ワクワクして働くための生産性↗向上Hacks

ワクワクは最強のライフハックなのです。

「保護されていません」表示開始が目前!HTTPSについてこれだけ押さえておこう(追記あり)

どうも!

Ganapatiです。

f:id:ganapati55:20170707142221j:plain

ちょっと前の投稿でも書きましたが独自ドメイン使用のはてなブログのHTTPS対応は本当に急いでほしいです。直近の発表では6月末までにアナウンスがあるということでしたが本当に大丈夫なのでしょうか?

HTTPSは昨年前半まではWEBサイト表示の高速化、ひいてはSEO対策として有利、、、みたいな話が中心だったわけですが、その後GoogleがHTTPS対応していないサイトにアクセスした際の表示を「保護されていません」「Not secure」にすると発表したとたんに大ごとになっています。

今回は「HTTPS」に関するユーザー目線での話を少々。。。

非HTTPSサイトの「保護されていません」表示は7月から

基本的にはChromeというGoogle純正ブラウザに限った話ですが、非HTTPSサイトに「保護されていません」という表示が出るようになるのはChromeがバージョン68になってから、つまり2018年7月以降を予定しています。

具体的にどのような表示になるかは以下のサイトが参考になります。

※参考記事

www.godaddy.com

ちなみにですがChromeのシェアは日本においては4割超。世界においては6割に迫る勢いです。そしてほかのブラウザもChromeの表示に準じた表示になる可能性が高いのです。

非HTTPSサイトがどのように表示されるか?

へたくそかもしれませんが、私もザックリ図にしてみました。

f:id:ganapati55:20180516154459j:plain

以下解説します。

①これまでの表示

①はこれまでのHTTPサイトです。HTTPS対応サイトは緑色でカギのアイコンが表示されるのですが、非HTTPSサイトにはインフォメーションのマークがグレーで表示されるだけです。

おそらくこれだけで違和感を感じる人はいないはず。インフォメーションのマークなんてそれほど珍しいものではありませんからね。

②これからの非HTTPサイトの表示

②のようにインフォメーションマークの右側に「保護されていません」という表示がなされるようになります。PCもスマホも。

②の表示をどう思います?

WEBに詳しい人なら「単なるHTTPサイト」と判断するでしょうが、世の中の大半の人はWEBに詳しくありません。そんな人が「保護されていません」なんて表示を見てそのサイトを信頼するでしょうか?

するわけがない!

とくにECサイトや個人情報を送信する必要があるサイトでこんな表示がなされていたら「やばいサイトに個人情報を悪用されるかも」「ウイルスとか感染したりしないかな・・」という気持ちになるでしょう。

そんなのありえない、こっちはまともに運営している、と自分では思っていても、相手はそうはいかないわけです。

これが非HTTPSサイトを運営することの最大の恐怖です。

③最悪なアラート表示

特に③になると最悪です。たぶん気づいた瞬間離脱する人がいるでしょう。いかにもやばそうな表示じゃないですか?フィッシング系のサイトにアクセスしそうな時にGoogleやウイルス対策ソフトが表示する注意喚起の文章や色に似ています。それもあって恐怖でしかありません

④MixedContentのときの表示

HTTPSに対応したよ!とか余裕をぶっこいていても必ずしも安心できません。SSL証明書をサーバーにあてただけではHTTPS化したとは言えないからです。

その代表格がMixedContentの問題です。つまり、一部がHTTPで通信されているよってこと。この場合は④のような表示になります。

これだけではそれほど気にする人はいないのでしょうが、ちょっとした調整をするだけで緑色の「保護された通信」が表示できるのですからしっかり対策をしましょう。

HTTPS化に関するよくある誤解

HTTPS化の話題でよくある誤解をいくつか紹介しておきます。

HTTPS化したサイトは安全?

ちょっと前まではSSL証明書を簡単に取得することはできなかったので比較的安全といえたのですが、今では誰でも簡単にSSL証明書を取得することができるようになりました。

その結果、サイトそのものが安全かどうかについてはまったく別次元の話になってしまったのです。

HTTPSサイトはあくまでサーバーとあなたが使っているブラウザ間のデータのやり取りが暗号化されているという証明にしかなりません。

しかも、暗号化しているからと言って100%安全というわけでもなく、暗号化していないよりははるかに安全というだけです。

HTTPS化すると表示が速くなる?

サイト運営者側のよくある誤解です。HTTPS化と表示の高速化はイコールではありません。実態上、HTTPS化するとHTTP/2という高速表示に役立つ仕組みでデータが送信されることがほとんどというだけです。

そして、HTTP/2にしたところで表示が速くなるかはあなたのサイトの作り方次第です。詳しいことは割愛しますが、ザックリ説明するとHTTPでは20個のデータまでしか同時に送れなかったとしてそれがHTTP/2で100個可能になったとしても、そもそもあなたのサイトが20個しかデータを送っていないのならほぼ無意味ということです。

この場合、ほかの手段で表示高速化を目指すほうが効果があります。

ちなみにはてなブログで独自ドメインサイトはいまだHTTPになっていますが、ほとんどのデータははてなの利用するCDNサービスを通じてHTTPSで通信されています。そういう意味でははてなブログはすでに高速表示に対応できています。単純にドメインに関してHTTPSができないだけとも言えます。

再度言いますが、HTTPS=高速表示 ではないのです。裏側を知る必要があるのです。

SSL証明書は高い

ベリサインなど有名どころの証明書は確かに取得費用もその後の更新費用もお高いです。が、近年はやりのLetsEncryptのような無料の証明書を利用したり、CloudFlareのようなCDNサービスの無料SSL証明書を利用するという手段もあります。

というか次の説明を見れば有料SSL証明ってなんだろね?と疑問を持つかもしれません。

無料のSSL証明書は心配

ぶっちゃけ、SSL証明書が無料か有料かというのはどうでも良いと思います。問題はそこではありません。「ユーザーはどういう表示になれば安心できるか」が重要です。(ECサイトに関してはモールとかに登録する際に一定レベル以上のSSL証明書を求められることもあるようですが・・・。)

この話に関してはSSL証明書の種類について理解しておくと良いです。以下のサイトが参考になります。

www.websecurity.symantec.com

ざっくりいうと以下のような3種類があります。

① ドメイン証明書:一番安い。個人で購入可能。ドメインが存在すればOK。なので信頼性は低い。

② 企業認証型証明書:ちょっとお高い。法人など運営している団体の有無に関する「確認」がある。(信用照会や電話確認がある。)なので信頼性が高い。

③ EV証明書:お高い。法人など運営している団体について厳格な「審査」がある。(謄本を送ったりする。)信頼性が非常に高くアドレスバーに「団体名」が表示される。

ついでに言うと無料のSSL証明書は①のタイプを使っています。

あくまで個人的な見解でいうのですが、①と②に関してはユーザー側からはその違いはまず分かりません。と考えると無料の①タイプのSSL証明書で十分です。

有料で利用して意味があるのは③だけ。これにしたってユーザーが「企業名表示=より高い信用」というふうに変換できるかどうかに関しては上記に説明したようなSSLの種類を知っているかどうか次第です。知らなければどっちでも同じ。

つまり、無料かどうかなんてのはユーザー側からしてみればほぼ関係ないといえます。

ちなみに有料のSSL証明書を発行している一部の団体が、信頼ならないサイトにSSL証明書を発行しまくったために2018年Googleから「おたくの団体のSSL証明書を使っているサイトはすべからく信用しない(SSL無効)マークを表示するからね」とお達しがあったばかりです。ちなみにその団体はSSL証明書発行機関として結構有名なところばかりでした。。。当該機関のSSL証明書をお金を払ってまで使っていた善良なサイト運営者は怒ったでしょうね。

有料のSSL証明書すらこんな感じなのです。

HTTPS化すると上位表示される

いまのところGoogleはHTTPSと検索上位表示は直接関係はないとしています。あくまでユーザーのために有効だという話です。今後はわかりませんが・・・。

はてなブログ独自ドメインのHTTPS化を急いでほしい理由

はっきり言うと、HTTPS化の作業が大変になる場合が多いからです。

外部リンクに関してはHTTPのままでもMixedContentにはなりませんが、内部リンク(同一ドメイン内のリンク)に関してはMixedContentにつながるためhttpをhttpsに置き換える作業が必要です。

はてなドメインに関してはそのあたりは自動的にできるのではないかと思いますが、独自ドメインは間違いなく運営者の手作業で修正になります。

運営期間が長いサイトほど大変なのです。

はてなブログに限らず非HTTPSサイトを運営の特に法人の皆さまはとにかく急いで対応することをお勧めします。

最後にもう一度、、、

「保護されていません」を見て個人情報を送りたいと思いますか?

最後に・・・サクッとHTTPS化する方法

はてなブログでは不可能なのですが、CloudFlareを使えればサクッと無料でHTTPS化可能です。内部のHTTPリンクも強制的にHTTPSに書き換える機能が用意されているので超簡単です。

困ったら試してください。

(5/18追記)「保護されていません」表示見本と9月からの変化

ふと気づいたのですが、すでに「保護されていません」表示が一部で始まっているようです。はてなブログの管理画面を見ていて気付きました・・・。

f:id:ganapati55:20180518092837j:plain

それと今年の9月からは緑色の「保護された通信」という表示がなくなるそうです。グレーの鍵マークだけになるとのこと。

www.theverge.com

「保護されているのが当たり前」というGoogleの考え方に準じた措置だそうです。こうなってくるとHTTPSはSEOに響くのが現実になりそうですね。。。。