【コラム】 WebサイトのSSL化が大切な理由を説明する

ディレクターがクライアントとやり取りをしてるのを見てて感じるのがSSLの重要性です。

おそらくURLが「https://」から始まるくらいのイメージしか無いのでしょう。SSLを導入しなくてもサイトは見れるため、導入する意義が分からないのだと思われます。

有料のSSL証明書の導入を提案しようものなら「そんなよく分からんモノに金なんて払いたくない！」ってなるでしょう。僕もSSLを知らなかったらそう感じます。

SSLを導入する一番の理由とは？

SSLを導入する大きな理由はセキュリティです。

一般的に、私たちがWebサイトを見るときは HTTP通信と呼ばれるやりとりが行われます。

HTTP通信の説明については、フォロワーのまにゃpy先生がめっちゃ分かりやすい説明ツイートをしてくださったので引用します👇

スクレイピングを理解するためには、『HTTP通信』について覚えておきたいです。

私たちがWebサイトを見る時、HTTP通信というデータのやり取りをしています。

これはWebブラウザーからWebサーバーへのリクエストと、WebサーバーからWebブラウザーへのレスポンスでデータを送受信する仕組みです。 pic.twitter.com/Sdsp6S7H7s

— まにゃpy@Python解説の猫 (@uuyr112) October 9, 2019

例えば、あなたが今読んでいるこのnoteは、あなたが利用しているブラウザから送った「このnoteの記事を見たい」といったリクエストをサイトのサーバー（この例だとnoteのサーバーですね）が受け取り、それへの応答として渡されたデータということになります。

従来のHypertext Transfer Protocol（通称 HTTP）という方式では、やり取りする際のデータを裸のままで行っていました。

データが裸のままだということは、もし仮にあなたとサーバーとの間でやり取りされているデータを第三者が傍受できたとしたら、あなたがどんなページを閲覧しているのか、あなたがどんなデータをやり取りしたのかなど、そういった情報が第三者にダダ洩れになってしまうのです。

この場合の第三者の具体例としてはネットワーク管理者が挙げられます。ネットワークが不正なことに利用されていないか、しっかりと監視しています。配慮の行き届いた会社や教育機関ではしっかり監視されているはずなので、職場のネットでTwitterだったりスケベなサイトを見たりすると丸分かりなわけですね！

もっと恐ろしいところだと、公共のWi-Fiを使ってネットをする場合は、そのWi-Fiが届く範囲にいる人誰もが第三者になりえます。

職場でスケベなサイトを見ているのがバレても説教されるだけで済む可能性はありますが、サービスを利用するためにフォームに記入したクレカの情報や住所、電話番号といった個人情報が外部に漏れるのは危険ですね…。

そういった第三者への情報漏れを防ぐために、やりとりを傍受されても問題ないようにデータを暗号化した状態でやり取りする。それが「Secure Socket Layer（通称SSL）」という技術です。

SSL自体はかつて存在したネットスケープコミュニケーションズという会社が1994年にリリースしており、90年代からECサイトなどの個人情報を入力する必要のあるページでは積極的に利用されていました。

近年は、時代の変化によって保護されるべき情報が増えたこともあり、フォームなどの個人情報を記入するような特定のページだけではなく、全てのページにSSLを使うべきだという流れになっています。

GoogleによるSSLの促進

特にGoogle社はSSLを非常に重要視しており、 2014年のGoogleウェブマスター向け公式ブログでは以下のような声明がリリースされました。

Googleのランキング アルゴリズムでのシグナルとして、暗号化された安全な接続をサイトで使用しているかを考慮に入れたテストを実施してきました。この実験ではよい結果が得られているため、ユーザーがもっと安全にサイトを閲覧できるよう、すべてのサイト所有者の皆様にHTTPからHTTPS への切り替えをおすすめしたいと考えています。このランキングの変更は、グローバルでクエリの1%未満にしか影響しませんが、これから長い期間をかけて強化していきます。全体的に見ると、このシグナルは良質なコンテンツであるといった、その他のシグナルほどウェイトは大きくありません。HTTPSは、優れたユーザーエクスペリエンスを生み出す多くの要素のうちの 1 つです。
（Googleウェブマスター向け公式ブログ『HTTPSをランキングシグナルに使用します』より引用）

簡潔に言うと「SSL化されていないサイトはSEO的にマイナスになるぞ！」って声明ですね。

また、SEO云々抜きにしても2018年にリリースされたChrome 70からはSSL化されていないサイトには赤く警告が出されるようになりましたし、2019年にリリースされたChrome 79からはSSL化されているサイトにおいて暗号化されていないコンテンツが含まれる場合は段階的にブロックされるようになりました。

【画像で解説】混合コンテンツでブロックとなった時の確認と対策〜Chrome79から段階開始【Webサイト運営者向け】 | JPDirect

こういう背景もあって、（語弊のある言い方ですが）中身がスカスカなWebサイトにおいてもSSL化は非常に重要になっています。

おわりに

注意点ですが、SSLによってやりとりするデータが全部暗号化されても、どこのサーバーとやり取りしたかまでは隠すことができません。

つまり、常時SSL化されたサイトであっても、サーバー上に存在するあらゆるコンテンツが隅々までスケベだった場合はその手のサイトを見たことはバレます。

加えてそのサイトに訪れてムービーまで見ようものなら通信量から「お前！観ただろ！」って一目瞭然ですね！

至極当たり前な結論になってしまいますが、職場でいかがわしいサイトは見ないようにしましょうね。