最近、上記のようなHTTPS化に関するニュースを目にすることが、増えているのではないでしょうか。Yahoo! JAPANをはじめとする大手企業も、続々とサイトの全面HTTPS化へ踏み切っており、いまネットバンクやネットショップだけでなく、いわゆる普通のサイトにも、全てのページをHTTPS化する「常時SSL」の大きな流れが来ています。

でもなぜ今、HTTPS化の流れが加速してきているのでしょう? それにはHTTPS化することによるメリットだけでなく、HTTPS化しないことによるデメリットが近付きつつあることが理由として考えられます。

そもそも「サイトをHTTPS化する」ってなに?

そもそもですが「サイトをHTTPS化する」とは、なんでしょう?

サイトのHTTPS化とは、サイト全体を「https://」から始まるURLにすることで、「常時SSL化」や「常時SSL/TLS化」あるいは「AOSSL(Always On SSLの略)」などとも呼ばれています。

今までは問い合わせページや会員登録など、個人情報を入力したり表示したりする画面のみHTTPSで暗号化してやり取りしていましたが、これをウェブサイト全体に適用しましょう、というのがサイトのHTTPS化です。

サイト全体をHTTPS化しないと、どんなデメリットがあるの?

でも個人情報をやり取りするわけでもない、普通のページまで、なぜHTTPS化しなければいけないのでしょう? 

サイトをHTTPS化するメリットには、

  • 検索順位が上がる
  • サイトの表示が速くなる
  • アクセス解析の精度があがる

などがよく挙げられます。

確かに上記のようなメリットはありますが、これまではやらないと何かまずいことが起こる、というわけではありませんでした。そのため、今まで先送りにしてきたサイト担当者の方も多いのではないでしょうか。

では、この先もサイトをHTTPS化しなくても大丈夫なのでしょうか? 答えはNOです! このままHTTPS化しないでいると、どんなデメリットが起きるのか?を具体的に解説していきましょう。

【デメリット1】サイトが「安全でない」と表示されてしまう

先ほどニュースでご紹介したとおり、GoogleはHTTPからHTTPSへの移行を強く推し進めています。その施策の1つとして、Googleが提供するブラウザの「Chrome」は、2017年1月にリリースされた「Chrome バージョン56」から、HTTPSでないページに対して「Not Secure(保護されていません)」という表示をするようになりました。

ログインやクレジットカード番号の入力ページを開いた際に、ページのURLが「https://」で始まるものでなければ、以下のようにURLの左側に「保護されていません」という表示がされます。

さらに、将来的にはこうしたログインやクレジットカード番号の入力ページに限らず、対象をすべてのHTTPページに拡大し、警告内容も以下のように赤い三角マークと赤字で「保護されていません」と表示するような、より強い表現にする、と発表されています。

エンドユーザーがサイトを開いたときに、URLの真横に赤く「保護されていません」と表示されたら、さすがに「何か問題があるのかな、見ない方がいいのかも……」と心配になってしまいますよね。

ブラウザシェア1位の「Chrome」だけでなく、「Firefox」も同様の表示を行っており、サイトをHTTPS化しないことで、エンドユーザーにサイトが「安全でない」と判断されてしまう現実がすぐそこまで来ている、といえます。

【デメリット2】Wi-Fiスポットでセッションハイジャックされる恐れがある

皆さんがSNSなどのサイトを開くと、まだログインしていないのに、ログイン済みのページが表示されることがありますよね? これは前にログインした際に、サイトからクッキーで渡された「セッションID」(一時的な通行証のようなもの)を、次に開いたときにも見せることで、ログイン済みのユーザーとして扱われるからです。

ログインページだけがHTTPSのサイトで、それ以外のページをHTTPで開いたとき、クッキーにSecure属性が付いていないと、この「セッションID」は暗号化されない状態で送信されてしまいます。では、誰でも使えるWi-Fiスポットに、スマホやタブレットを繋いだ状態で、HTTPのページを開いて「セッションID」が送られたらどうなるでしょう?

なんと同じWi-Fiにつないでいる悪意の第三者によって、暗号化されていない「セッションID」を盗まれ、なりすましでサイトにログインされる恐れがあるのです。これが「セッションハイジャック」と呼ばれる攻撃です。

こうしたことが発生しないように、サイト全体をHTTPSにして、常にクッキーの「セッションID」を暗号化しておかないと危ないですよ、ということです。またログインなどが一切ない、完全に静的コンテンツのみのサイトであっても、Wi-Fiスポットで見知らぬ誰かに「あの人はどんなページを見ているのかな?」とデータを窃視されるリスクはあります。サイトとの通信がHTTPSで暗号化されていれば、そうした情報を盗み見られるリスクを防ぐことができます。

【デメリット3】iPhoneやiPadのアプリでサイトが表示されなくなる

最初にご紹介したとおり、AppleはiPhoneやiPadのアプリに対して、ATSという「インターネットへ通信する際に、HTTPではなくHTTPSで接続することを強制する機能」を有効にすることを義務付ける、と発表しています。ATSが義務付けられる対象には、もちろんブラウザやSNSのアプリ、及びニュースアプリやキュレーションアプリなども含まれます。ちなみにiOSだけでなくAndroidでもATSのような機能は存在しており、こちらも現状は必須ではありませんが「推奨」とされています。

では近い将来、このATSが必須になったら、「Chrome」などのブラウザアプリ、及び「Facebook」アプリなどでリンクを踏んだ際のアプリ内ブラウザでは、HTTPのサイトは一切見られなくなってしまうのでしょうか?

いいえ。ATSが義務化されたとしても、「特定のドメインへの通信はHTTPを許可」「アプリ内の埋め込みブラウザでウェブサイトを見る際はHTTPを許可」のように、アプリごとに例外の設定をすることが可能ですので、少なくとも「Safari」や「Chrome」でいきなりHTTPのページが見られなくなる、ということはなさそうです。ただし、この例外の設定は、開発者がアプリをApp Storeへ申請する時点で設定しておくものですので、リリースされたアプリで例外が設定されておらず、HTTPのサイトが表示できなかった場合、サイト運営者やアプリを使うエンドユーザーにはどうすることもできません。

例外の設定を行うかどうかは、アプリごとの方針によりますので、例えば特定のニュースアプリがATSを有効にして、例外を全く設定しなかった場合でも、アプリに掲載された自社のページがちゃんと表示されるようにしておきたければ、サイトをHTTPS化する必要があるということです。

【デメリット4】周りがHTTPSになると、ますますリファラーが取れなくなる

こちらはGoogleアナリティクスなどを使って、サイト流入元の情報を確認されている方にとって、重要と思われるデメリットです。

自社のサイトがHTTPだと、HTTPSのサイトからリンクを踏んで飛んできた場合に、リファラー(利用者が直前に訪問していたサイトの情報)を取得することができません。実際にGoogleアナリティクスを開いて、集客の「参照元/メディア」を確認してみてください。アクセス元が「(direct)/(none)」と表示されて、どこから飛んできたのか分からないものがありませんか? その中には、ブラウザのブックマークや、メール内のリンクから飛んできた、本当に「直前に訪問していたサイトがないもの」だけでなく、HTTPSのサイトから飛んできたアクセスも含まれています。

今後、周囲のサイトのHTTPS化が進んで、自社サイトだけがHTTPで取り残されると、この「リファラーが取得できる割合」はますます下がっていくことになります。ですが、自社のサイトをHTTPSにすれば、HTTPのサイトから飛んできた場合も、HTTPSのサイトから飛んできた場合も、リファラーを取得することができるようになります。

ではHTTPS化はいつまでに対応するべきか。リミットは?

「Chrome」の警告表示も、ATSの義務化も、具体的な時期は明言されておらず、今のところ「将来的に」あるいは「期限が決定したら発表する」となっています。しかし、過去のGoogleやAppleのこうした発表のペースから予想すると、恐らく2017年中にはなんらかの追加情報が公開され、さらに期限は発表のタイミングから半年~1年後程度ではないか?と予想されます。

発表された時点で「半年以内にHTTPS化しないと!」と慌てて対応策を考えるのではなく先手を打って、遅くとも2017年度の上半期中には「サイトのHTTPS化」に着手し始めることをお勧めします。

まとめ

最後に「サイト全体をHTTPS化しないと起こるデメリット」をおさらいしましょう。

  • サイトが「安全でない」と表示されてしまう
  • Wi-Fiスポットでセッションハイジャックされる恐れがある
  • iPhoneやiPadのアプリでサイトが表示されなくなる
  • 周りがHTTPSになると、ますますリファラーが取れなくなる

では実際に、HTTPS化するためのコストやスケジュール、どんなふうに進めていけばいいか?については、今後の記事でまた詳しく説明していきますが、ハマりやすいポイントを事前に押さえておけば、HTTPS化は想像よりずっと簡単です。さあ、一緒にHTTPS化の第一歩を踏み出しましょう!