非HTTPSサイト警告表示まもなく開始!

今回の記事は、啓発というか…注意喚起です!
PSO2関連のサイトを運営している方々に向けたものです。知ってる人は知っている、知らない人もちょっと目を通してほしいなと…
サイトの運営に関わるかもしれないことです。

 

来たる2018年07月24日(火)、Chrome 68がリリース予定です。

それだけなら「へぇ〜」で済むのですが、このバージョンには大きな仕様変更があります。

それが、 “非HTTPSサイトの警告表示”です。そう、いよいよWebの世界はHTTPを捨て、HTTPSで統一する方向に舵を大きく切っていくことになります。

初めにHTTPありき、それからHTTPSありき…

ウェブサイトを閲覧する時の接続方法には、HTTP接続HTTPS接続という主に2つの方法があります。

HTTPは古くから使われている、標準的なものです。通信は暗号化がされていません。これだと、IDやパスワード、検索した言葉など、ユーザのパソコンから出て行く情報も、サーバからもらう情報も、全てそのままの状態で広大なインターネット空間を飛び交います。

インターネットを通る中で悪意のある人にデータが盗み見られたり、書き換えられたりして危ない!というわけで、データを暗号化したり、改ざんされていないことを証明できる様に電子署名の仕組みを取り入れたのが、HTTPS (: HTTP over SSL/TLS) です。よく聞く言葉では、「暗号化通信」とか「SSL通信」などと言いますね。これのお陰で、オンラインショッピングや会員制のサイトなどが成り立っていると言っても過言ではありません。

Google様「常時SSL化すべし。異論は認めん。」

今までも、「ID、パスワード、氏名、住所等々の情報を入力するページだけは暗号化通信しよう」という風潮はあったのですが、Googleは以前から「全ページ、全コンテンツ、サイトの隅から隅まで暗号化通信にすべきだ!」と言ってました。「常時SSL化」です。

そして、GoogleはChromeのアップデートを重ねる度に少しずつ、HTTP接続時に警告表示が出るケースを増やしていき…ついに、次のメジャーバージョンアップであるChrome 68にて、HTTPで通信してる場合は問答無用でアドレスバーに「保護されていません」と表示される様にするわけです。

加えて厄介なことに、Chromeは自動更新のため、この新しいバージョンはリリースとともに世界中に配布され、届いたユーザから順次バックグラウンドで更新されるんですよね。つまり、「どうせ、そんなすぐ最新版使う人なんて居ないよ」が通用しないんです。

しかも、Chromeは今やブラウザのシェアNo.1だそうですから、事実上これがデフォルトになると言っても過言ではありません。

ど、ど、どうすれば良い!?

ならば、この問題にどう向き合うか?ですね。
分かりきったことですが、サイト全体をHTTPS化して対応するか、割り切って対応しないか、の2択だろうと思います。

HTTPS化するメリット&デメリット

【メリット】

  • アドレスバーに鍵マークが付き、セキュアであることを訪問者にアピールできる
  • 「保護されていません」という訪問者を不安にさせる表示を防止できる

【デメリット】

  • お金がかかる場合がある
  • HTTP通信のバナー画像を入れると、HTTPSとHTTPが混在したコンテンツと見なされ、
    アドレスバーが黄色くなる等かえって訪問者に不安を与える可能性もある

HTTPS通信化では、訪問者の方とサイトの間は暗号化通信が行われるので、途中で第三者がのぞき見たとしても、中身がわからない状態になります。訪問する側も、アドレスバーを見て緑色の文字で「HTTPS」とか「保護された通信」と書かれていれば当然、安心するはずです。その安心感が、サイトそのものの良さにもなるのかなと思います。安心して見れるサイト、と訪問者の方に評価してもらえれば、OKではないでしょうか。

ただ、HTTPSで通信するには、サーバ証明書が必要で、それを設定するのもなかなか面倒です。しかし、 過去の記事 でも書いたように “Let’s Encrypt” というプロジェクトの誕生により、今では無料でサーバ証明書を取得し、HTTPS通信を導入できる時代になりました。これにより、レンタルサーバでも従来は万単位でお金をとっていたSSLサーバ証明書を無料で取得&設定してくれるところも増えており、ブログサービスもGoogleの動きに合わせて自社サービスで運営されているブログはすべてHTTPSを可能とするなどの対応をしてくれています。

以下は、無料でHTTPS通信が可能なブログサービスとレンタルサーバです。

【HTTPSに対応している主なブログサービス】

サービス名SSL化方法
はてなブログHTTPSで通信する (公式ヘルプ)
fc2ブログFC2ブログを常時SSL化する方法。 (風花スタイル公式ブログ 様)
Blogger常時SSL化 済
Amebaブログ常時SSL化 済
Jimdo常時SSL化 済
Wix.comサイトのSSLを有効化または無効化する (公式ヘルプ)

【HTTPSに対応している主なレンタルサーバ】

サービス名SSL化方法
さくらサーバ【無料SSL】サーバコントロールパネルからの導入手順 (公式ヘルプ)
XSERVER無料独自SSL設定 (公式ヘルプ)
お名前.com【共用サーバーSD】独自SSL Let’s Encrypt を利用するにはどうすればいいですか? (公式ヘルプ)
LOLIPOP!独自SSL(無料)のお申込み・設定方法 (公式ヘルプ)

国内の有名所は結構対応をしてくれていますね。これなら多くの人が対応可能な気がします。

 

HTTPS化しないメリット&デメリット

【メリット】

  • 特別作業をしなくて良い
  • お金はかからない

【デメリット】

  • 「保護されていません」とアドレスバーに表示されるようになり、
    訪問者に不安を与える可能性がある
  • Googleの検索エンジンでペナルティを受け、検索順位が下がる可能性がある

何も対応しなければ、そのまま7月下旬のChrome 68 の配信開始とともに、ご自身のサイトにはChromeで訪問者が来た場合は「保護されていません」と表示されることになります。この状態を受け入れて、そのまま放置することもできますが、それによって被るデメリットも同時に受け入れなければなりません。もしかしたら、対応しないことが訪問者の減少を招くという自体も十分想定されますね。

 

さぁ!残された時間はもうわずかです。各チームのサイト運営担当者の皆さん、あるいはこれから始めようとしている方、どうなさいますか!?

 

ちなみに我らがPSO2の公式サイトはというと…

(あっ…

頑張れ!PSO2のWebサイト担当者様!あと2週間切りましたよ!!
「保護されていません」って表示されているサイトで、ゲームのランチャーを落とすの嫌ですよ?^^;

 

それでは今日はこのへんで… バイチャ♪ヽ(*゚∇゚*)ノ~*:・’゚☆

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です