Webサイト管理者必見!「常時SSL化 ”HTTPS Everywhere”」について解説


単体のSSL認証局としては世界最大の米国Go Daddy社が発行するスターフィールドSSLサーバ証明書の国内総代理を務めております、ジェイサート株式会社の石原です。

今回は、「常時SSL化 ”HTTPS Everywhere”」について解説をしたいと思います。

  • Googleが主導する「常時SSL化 ”HTTPS Everywhere”」とは?

一言でいえば、氏名・住所やカード番号等個人情報の入力を求めるページに限り利用されて来たSSLサーバ証明書を、サイト全体すべてのページに適用しましょう、というものです。 将来的にGoogleサーチの検索順位で損はさせませんよ…とインセンティブも用意されるようです。

(おいおい、その前にSSLサーバ証明書のライセンスも追加で必要なのかい?…ご心配無用です。クラウドアプリストアでご提供している“スターフィールドSSLサーバ証明書”なら全商品がマルチサーバ対応であり、ワイルドカードをお選びいただくと任意1階層のサブドメインを無制限に定額とするライセンス体系です!)

事実、Googleは、昨年8月の「HTTPSをランキングシグナルに使用します」と題するリリースで、

セキュリティは Google の最優先事項です。Google は、デフォルトで強力な HTTPS 暗号化を導入するなど、業界でも最先端のセキュリティを Google サービスに導入することに力を注いでいます…Google ではさらにもう一歩踏み込んで、数か月前の Google I/O では、HTTPS everywhereをウェブで提唱しましたユーザーがもっと安全にサイトを閲覧できるよう、すべてのサイト所有者の皆様に HTTP から HTTPS への切り替えをおすすめしたい

と述べています。

 

  • では、「常時SSL化 ”HTTPS Everywhere”」の何が安全なのでしょうか?

SSLサーバ証明書って、パソコンやスマホ等クライアントとサーバ間の通信経路を暗号化することで、個人情報の盗み見や奪取を防ぐための暗号化ツールとして、理解されている方が多いのではないでしょうか?

実は、SSLサーバ証明書には、よく知られた“暗号化ツール”としての機能に加え、通信先のサイト運営主体の身元確認(ID情報確認)機能があるのです。 暗号化通信により、通信経路上での個人情報の盗み見や奪取を防いだとしても、通信先のサーバの持ち主が意図した相手ではない「なりすまし」であるとすれば…。

頭隠して尻隠さず!ですよね。

ということで、SSLサーバ証明書を発行する認証局は、証明書を発行するサイト運営主体の身元確認(ID情報確認)を実施する際、業界団体が定めるルール(CA Browser Forumが標準化した身元確認手順および暗号化技術仕様に関するポリシ:Baseline Requirement)に従い、サイトで利用するドメインの管理権限の有無、サイト運営主体の組織としての法的実在性や事業実態の有無等を、認証局個別の恣意性を排除し厳格に検証しているのです。

したがい、「常時SSL化 ”HTTPS Everywhere” 」により、サイト全体すべてのページに対し認証局による客観性ある身元確認(ID情報確認)が実施されることで、ユーザーがもっと安全にサイトを閲覧できる”ようになる、と言っているのです。

 

  • Googleの取り組み・・・“Google Chrome

Google Chromeでは、ユーザーがもっと安全にサイトを閲覧できる”ために、そうした認証局の身元確認(ID情報確認)内容や暗号化技術仕様を、ユーザーに対し一覧性を持って分かり易く公開提供(Chromeアドレズバー上の鍵アイコンをクリックし表示)することで、ユーザーのセキュリティリテラシ向上を進めようとする、強い意志を感じます。

ssl1

 

そうそう、Google Chromeは昨年2月にFirefoxを抜き去ったばかりなのに、今やIEに次ぐ、堂々「世界2位」のシェアを確保(※)しているんですね。 しかも、シェアを伸ばし続けているのはChromeだけらしい…。

間違いなく「常時SSL化 ”HTTPS Everywhere”」も、GoogleによるGoogleが理想とする“ブラウザ標準化”を主導する試みの一環であろうと想定しています。

(※)2015年1月のデスクトップのブラウザシェア (出典:マイナビニュース)
http://news.mynavi.jp/news/2015/02/02/164/

 

  • まとめ

Google Searchにおける“HTTPS ランキングシグナル化”は今日明日というような短兵急な時間軸で進むものではないことはGoogleも言及しておりますが、その一方で上記のようにSSLサーバ証明書が本来保持している多様な機能をChrome上で明示的にフォーカスすることでユーザーの啓発を粘り強く促していく姿勢が明確であることから、来年・再来年といったスパンではChromeの目指す「常時SSL化」がユーザーのブラウジング・ルーティン(このサイトは安全なのか?を推定するための)に影響していくのではと想定されます。

なお、「常時SSL化」実現には、SSLサーバ証明書のコストが気になるところですが、ビッグローブ社クラウドアプリストアにて提供させて頂いております、スターフィールドSSLサーバ証明書をご活用いただけましたら、その柔軟性高いクラウドフレンドリーなライセンス体系(同稼働追加サーバへの設定は無制限に無償、1階層であればサブドメインが無制限に無償/ワイルドカードご利用時)により、木目細かな従量制を実現したBIGLOBEクラウドホスティングとの併用と相まって、必ずや経済合理性高い「常時SSL化」を実現頂けるものと思います。

– スターフィールドSSLサーバ証明書(スタンダードSSLシングルドメイン)
– スターフィールドSSLサーバ証明書(スタンダードSSLワイルドカード)
– スターフィールドSSLサーバ証明書(デラックスSSLシングルドメイン)
– スターフィールドSSLサーバ証明書(デラックスSSLワイルドカード)

お問い合わせ

BIGLOBEクラウドホスティングについて、もっと知りたい方、質問がある方、まずはBIGLOBE法人コンタクトセンターへお電話、または下記のお問い合わせフォームからお問い合わせください。phoneotoiawase

カテゴリー: サービス・イベント情報 タグ: , , パーマリンク