常時SSL化推進についてのご案内
ユーザーに満足して頂ける効果的なWebサイトを制作します
今すべてのホームページが
『SSL化必須』に!
Chromeの強制的な警告表示が2018年7月から開始
検索エンジン最大手のGoogleが、
SSL化されていない
全てのページに警告表示!
アドレスバーに「保護されていません」との警告が表示されるようになりました
旧バージョンのGoogle Chromeでも、何らかのデータを入力するフォームを搭載したページで、
なおかつSSLによる暗号化がされていなければ、保護されていない旨の警告がアドレスバーに表示
されていました。フォームのページではなくとも、SSL化されていないページでは下記のような(!)の注意アイコンが表示されていました。
それに対してGoogle Chrome 68では、警告の対象が広がり、フォームの有無に関わらずSSL化されていない全てのページで警告が表示されるようになります。
あなたのサイトにどんな影響があるのか?
あなたのホームページにアクセスしたときに、アドレスバーの目立つ場所に「保護されていない」との警告が表示されるれば、ユーザーは不安になりそのサイトをすぐに立ち去ってしまうかもしれません。
せっかくアクセスしたのに、「保護されていない」との警告の表示により訪問者からのサイトの信頼性が低くなる可能性あります。
この警告が表示されないようにする方法は1つしかありません。
サイト全体をSSLに対応(常時SSL化∗)させることです。
∗常時SSL化・・・ウェブサイト内のログインページやフォームなど特定のページだけでなく、
その他すべての
ページをSSL化すること。
GoogleがSSL化を推奨する理由
Googleでは、ユーザーがインターネット上のコンテンツを安全に利用できる「セキュリティ」を最優先事項に掲げ、そのための取組みを実施してきました。Googleでは、盗聴(データ通信を盗聴することで、メールアドレスや住所などの情報を収集し悪用する。) 、改ざん(データを書き換えることで注文内容などを改ざんしユーザーやサイト運営者に多大な損害をもたらす。)、なりすまし(サイト運営者を装って、ユーザーから不正に金銭を得たり、ユーザーの個人情報やクレジット情報を入手し悪用する。)等のWebの3大リスクを防止する有効な手段である常時SSL化を強く推奨しているわけです。
単純にブログや「情報のみ」のようなサイトの場合でも、常時SSL化することでリスクや改ざんを減らし、侵入者が広告インジェクション(広告収入を得ることを目的に、悪意のあるプログラム(インジェクタ)を用いて、本来は掲載されない広 告の挿入や差し替えを、Webサイト運営者に無断で行うオンライン広告詐欺の1つ )などによりユーザー(ページ訪問者)に不快感を与えることを減らし、サイトのセキュリティを守るのに役立ちます。それに加え、
検索エンジンのランキングを上げる効果もあります。
『常時SSL化』は企業サイトの必須条件!
『常時SSL化』のメリットは?
そもそもSSLとは?
SSL(Secure Sockets Layer)とは、インターネット上におけるウェブブラウザとウェブサーバ間でのデータの通信を
暗号化し、送受信させる仕組みのことです。
インターネット上で頻繁に送受信される氏名・住所・メールアドレスなどの個人情報や、ショッピングの決済に必要なクレジットカード情報、ログインに必要なID・パスワードといった情報は、常に悪意ある第三者から狙われています。
SSLは、これらの重要な情報を、悪意ある第三者による盗聴を防いだり、送信される重要な情報の
改ざんを防ぐ役割を持っています。
「HTTPS」と鍵マーク
『HTTPS』とは「HyperText Transfer Protocol Secure」の略称で、インターネット上ののHTTP (HyperText Transfer Protocol)通信が、SSLによって暗号化されたプロトコルのことです。SSLによって通信データは保護され、
第三者が盗み見しようとしてもデータの内容を解読することができません。
アクセスしたウェブサイトでSSLが導入されている場合は、ウェブサイトから送信されるデータは暗号化されることが保証されているため、URLの先頭は『https://』となり、ブラウザに『鍵マーク』が表示されます。
『常時SSL化』のメリット
- ⏵セキュリティリスクに対応
認証局発行のSSLサーバ証明書で常時SSLを実現し、インターネット上のセキュティリスクに対抗。
⏵検索順位への影響
検索エンジン最大手のGoogleの検索順位の決定要因に、ウェブサイトがHTTPS(常時SSL)か否かが加 わる。
⏵SSL化で高速表示
HTTP/2プロトコルを利用したウェブサイト高速表示は、SSL化しているウェブサイトであれば実現可能 。
SSLサーバ証明書は『信頼』の基準です
SSL証明書とは?
SSL証明書とは、ブラウザとウェブサーバ間で通信データの暗号化のを行うのに必要な電子証明書で、グローバルサインなどの認証局から発行されます。
SSL証明書にはドメイン認証、企業実在認証、EV認証の3段階の認証レベルがあります。認証レベルによって、SSL暗号化通信の機能や強度に違いはありません。しかしながら、認証レベルにより、
◎取得可能な対象
◎認証局による確認項目
が異なるため、発行されるSSL証明書の信頼性に大きな違いがあります。
| 認証局による確認項目↓ | 1.ドメイン認証 | 2.企業実在認証 | 3.EV認証 |
|---|---|---|---|
| ドメインの 使用権確認 |
○ | ○ | ○ |
| フィッシング等のリスク確認 | ○ | ○ | ○ |
| 取得可能な対象が 登記済組織である必要性 |
×
(個人でも可) |
○ | ○ |
| 法的実在性確認 | × | × | ○ |
| 物理的実在性確認 | × | × | ○ |
| 事業の存在 / 運営の確認 | × | × | ○ |
〇が多い程SSL証明書の取得難易度が高くなっており、取得難易度が高い分悪用されにくく信頼性が高いと考えられます。
ドメイン認証
申請者が証明書に記載のあるドメイン(コモンネーム)使用権を所有していることを確認し発行される証明書です。
証明書に記載されるコモンネーム(URL)は偽装ができません。このため、ユーザは証明書(サイトシール)を確認することで、 自分がアクセスしているウェブサイトのコモンネーム(URL)が正しいか否かを知ることができます。
企業実在認証
証明書に記載される組織が法的に存在し、その組織が証明書に記載されるドメインの所有者であることを確認し発行される証明書です。証明書に記載される組織名は偽装ができないため、ウェブサイトにアクセスするユーザは、証明書(サイトシール)を確認することで、自分がアクセスしたURLの運営組織を知ることができます。
EV認証
EV(Extended Validation)認証は、証明書に記載されるドメインの所有者と運営組織の法的実在性の確認の他、組織の所在地や申し込み意思と権限を確認し、発行される証明書です。EV認証は世界標準の認証ガイドラインがあり、
サーバ証明書の中で最も厳格な審査が行われます。 EV認証を導入したウェブサイトはアドレスバーが緑色になる等(※緑色表示はGoogle Chrome69以降は除きます)、そのウェブサイトの運営組織が表示されます。ユーザはアドレスバーを一目見るだけで、自分がアクセスした先の運営組織を知ることができます。
どうすればいい?「常時SSL(https)」対応
SSL証明書はフーパーコムシスにおまかせ!
弊社のSSL証明は、日本国内シェア№1、準増数(2014年より4年連続)№1、業界成長度№1のグローバルサイン社発行の証明書をご提供しています。
御社に合ったSSL証明書は?
SSLの種類と選び方
SSLサーバ証明書は、確認する内容により、「ドメイン利用権のみ確認(ドメイン認証)」「ドメイン利用権と組織の法的実在性の確認(企業実在認証)」「ドメイン利用権と組織の法的・物理的実在性の確認 (EV認証)」の3つにレベル分かれ、導入するウェブサイトの利用用途に適したレベルのSSLを選ぶことが可能です。
| 1.ドメイン認証 | 2.企業実在認証 | 3.EV認証 | |
| 認証項目 | ・ドメイン名の利用権 |
・ドメイン名の利用権 ・組織の法的実在性 |
・ドメイン名の利用権 |
| 認証 レベル |
 |
 |
|
| 用 途 | 書類不要、スピード発行 |
スピード発行
⏵ウェブサイトにお問い合わせや資料請求といった個人情報を収集するフォームがあり運営組織名と住所を証明書情報に含めてユーザに安全性をアピールしたい、常時SSLでブラウザの警告表示を防ぎたいなど。 |
世界最高基準の認証で 緑のアドレスバーと運営組織名が表示 ⏵フィッシングサイト対策に、 常時SSLでブラウザの警告表示を防ぎたいなど。 |
| 証明書 取得価格 |
無料 ※設定作業は有料 |
年間 34,500円(税抜) ※設定作業は有料 |
年間 58,000円(税抜) ※設定作業は有料 |
サイトの常時SSL化に関するお問合せ・ご相談はお電話またはメールで・・・。
