今回は最近ホームページによっては画面の上に「安全ではありません」と表示されるものがある件の原因と対策について。
画面の上に「安全ではありません」と表示される!?
今年(2019年)春先あたりからiPhoneでWebサイトを閲覧すると画面の上に「安全ではありません」と表示されるようになりました。これは「今見ているホームページは『SSL』という暗号化がされていないですよ」という意味です。(詳しくは後述します)
実はiPhoneに限らず、パソコンでも以前からやはり画面上部のURL(ホームページアドレス)表示窓に「保護されていない通信」などの表示が出ていました。(使用するブラウザにより言い回しなどは多少異なります)
サイトを運営されている方にとってとりあえず気になるのは「SSLって何?」ということかと思うのですが、端的に言えば「データ漏えい対策」という意味だと思っておいて頂ければ宜しいかと思います。この仕組みが設置されていないホームページは画面の上に「安全ではありません」と表示されてしまう、ということになります。
ちなみに「SSL」対応のホームページはURL(ホームページアドレス)の先頭が「http://」ではなく「https://」というふうに「s」が付きます。そしてブラウザの上のURL表示部分に鍵マークが表示されます。
(サイトの構造によってはhttpsでも鍵マークが表示されない場合があります)
「https://」の表記が省略されて表示されている場合もURLの窓をクリックすると表示される、と思います。
(OSやブラウザにより多少異なります)
ホームページというのはインターネット上の「サーバー」に入っているデータのようなもので、これをパソコンで見ているわけで、遠くのサーバーに入っているデータを電話回線を使って読み出しているわけですから当然データのやり取り、つまり「通信」が行われます。
「サーバー」について詳しくは下記の記事も併せてご覧ください。(過去記事)
「共通鍵」を設定してデータ通信を保護する「SSL」
そこでこの閲覧者のパソコン(スマホも含む)とサーバーとの間で「共通鍵」というものを設定して、第三者にはデータのやり取りを盗み見ることができないようにする仕掛けが「SSL」(Secure Sockets Layer)というもの。この「SSL」自体は以前から一部のサイトで使われていました。
例えば金融関係などの厳重なセキュリティ管理が必要なサイトなどの「お問い合わせフォーム」などにはSSLが設定されている、などです。
先ほどから「SSL」と呼んでいますが実は現在は進化して「TLS」(Transport Layer Security)という名前になっています。が、「SSL」という名称が一般化しているので「SSL」、または「SSL/TLS」といった呼び方が一般的です。
そして近頃はセキュリティ意識の高まりにより、SSLをお問い合わせフォームなど一部のページだけでなく、サイト全体をSSL化する「常時SSL」が推奨されています。
「推奨されている」と書きましたが、誰が推奨しているのかというと「Googleが」です。
検索エンジンの世界をほぼ支配しているGoogleが「HTTPS(SSL対応)のWebページを検索で優遇しますよ」と言っており、iPhoneを作っているAppleも自社のブラウザ「Safari」ではSSL対応していないサイトを表示すると「安全ではありません」と表示するようになりました。
ChromeやFirefoxといった他のブラウザも、注意を促すアイコンが表示されていたりします。
これが2019年の今のウェブの世界。
ホームページの運営をしている側の方々からすると、
「常時SSL対応しないとそんなにまずいのか?」
という疑問が当然出て来ると思います。
確かに情報漏洩の対策はしておいた方が良いに決まっていますが、次から次へと新しい技術への対応を求められ続けていると「また仕様変更しないといけないのか?」と考えられるのも無理からぬことかとは思います。とは言っても自社サイトで「安全ではありません」などと表示されてしまうとやはり会社としての信頼感という面では少々厳しい。
そのようなこともあり、ここにきて多くの企業サイトが「常時SSL対応」、そして「スマートフォンでの表示への対応」にどんどん切り替わっている状況です。
その一方で、対応できていないサイトもまだまだたくさんあります。
ホームページの「スマホ対応」(レスポンシブデザイン化)については下記記事も併せてご覧ください。(過去記事)
「常時SSL」に対応していないホームページはどうなる?
常時SSL対応しないとそのうち自社のサイト閲覧者が情報を不正に抜かれたりするかというと、サイトによりその危険性にはばらつきがあるとは思いますが、「安全です」と胸を張って保証できるかというと決してそうではない。
だからGoogleやAppleがこれだけ「常時SSL推し」しているとも言えます。
そういうセキュリティ的な問題もありますが、「見た目」の問題もあります。
サイトによってはこちらの方が影響が大きいかもしれません。
最近はパソコンではなくスマホでホームページを見るという人が増えています。日本の場合スマホユーザーの7割近くをiPhoneが占めている(2019年7月時点)わけですが、そのiPhoneで自社サイトを閲覧した時に上の方に「安全ではありません」といつも表示されているのはやはり問題です。
せっかくサイトに訪れてくれた人がいても、見た目で不安に思われて帰られたら困りますね。
先述のように検索最大手のGoogleが公式にHTTPSサイトの優遇を発表しているわけなので検索した時になるべく上位表示させたければHTTPS、つまりSSL対応にしておくのが望ましいということでもあります。いわゆる「SEO」対策の一環としても「常時SSL対応」はやっておくのがおすすめです。
すでに運営中のホームページを常時SSL対応にすることも可能です。少なくともこれから制作するホームページは常時SSL化は必須と言えると思われます。