常時SSL Lab.編集部Web担の方なら、クライアントから一度は「セキュリティは大丈夫なの?」「安全なの?」などと言われたことはありませんか?
Webサイトのセキュリティ対策といえば、真っ先に「SSL(暗号化通信)」を思い浮かべる方も多いのではないでしょうか。
そのSSLの対応が、今まさに変化しつつあります。
それがWebサイト全体をSSL化する「常時SSL」です!
ご存じの方もいらっしゃるとは思いますが、Google検索ではHTTPSが検索ランキング表示で優遇されたり、Yahoo! JAPANが来年3月までにすべてのサービスにおいて常時SSL対応を宣言したりと、インターネット業界では「常時SSL」がトレンドとなっています。
「常時SSL」という言葉だけをみると、どこか堅苦しくて難しいようにとらえられがちですが、実はそんなことはありません。
びっくりするほどシンプルな考え方です。
ここでは、「常時SSL」の基本的な考え方をシンプルに説明します。
常時SSLとは?
まずは、SSLとは何かをおさらいしておきましょう。
SSL(Secure Socket Layer)とは、インターネット上でやりとりする通信データを暗号化する技術です。
通信データを暗号化することにより、悪意のある第三者からの「盗聴」「改ざん」「なりすまし」を防止することができます。
念のためもう一度言いますが、暗号化するのはあくまでも通信データです。
エンドユーザーのパソコンとホームページ(サーバー)との間で、インターネット上を使って通信するデータですね。
たまに勘違いをされる方もいらっしゃるのですが、SSLではホームページで使っているHTMLファイルや画像ファイルなどは暗号化されません。
もちろん、サーバー上に保管しているファイルが暗号化されているわけではないので注意してくださいね。
では、「常時SSL」はいままでの暗号化通信(SSL)とどんな風に違うのでしょうか?
答えは、SSLを対応させる範囲です!
常時SSLとは、「Always On SSL(AOSSL)」とも呼ばれており、「常に暗号化通信にしちゃいましょう!」ということです。
そのままじゃん!とおしかりを受けそうですが、、、だって、ほんとにそのままなのです。
今でもショッピングサイトやオンラインバンキングなど、暗号化通信を利用したWebサイトは多くあります。
いままでのWebサイトでは、サイトの入り口は"http://"で、問合せフォームやログイン画面など大切なデータを入力するページだけを"https://"(暗号化通信)にするのが主流でした。
それとは違い、常時SSLではサイトの入り口からずーーーーっと"https://"にしましょう!という考え方です。
つまりは、サイト全体をSSL(HTTPS = 暗号化通信)にしようということです。
ね、考え方はすごくシンプルでしょ。
サイト全体をHTTPSにする方法としては、大きく以下の2種類があります。
-
HTTPSでのみWebサイトを公開する
“http://”でアクセスがあった場合に、強制的に”https://”に転送(リダイレクト)する -
HTTPSとHTTPを並存してWebサイトを公開する
ユーザーが”http://”または”https://”のどちらかにアクセスをする
2.の場合、せっかく”https://”のアクセスに対応していても、ユーザーが”http://”にアクセスをしてしまうと、常時SSLにはなりません。
確実にHTTPS環境を提供するのであれば、1.の方法がベストですね。
httpsって知っていますか?今さら聞けない基礎知識
Webサイト全体をHTTPS(暗号化通信)にするべき"3つのワケ"
常時SSLが世の中の主流に
常時SSLは大手サイトのGoogle、Facebook、Twitter、YouTube、Netflixなどでも採用されている手法です。
また、Yahoo! JAPANは2017年3月までに常時SSLに対応することを宣言しています。
このように、常時SSLは世の中の主流になりつつあります。
時代の波に乗り遅れないためにも、常時SSLへの準備をはじめましょう。
アメリカ政府が義務化?!Googleも推進する常時SSL化の波
Yahoo!,Google,Facebook有名サイトが続々と常時SSL化する理由
Chrome 69からHTTPSの表記が変化!Chrome 70以降も要チェック!
この記事のポイント
- 常時SSLの考え方はシンプル!
- サイト全体をHTTPSにしましょう。
- 常時SSLが世の中の主流に。
株式会社IDCフロンティア
