最近、WebサイトのHTTPS(SSL/TLS)化が話題になっています。
Googleは検索などの自社サービス自体をHTTPS化してきましたが、より踏み込んで、HTTPS接続のサイトがあれば優先的にインデックスするなど、検索順位にも影響するとアナウンスしています。Googleは2014年から「HTTPS Everywhere」という取り組みを通してHTTPS化を推進していますし、Yahoo! JAPAN でも2017年3月までに常時SSL化を行うと発表しています。
今回はこの「常時SSL化」が推奨される背景や、その必要性についてお話しします。
WebサイトのSSL化が進む背景 - 安全性、HTTP/2、アクセス解析
これまでにも、ECサイトやオンラインの金融サービスなどのほか、プライバシー情報を扱う問い合わせフォームなどをHTTPS化することは一般的に行われてきましたが、常時SSL化は、より踏み込んだ動きとなります。
スノーデン氏を契機に安全性向上の機運
このような動きは、インターネット全体の安全性向上に向けた取り組みの一環として行われています。
HTTPS化を行うことで、End-to-Endでの通信が秘匿されること、SSL証明書の発行を通してドメインの保有や運営団体の実在性などを認証できることから、なりすましの防止にもなります。エドワード・スノーデン氏によって米国機関による大規模な情報収集活動が2012年に表面化したことも影響し、重要な情報の秘匿やプライバシー保護のため、通信路の暗号化を行う機運が高まりました。
HTTP/2も後押し
また、ブラウザとサーバ間の通信プロトロルのバージョンアップもSSL化の流れを後押していています。
HTTP/2では、ヘッダ情報の圧縮や接続の並列化などレスポンスの高速化が期待されていますが、ChromeやFirefoxといった昨今の主要ブラウザは、SSL(TLS)のみをサポートするとされているため、HTTP/2 の恩恵を受けるためにもWebサイトのHTTPS化は避けられません。
アクセス解析でも必須
アクセス解析の面でも、常時SSL化はニーズがあります。
通常、HTTPSのページからのリファラ情報は、遷移先のWebサイトがHTTPSになっていない場合には送られません。Yahoo!やGoogleなど、多くのサイトがHTTPS化を進めている状況の中、アクセス解析に必要なリファラ情報を取得するためには、HTTPS化は必須と言えます。
このようにHTTPS化の流れは止まらないでしょう。
無料のSSL証明書も
SSL通信を行う上で欠かせないのがSSL証明書です。
証明書には種類があり、それぞれ発行の際の要件が異なります。企業や団体の存在を確認したうえで発行する「団体認証(OV)SSL証明書」や、より厳格な確認を行う「EV SSL証明書」と、ドメインの所有者かどうかだけを認証する「ドメイン認証(DV)SSL証明書」の3種です。
基本的に証明書の発行は有償ですが、最近では、「Let’s Encrypt」や「アマゾン ウェブ サービス(AWS)」が、ドメイン認証SSL証明書を無料で提供しており、これらを使うことで、WebサイトのSSL化がより手軽なものになっています。シックス・アパートでも、Webサービス型CMSの 「MovableType.net」 において、Let’s Encryptが提供するSSL証明書を利用して、追加費用無しで簡単にWebサイトをHTTPS化できる機能を提供しています。
SSL化作業は意外と影響範囲が大きい
しかし、WebサイトのSSL化は簡単ではなく、Webサーバの設定でHTTPS通信を有効にすることや、HTTPSプロトコルが利用するTCPの443番ポートを透過できるようにすることなど、インフラ側の設定作業だけでは済みません。
まず、サイト内に存在するHTMLコンテンツをすべてHTTPSで通信して取得できるように、埋め込まれたリンクを確認、修正することが必要です。また、アクセス解析などのタグの埋め込みなどもHTTPS化に対応したものだけを利用します。サービスによっては、HTTPS化できないものもありますので、利用の可否を含めて検討する必要もあるでしょう。
当社でも常時SSL化を実践!HSTS Preloadの登録も忘れずに
シックス・アパートのコーポレートサイトでも、先日ようやく常時SSL化を行いました。
サイト内では、プロダクトの更新状況を表示するために、別サーバで運用しているプロダクトのWebサイトからJSONファイルを取得していました。そのため、同時にそのプロダクトのWebサイトのSSL化も行っています。
また、別サイトにも参照されているコンテンツがあったため、完全なHTTPS化を行うにはそれぞれの管理者との連携が必要でした。コーポレートサイトのフロント側のSSL対応の目処がついた段階で関係者でスケジュールを決め、移行期間を設定し、その期間中はHTTP、HTTPSの両方で通信できるようにして調整しました。
調整して問題がなくなれば、HTTPで行われた通信をHTTPSにリダイレクトする設定を行ったり、一度アクセスしてきたブラウザに、以降のアクセスではHTTPSを強制するHTTP Strict Transport Security (HSTS) を設定して、ブラウザにHTTPS通信を誘導したりすることで、HTTPS化されたWebサイトにアクセスさせるといった作業を行います。
多くのブラウザでは、HSTS Preload という仕組みで事前に登録されたサイトのHSTSを組み込んでいるので、サブドメインを含む特定のドメイン配下のWebサイトをすべて完全にHTTPS化し、HSTSの設定ができたときには、ブラウザへの組み込みを申請するとよいでしょう。登録は、ChromeブラウザのHSTS Preloadリストへの申請用のページから行えます(このリストは、Internet ExplorerやSafari、Firefoxなどの主要なブラウザも参照しています)。
- HSTS Preload Submission : https://hstspreload.appspot.com/
* * *
インターネットが一般に普及して、Wi-Fiなどを使って簡単に利用できるようになってきた今、セキュリティ、プライバシーを守ることは、これまで以上に重要になってきています。
WebサイトのHTTPS化が避けられない時代になりましたが、上に書いたように、簡単に行えるサービスも提供されていますので、これからWebサイトを作る方は、常時SSLに対応することを考慮に入れたプラットフォームを選択することをおすすめします。
著者紹介
平田 大治(HIRATA Daiji) - シックス・アパート株式会社 取締役CTO
大手通信会社を経て、ベンチャー投資事業のネオテニーに参加。Movable Type の日本語化、執筆、講演活動などブログの啓蒙活動に取り組む。
2003年にシックス・アパートに参加し、米国本社 VP of Technology、日本法人の技術担当執行役員として、国際的な事業の立ち上げに寄与。同社退社後、ネットPRのパイオニア、ニューズ・ツー・ユーで取締役を務める。2012年10月から再びシックス・アパートに加わり現職。