久しぶりの投稿です。
実は、自分の会社のホームページもSSL化されていないのですが、「常時SSL」(HTTPS)対応は、いよいよ待ったなしの状況になっています!!
2018年7月に登場が予定される「Googele Chrome 68」では、従来のHTTPサイトを表示すると、「Not secure(保護されていません)」との警告が表示されるようになります。
今までは、HTTPS化することのコスト面や通信速度が遅くなるなどのデメリットから、個人情報等を入力する問い合わせフォーム等のページでなければHTTPS化しなくてもいいと思われていましたが、数年前より新たに開発されたHTTPの新規格「HTTP/2」が標準化団体により策定され、より少ない通信量で高速なWebページの表示が可能になり、SEOの観点からもWebサイト全体の通信をHTTPS化することの方が、メリットがあると考えられるようになっている!!
- Web表示速度が高まる
- 訪問者数が増える
- 安心感が高まる
- セキュリティが強化される
- Webアプリ開発が効率化される
- ログ解析の精度が上がる
まだ常時SSL化対応ができていないサイト運用者の方は「遅くとも2018年7月までに常時SSL対応の完了が望ましい」です!!!
常時SSL化を進める上では、注意もあります。
-
HTTP混在エラー
これは、HTMLページ内に表示するコンテンツ(gif、jpg、pngといった画像ファイルやCSS、JSファイル、iframe等)にHTTP通信が残っている場合に発生します。
1ページに表示するのに必要な要素にHTTPとHTTPSが混在しているとCookie情報の漏洩や改ざんにつながりかねないです。そのため、HTMLファイルに記載している画像URLの書き換えなどの修正が必要となります。
-
証明書の強度
フィッシングサイトを仕掛ける攻撃者側もHTTPS化に対応します。この際、「Let‘s Encrypt」などのオープンソースのDV証明書は攻撃者にも好まれる傾向があります。
そこで企業サイトの対策としては、「EV SSL証明書」など、より厳格な発行基準により、悪意のある犯罪者が取得できないような証明書を利用することが必要になります。
まずはオープンソースのDV証明書を利用しても、順次企業実在性(OV)認証型やEV SSLを取得した方がいいと思われます。
お困りの方は、ご相談承ります!!!