常時SSL化は必須?!Google ChromeでHTTPだと警告が表示されるようになる
- WEB
- 投稿者:WEB上手 | 2016年9月12日
この記事を簡単に書くと…
- Google ChromeではHTTP接続の場合、警告を表示するようになる
- XSERVERなら無料で常時SSL化することができる
- 常時SSLにしたからといって安心はできない
Googleは「より安全なWEBへ」と題して、ユーザーに、より安心してWEBを閲覧してもらえるような施策をしていくことを発表しました。
・Moving towards a more secure web
https://security.googleblog.com/2016/09/moving-towards-more-secure-web.html
具体的には、安全(HTTPS)ではない、HTTP接続によってWEBを閲覧するような場合には、Google Chromeのアドレスバーの隣に「Not Secure」と表示されるようです。おそらく日本語版では、「危険」とか「安全ではない」と表示されるのでしょうか。
まずはパスワードまたはクレジットカードの情報を送信する場合
まずは2017年1月から、パスワードまたはクレジットカードの情報を送信する際に、HTTPSではない接続を利用する場合に表示されるようです。
クレジットカードの情報を送信する際には、ほとんどHTTPSになっていると思いますが、パスワードの送信の際には、まだHTTPのままのサイトは多そうですよね。。。
また、アドレスバーの横に警告が表示されていても、ユーザーは結局、表示されていることになれてしまうので、表示方法を強めていくそうです。さらには、最終的には全てのHTTP接続の際に、警告を表示する計画をしているとのことです。
企業は常時SSL化は避けられない
2年前にはGoogleは、検索結果にHTTPSのサイト(常時SSL)を優遇するという発表をしました。そこから一気に常時SSLが普及し始めたわけですが、やはり個人レベルやお金をかけられないような中小企業には、常時SSLにするには厳しいものがありました。
ですが、警告まで表示されるようになってしまっては、企業としては信用に関わってくる問題ですよね。Googleの警告表示も、すぐに施策をしなければならないというわけではなさそうですが、少なからず近い将来、常時SSLにしなければならない日はやってきそうです。
とはいえ、最近では、常時SSLが無料で使えるようなレンタルサーバーも登場しているので、そういったプロバイダーを利用すれば、最低限の負担で常時SSLにすることは出来そうですね。
常時SSLが無料で利用できるレンタルサーバー
本来、独自ドメインで常時SSLにするような場合には、年間数千円~数万円というランニングコストが発生していました。それが「XSERVER」というレンタルサーバーでは、独自SSLを無料で利用できるようになったのです。
・「XSERVER」で独自SSLが無料に!「Let’s Encrypt」の更新も自動
https://www.web-jozu.com/web/ssl_box/
XSERVERは、WordPressを利用するような場合でも、快適に閲覧できるようなスペックを持ち合わせていると評判のレンタルサーバーです。一番安いプランは月額900円(3年契約の場合)から用意されています。ただ、プラン(料金)の違いは、容量はDBの使える数の違いになってきますので、機能面で劣ることはありません。
通常、常時SSLを考慮する場合、複数のサイトを運営している時には、運営している数だけ独自SSLのランニングコストが発生していました。しかしXSERVERを利用すれば、一つの契約で複数のサイトを運営していても、独自SSLが全て無料で使えます。これはすごいですね。
常時SSLの陰に潜む攻撃に注意
ただ、常時SSLによって、通信が暗号化されたことで、完全に安心というわけではないようです。常時SSLによって暗号化されて、通信が読み取れないことを逆手にとって、そのなかに攻撃を潜ませるという手法が増えてくるようなのです。
・常時SSLの落とし穴
https://f5.com/jp/solutions/topics/website-ssl
それでも、こういったサービスを利用すると、また膨大なランニングコストがかかってくるわけで。。。 なかなかキリがないですよね。個人や中小企業には、結局手が出せない領域になってくるかと思います。
少なくとも、無料で使えるようなSSLは、セキュリティに関しては、有料のものよりは劣ってくる可能性が高いのではないでしょうか。もし可能な限りセキュリティを高めたい場合には、有料の独自SSLを利用した方が良いかもしれませんね。
まとめ
「HTTPよりはHTTPS」、「無料のHTTPSよりは有料のHTTPS」、「有料のHTTPSだけよりはHTTPS通信の可視化」といった具合に、WEBのセキュリティ度合が高まっていきそうですね。
少なくとも、この数年の間には、常時SSL化はした方が良さそうです。
コメントする