪問してもらうためにも、SEOの観点からも、必ずホームページのSSL化を行いましょう。

無料のSSL『Let’s Encrypt』に対応したレンタルサーバーであれば、費用もかからず簡単に設定することができるのでおすすめです。