Chrome 68がやってきた!ウチのサイトもHTTPSにしないといけないの?

皆様Webブラウザはなにをお使いでしょうか?

アズシエルではさまざまお客様のサイトを製作したり、運営のお手伝いをしたりしておりますが、いろいろなお客様のサイトのアクセス状況をみると、PCでも既にInternet ExplorerよりGoogle Chromeをお使いの方が多いようです。

先日Microsoftも今後はInternet Explorerではなく、Edgeという新しいブラウザを使ってください、というBlogを公開していました。既にChromeをお使いの方はもちろん引き続きChromeをお使いになられていれば問題ありません。

Internet Explorer の今後について – Japan IE Support Team Blog

そしてつい先日、Google Chromeの最新バージョン「68」が公開・配布開始になりました。このバージョンから、Web サイトのアドレスが「https」ではじまっていないサイトは、やんわりと注意表示が出るようになりました。

御社のWebサイトはいかがでしょうか?また、これはなんらか対応する必要があるのでしょうか。

Webサイトのアドレスが「https」ではじまっているサイトは、サイト証明書というものが設置されています。

サイト証明書が設置されていると、なにがいいのでしょう。

WebサーバーとWebブラウザの間の通信が暗号化されることになります。そのため、例えば街のカフェや災害時に設置されるような公衆無線LANを利用していても、その通信経路が暗号化されているため、安全にWebサイトを利用することができます。

でもちょっとまって

ウチのサイトはすべて公開情報しかないし、お問い合わせフォームも設置していないので、暗号通信をする必要がないと思うのだけど、放っておいていいのかな?

と思われる方もいらっしゃるでしょう。

この証明書は「サイト証明書」というわけで、そのWebサイトが存在していることを第三者の認証局というところに証明してもらっています (MicrosoftやGoogleなど認証局を自前で運用している例外もあります)。

つまり、まちがいなくそのサイトにつなげていることを証明するものでもあります。通信の暗号化だけでなく、信頼性の問題でもあります。

ただし、そのサイトが確かに実在する企業・団体が運営しているサイトなのかまで必ずしも証明しているとは限りません。

証明書にもいくつか種類があり、現在なかでもいちばん厳格な審査の上発行されているサイト証明書が設置されているサイトは、Webブラウザのアドレスバーの横に運営企業名が表示されるものもあるのですが、それはまたの機会のご説明といたします。

Googleの検索でも、サイト証明書が設置されていないサイトより、設置されているサイトのほうが信頼性の高い、重要度の高いサイトであると認識し、検索順を上位表示させることになっているそうです。

そういったことで、暗号化の必要がないサイトでも、今後はサイト証明書を設置することが重要になってきます。

今現在は上記のように「信頼されていない通信」とグレー文字で出るだけですが、今後はだんだんと赤文字で表示されたり、もっと強い言葉でそのサイトの信頼性が低いことを示すようになると言われています。

とはいえ、サイト証明書もいろんな種類があります。技術的にはどれも同じなのですが、先程書いたように審査の手続きの違いや、価格もゼロ円のものから年間10万円を超えるものまであります。

それこそ、暗号化通信が必要ないサイトまで10万円以上の証明書が必要なのか、いや、暗号化が必要なくても、企業の信頼性の問題なのでそういう証明書をいれるべきなのか、などなど、いろいろな検討要素があると思います。

それぞれの企業・団体・Webサイトの内容や運用サーバーによって、最適なサイト証明書があります。いますぐ対応すべき!と煽ってくるようなDMもたくさんお手元に届いているかもしれませんが、焦ることなく、最適なサイト証明書を検討されるのが良いでしょう。