Googleも推奨するSSL化とは?

こんにちは、コウジです。

つい先日、本サイトも常時SSL化(※https化と書かれる事もしばしば)に対応しました。
特に重要なページがある訳ではないのですが、年々SSL化の波が押し寄せてきているので早めに対応しておこうということで導入しました。
楽天やYahooなどの大手モールもSSL化を進めていますしね。

ここまで知っている前提で書き始めてしまいましたが、皆さん「SSL」って知ってますか?
Web業界の方以外には聞き慣れない単語だと思いますが、近年通常のホームページにおいてもSSL化が推奨されるようになりました。
今回はそんな「SSL」についての記事になります。

※大手モールなどは一般ユーザーが見た目で解りやすいためにhttps化と書きますが、正確にはSSLの安全な通信方法を使うためにはURLをhttpsと書きましょうねってルールがあるだけでSSL化していないウェブサイトでもhttpsでアクセス出来ます。
本質はSSLという仕組みなので本記事では「SSL」という表記に統一します。

SSLとは?

Transport Layer Security(トランスポート・レイヤー・セキュリティ、TLS)は、インターネットなどのコンピュータネットワークにおいてセキュリティを要求される通信を行うためのプロトコルである。主な機能として、通信相手の認証、通信内容の暗号化、改竄の検出を提供する。TLSはIETFによって策定された。
当プロトコルは(特に区別する場合を除いて)SSL (Secure Sockets Layer) と呼ばれることも多い。これは、TLSの元になったプロトコルがSSLであり[1]、そのSSLという名称が広く普及していることによる。

出典:Wikipedia

SSLの役割

  1. 暗号化
  2. SSLを使うと通信の内容が暗号化されます。
    仮に通信途中に情報を抜き取られてしまった場合でも内容は暗号化されていて大切な情報が守られます。

  3. 認証
  4. SSLを発行して貰うには様々な方法でサイトの運営元の確認が行われます。
    ドメインの所有権の確認で済むSSLや登記事項証明書が必要なSSLもあります。

SSLの仕組み

SSLを理解する上で、私たちが普段使っているパソコンやスマホがどんな仕組みでホームページ等を表示しているかどうかを知る必要があります。

通信の仕組み(通常)

通信は暗号化されていませんので、情報はそのままの状態でサーバーとやり取りを行います。

※絵が下手なのは触れないように。

通信の仕組み(SSL)

通信は暗号化され、通常では読み取れない状態でサーバーとやり取りを行います。

※絵が下手なのは触れないように。

要は通常、私たちが使うパソコンやスマホはサーバーとやり取りをしている訳ですが、その間にSSLが入る事によって通信が暗号化される仕組みになっています。
※かなりざっくりした説明ですのであしからず。

目的のサイトにたどり着くまでの仕組み

話はズレますが、もう少しインターネットの仕組みについて説明します。
多分、一般の方はインターネットでホームページなどを見る場合に裏側を想像することってほとんどないと思います。
中には「サーバーと直接繋がってホームページが表示されている」と思っている方もいるかも知れません。

でも実際には色んな場所を経由してホームページが表示される仕組みになっています。

試しに私のパソコンから勤務先のホームページへたどり着くまでにどれくらいの場所を経由しているか試してみます。

1番目の社内ルーターから最後のwin-do.bizまでなんと15箇所の知らないルーターを経由しています。
しかもどの経路を通るかは決まっている訳ではなく、ルートは自動的に選択されてしまいます。
今回は15箇所でしたがもっと多い場合もありますし、もっと少ない場合もあります。
その間、データになんの保証もありません

SSLの必要性

まさしくインターネットは大海です。
海には無数の島々があり、私たちは島の名前を頼りに航海に出ます。
色んな島に立ち寄りながら「向こうの方にあったよ」「こっちの方にあったよ」と島々で案内を受けながら目的地にやっとたどり着きます。

ちなみにGoogleも島の一つです。
Google島に行けば、数多くの島の情報があって、効率よく目的地の情報が解ります。
その情報を基にまた海に出るのです。

でも、もしかしたら航海の途中で大切な情報を持った船が海賊に襲われるかも知れません。
そんな時に役に立つのがSSL協定です。
SSL島と協定を結べば自分の島が正規の島である証明をしてくれたり、文書は暗号化された書式で作られるようになり、例え文書が盗まれたとしても情報流出は免れます。

SSLは自分の島へ安全に来て貰ったり、安心して滞在して貰うための保険のようなものかも知れませんね。

WordPressも例外ではありません

さんざん説明してきたように、通常の通信では内容は暗号化されておらず、例えばお問い合わせページで入力された情報はそのままの文字列でサーバーへ送信されます。
メールアドレス・名前・住所・電話番号などがそのままインターネットという大海を泳いで目的のサーバーへたどり着きます。
もちろんWordPressの管理画面にログインする場合にも同じ事が起きています。
ユーザー名・メールアドレスとパスワードがそのままサーバーへ送信されています。

突き詰めて考えると結構怖い事ですよね。

GoogleもSSL化を推奨しています

実はGoogleは2014年時点ですでに「SSL化を推奨する」と明言しています。
HTTPS をランキング シグナルに使用します
この記事の中にはセキュリティの重要性と検索結果の順位を決めるための要素としてSSL化も基準に組み込みますとも表記されています。
大きなランキング決定の大きな要因ではないが、同じランキングのサイトがあればSSL化済みのサイトが優先されます。

まとめ

種類によりますがSSLを安価に導入できるものもありますし、今後多くのホームページがSSL化に対応する事を考えるとそろそろ導入を考えても良い時期かも知れません。
それにGoogleが推奨しているという事がとても重要です。
この先、SSL化の状態が検索結果に色濃く反映される可能性もありますし、早めに処理しておいて損はないと思います。