常時SSL化

昨日あたりから、SSK Worldにちょっとした変化が起こっていることにお気づきの方はいらっしゃるでしょうか。と言っても、サイトの画面内を探し回っても、おそらくどこが変わったのかはわからないのではないかと思います。

Chromeで見た https://www.sskworld.net/

見た目でわかる変化は、Webブラウザーの窓枠左上、URLが表示されているアドレスバーの部分。Google Chromeブラウザーだと、緑色の南京錠のマークと共に「保護された通信」という文字が表示されているはずです。

Microsoft Edgeで見た https://www.sskworld.net/

Windows 10標準のMicrosoft Edgeブラウザーで見ても、URLの前には南京錠のマークが。そして、どちらのブラウザーでも、URLの先頭部分が「https://」となっているのが確認できるかと思います。従来は「http://」となっていた部分です。


このたび、SSK Worldでは、全てのページについてSSL(Secure Socket Layer)を用いて暗号化通信を行う、いわゆる「常時SSL化」を導入しました。SSLは、金融機関やネット通販など、個人情報をインターネットを通して送信するサイトで、従来からよく使われています。個人情報が外部に漏れないために暗号化していたわけですね。

一方、常時SSL化の場合、閲覧者と言うよりもむしろWebサイトの運営側にとって、そのサイトがホンモノであることを担保する…という意味合いの方が強くなってきます。暗号化されていることにより、誰かが内容を改ざんしたり、なりすまし行為(いわゆる「フィッシング詐欺」に使われます)を行ったりすることが困難になるからです。


一方で、常時SSL化はもっと別の意味で注目されています。というのも、Googleが同社の検索サービスにおいて、WebサイトがSSLを使っているかどうかを検索順位に反映させることを公言しているから。SEO(Search Engine Optimization ; 検索エンジン最適化)の観点から、常時SSL化した方が有利なのではないか?という話になっています。

Googleとしては、常時SSL化を徹底的に推進したいらしく、最近のバージョンのChromeでは、入力フォームのあるページにSSLが使われていないと、「保護されていない通信」の警告を出すようにまでなっています。ちょっとやり過ぎでは?という気もしますが、個々のWebサイトの信頼性を上げることが、彼らのサービスの信頼性も上げることにつながるわけですから、Googleほどの影響力があれば、こういうアプローチもアリなのでしょう。

また、従来は非常に高価だったSSL用の電子証明書に、無償のモノが登場してきたのも、個人レベルのブログ等で常時SSL化が進む後押しをしています。私の場合も、レンタルサーバーを借りているさくらインターネットで、無料のSSLサーバー証明書「Let’s Encrypt」が簡単な設定で使えるようになったことが、今回の常時SSL化のきっかけになりました。


常時SSL化は、まともにやろうとすると相当面倒くさい作業です。URLの冒頭が「https://」に書き換わるわけですから、実質的にはWebサイト全体が引っ越すのとほぼ同じことになります。SSL化以前のURLへのアクセスはSSL化後のページに誘導しておきたいところなので、このための仕掛けも必要になります。

また、Webページが「保護された通信」として認められるためには、ページ本体のHTMLだけでなく、そのページ内に埋め込まれるスクリプトやスタイルシートなどの外部ファイルも全て暗号化される必要があります。今どきのWebページは、外部ファイルを取り込むことでよりよい外観を作ったり、より高いレベルの体験を提供したりしていることが多いわけですが、全てが対応できているかを確認するのは、これまた結構面倒です。

さくらインターネットでは、自社サービス上でWordPressを運用している環境については、こうした作業をある程度一括で行えるプラグインを用意して、ユーザーが常時SSL化を導入する際の敷居を低くしています。サーバー側に独自ドメインを設定して、「www」付きのURLで運用している環境(SSK Worldもそうですが)だと、事前にひとひねり設定が必要になりますが、それでもこのプラグインの使用で手間はかなり低減できます。

既存のプラグイン類を活用しているだけなら、この常時SSL化プラグインを組み込むだけでほぼ移行作業は終了します。ただし、SSL化に対応できていない「行儀の悪い」プラグインや、自分でコードを書いた部分などが原因となって、うまく行かない場合も結構あります。WordPress導入時にがんばって組み込んで運用してきたアクセスカウンターも、エラーを出力してしまうので、とりあえず停止してあります。まあ、今どきアクセスカウンターをどうこう言う時代でもないので、このままでも良いかな?と思っていますが。


今回常時SSL化に取り組んだのは、SSK World自体がどうこう言うよりも、妻の店のWebサイトの方を常時SSL化するための実験…という意味合いの方がずっと大きなものです。事業活動のためのWebサイトの方が、信頼性を高めることはずっと重要です。もちろん、その結果としてアクセスしてもらえる機会も増えるのならありがたいことです。

本来、事業用のWebサイトなら、もう少し「格」の高い電子証明書を使った方が良いのかも知れませんが、自前のサーバーでネット直販するようなことも考えていません(少なくとも現状では、ですが)し、とりあえずは同様の無料証明書を使って動かしてみようと思います。まずはやってみること、です。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です