ホーム / ブログ / ホームページ制作 / 常時SSLは導入すべきだが、営業され急かせれて契約しないように注意

常時SSLは導入すべきだが、営業され急かせれて契約しないように注意

| 公開 コメントを書く

シェアトップのChromeブラウザがバージョン94を公開しました。自動アップデートで次回再起動の際に有効化されます。94では、SSL対応していないサイトにアクセスしたときに警告画面を表示する「HTTPS優先モード」が導入されました。

HTTPS導入が当たり前となった最近ではあるものの、まだ導入が進んでいないサイトに対して安全に通信できる環境を推し進めたい各ブラウザ側の対応と見て取れます。

常時SSLの導入は是非進めるべきですが、中にはこういった背景を武器に長期のSSL契約を進めてくる営業がありますので注意してください。

HTTPS優先モードとは

GoogleのブラウザであるChromeは現時点でブラウザのシェア6割以上を占めるブラウザです。

Source: StatCounter Global Stats – Browser Market Share

そのブラウザの次のバージョンである94に、「HTTPS優先モード(HTTPS-First Mode)」という機能が搭載されました。

米 Google は、今後リリースされる Chrome 94 以降で、HTTP(非暗号化通信)サイトへの接続を警告する「HTTPS-First Mode(HTTPS 優先モード)」機能を搭載することを 2021 年 7 月に 公表 しています。
(中略)
HTTPS 優先モード機能は、HTTPS(暗号化通信)での通信を前提にしており、HTTP(非暗号通信)のサイトを読み込む前に警告を表示します。Chrome 94 以降では、ユーザーがこのモードを有効にした場合に警告が表示されますが、今後将来的に HTTPS 優先モードが標準化することが検討されています。

Chrome 94、HTTPS 優先モード機能を搭載|BLOG|サイバートラスト
「プライバシーとセキュリティ」に新しく追加された「常に安全な接続を使用する」という項目

この機能を有効にすると、SSL対応していないHTTPサイトにアクセスする前にブラウザ側で警告が表示されます。

これななかなかのインパクト
さくらのレンタルサーバのウェブサイトの場合はこんな画面に

しかしご安心を。94になったからといってHTTPS優先モードが有効となるのではなく、まずは機能の搭載となりデフォルトでは無効となっています。まずHTTPS優先モードを有効とするのは警告画面が出ても自身で安全かどうか見極められる個人や、厳格なセキュリティ対応を実施している企業や団体が考えられます。

ブラウザ側としては安全な通信であるHTTPSを推し進めたいため、いずれHTTPS優先モードがデフォルトで有効になる可能性も大きいです。ウェブサイト側としてできることはまだ常時SSL対応していないサイトは早く対応するということです。個人サイトならまだしも企業サイトでHTTP通信の場合、ウェブサイトへの改ざんや被害が出ないようHTTPS優先モードに関係なく常時SSL対応をすることを強くお勧めします。

SSLの営業には慎重に

先日、SSL証明書を適用しているかどうかというメールが届いたと相談がありました。メールを読んでみると、「SSL証明書を契約しませんか」という営業メールなのですが、HTTPS優先モードが導入されると警告画面が表示されるため危険です、と煽る文面で、文末にはその会社で販売している数年間に渡ってSSL証明書を自動で更新するサービスの契約でした。

この内容だけだとHTTPS対応していないサイトはChrome94から警告画面が表示されると取れますが、実際には94からはHTTPS優先モードが導入されるにせよ、初期設定では無効化されているため、Chrome94のHTTPS優先モードによって警告画面が表示されるという情報しかないのはあまり優しくない表現でしょう。

また、この会社の商品はSSL証明書の購入・発行・管理ができる商品ですが、最大6年発行できるプランがあります。SSLの更新は手作業の場合確かに更新の手間が発生します。なので確かに自動更新できるSSLが管理が楽なのですが、それは正しいSSLを選択できている時に限ります。

SSL証明書は無料と有料があり、有料の場合も値段幅が広い上にサービス内容がわかりにくい

完全無料で利用できるものから、年間1,000円程度〜100,000円を超すものまで、価格帯がかなり幅広いのがSSL証明書の特徴です。

これは認証レベルの違い(自動か有人か)と、提供サービス(サポートの有無、サイトシールの提供、マルチドメインやワイルドカード証明書のオプション、保証等)による違いです。暗号化レベルに違いはありません。

これらは詳しく解説しているブログがたくさんあるので興味がある人とは調べてみてください。

SSL証明書のブランドによる違い | さくらのSSL

営業メールに迫られて契約するのではなくじっくりと考える

これらの違いがよくわからず、「よくわからないから安心できそうな価格帯のものを選択しよう」として複数年契約してしまうと、認証レベルや必要なサービスを考えると実際には無料や低価格のSSL証明書で十分だった、という可能性も大いに考えられます。

幸い、Chrome94から有効となったHTTPS優先モードはデフォルトでは無効化されており、一般ユーザーがわざわざ有効化する可能性は低いと考えられます。

将来Chromeがデフォルトで有効化するバージョンを発表する可能性も低くないため、まだSSL証明書を導入していないウェブサイトを持っていたら、どんなSSL証明書が必要なのか情報を集めておきましょう。

一般的なレンタルサーバーを利用している中小企業、ブログ、団体等であれば無料のSSLである「Let’s Encrypt(レッツエンクリプト)」でも十分かと思います。今は各レンタルサーバー会社はほぼ導入しているため、まずはLet’s EncryptでSSL化し、必要であれば別のSSL証明書を発行する、という流れでも問題ありません。

サポートが合ったほうがいい、認証レベルを上げたい、サイトシールをウェブ上に貼りたい、など前提条件から必要なSSL証明書を探すことをお勧めします。

メールコンサルティング
WordPress保守管理サービス

Reader Interactions

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

For security, use of Google's reCAPTCHA service is required which is subject to the Google Privacy Policy and Terms of Use.

I agree to these terms.

この記事と関連する記事

なぜかSSL化されないエックスサーバーのWordPress 簡単インストール機能でhttpsに変更し常時SSLを実現する方法
2022年5月24日
タグ: ,
カテゴリー: TIPS
テスト環境を作るときのドメインの選択肢と把握しておきたいリスク
2022年6月14日
タグ:
カテゴリー: ホームページ制作
BacklogにGitを連携することのメリット・デメリット
2022年2月3日
タグ:
カテゴリー: ホームページ制作

人気記事

  1. git pull してもエラーが出てファイルが反映されないときの対処法
  2. 同一サーバー上に構築するWordPressのテスト環境の作り方
  3. WordPressの固定ページでタグやカテゴリーを使いたいときはカスタム投稿タイプを検討する
  4. サイト制作の要件定義書に普段書いている内容(ダウンロード可)
  5. WordPress において PHP 8.1 に更新していいかどうか検証
  6. [便利]困難な判断を10秒で AI が客観的に導き出すツールを試してみた

CONTACT

お問い合わせはこちら