いつやるか？常時SSL

常時SSLとはWebサイト全体のHTTPS化を、常時SSLと言います。
このページのURLを見てください。https://で始まっており、横に鍵マークが表示されています。
これは、このページがhttps化されていることを示しています。

従来は、お問合せフォームやログインパスワードなどの高いセキュリティを必要とするケースに限って利用されていたサイトの暗号化対応ですが、Googleをはじめとする業界団体の働きかけなどにより、常時SSLサイトが一般化しつつあります。

検索順位への影響Googleが、検索順位を決定する要素に、そのページがHTTPSかどうかを判断材料として採用すると発表しました。

現状順位に大きな影響は出ていないようですが、将来的に、順位の決定要素としてのウェイトが増える可能性がありそうです。

「HTTPサイトは安全でない」と主要ブラウザが警告強化既に、Google Chrome(Chrome 68)で入力フォームを使用したとき「保護されていません」という警告が表示されます。

さらに、今後のGoogle Chrome(Chrome 64)では、この表示が入力フォーム以外にも適用されることが発表されています。

無料SSL Let's Encrypt近年、サイトの常時SSL化が進んだ背景として、無料のSSL証明書 Let's Encrypt の存在が挙げられます。
以前であれば、費用も年間数千円、証明書の種類によっては数万円以上かけていたケースもありましたが、同じ「ドメイン認証」のSSL証明書であれば、Let's Encryptが選ばれるケースも増えているようです。

また、従来だと、証明書の更新の都度、CSRの作成が手間となっていましたが、それが自動化された点もLet's Encryptを選ぶメリットとなっています。

HTTPSの注意点動画、画像、スタイルシート、Javascriptなどを別ドメインから読み込んでいると、URLをhttpsに変更した際、表示されないケースや警告が表示される場合があります。

ホームページをCMSで管理している場合、HTMLの記述は一括して編集できますが、読み込んでいる外部サービスがhttpsに対応していないと、従来読み込まれていたコンテンツが移行後に利用できなくなってしまう場合があります。

またいくつかのサービスでは、httpとhttpsは別のURLとして区別される場合があります。

具体的な例としては、アクセス解析の設定、Facebook記事の「いいね!」のカウントなどが0になるなどが挙げられます。

特に外部サービスを利用している場合は、事前に確認したほうがよいでしょう。

まとめ

• 業界団体の働きかけで専用SSLが一般化しつつある。
• 将来的には、Google ChromeがHTTPS以外の接続は安全でないという表示になる。
• 新しく立ち上げるホームページは常時SSL化がおすすめ。
• 変更する場合には、サイト全体の確認が必要となるので注意点もあり。