SSLをどう説明するかという課題

Googleが2017年10月、アップデートするChrome(クローム)ブラウザで、暗号化を導入していないhttpのウェブサイトについて、「危険」などの表現で、今まで以上の強い表現で指摘し、検索順位にも影響をさせてきます。

先日はNTTコミュニケーションズのBIZメール&ウェブのメールの送受信方法の「POP before SMTP」を廃止するというニュースが出て、通信の世界において、暗号化方式の考え方が、SSL推奨から、SSL化、暗号化を指定する方向に変化してきているということに、気が付いた方もあったかもしれません。POP before SMTP 廃止で検索すると多数のプロバイダーで動きが出ています。

暗号化しないで通信する仕組み→http

暗号化して通信する仕組み→https

今回はホームページ、ウェブサイトの話です。

暗号化しないで通信している仕組み、httpサイトについては、2017年9月10日現在でも以下のように表現されています。

自社のページで一度確認してみてください。

 

Google Chrome 2017/09/09 現在の表示 iマークをクリックするとこんな紹介のされ方をしている

Firefox例

 

httpsとはHTTP over SSL/TLS
SSL(Secure Sockets Layer)は、インターネット上でデータを暗号化して送受信できるプロトコルのこと。

httpsにするためには、

1.ドメイン認証
ドメイン名の使用権をもっている。
2.企業実在認証
企業が存在している証明を提出している。
ドメイン名の使用権と組織の法的実在性がある。
3.EV認証
実在証明も提出し、企業の信頼性を証明している。
ドメイン名の使用権、組織の法的実在性に加え、
組織の法的・物理的実在性までを確認して発行される
証明書

上記のいづれかを契約し、運用できるよう、ウェブサイトをチューニングしなくてはいけない。

っといくことで、説明できるようになるために・・・・・・・・絵を描きました。

 

 

グーグルクロームは、暗号化しないホームページhttpsを、危険なホームページであると言うようになった。理由は、通信を暗号化していないから。悪い人が増えてきたので、暗号化していないホームページは皆悪い奴だ。httpsじゃなきゃダメだっという考え方にした。

 

暗号化通信は、鍵をもってやり取りを行う。公開鍵とか秘密鍵でやりとりして共通カギで暗号化・・・・。SSLサーバ証明書には、「SSLによる通信の暗号化」と、「ウェブサイト運営団体の身元証明」という2つの機能がある。暗号化の機能は、認証局や証明書の種類による違いはほとんどない。身元証明の機能はSSLサーバ証明書の種類によって違う。

 

鍵を持つには、

1.ドメイン認証
2.企業認証
3.EV認証

の、

届けを出す必要がある。

 

暗号化しないHTTPサイトでは…クッキーをくわえて帰る犬。クッキーをくわえて帰る犬を盗みにくるやつまで現れている。クッキーは解析すると、クレジットカード情報をもっているものもある・・・。

 

何気なく見ているパソコンの中では、クロームおばさんやモジらおじさん、サファリ君、IEじいさんが、

安全なやりとりができるよう願っている。クロームおばさんのだんなさんのgoogleさんは、

悪い奴がたくさん出てきたので、ついに、暗号化しないサイトを、鍵を持とうとしないサイトを、httpを、

悪い奴ということにした。疑わしきを、罰することとした!!クロームおばさんはヤフーおばさんとも仲が良く、今後の検索順位にも影響が出てくるだろうと言われている。

暗号化のための準備には、サイト内にチューニングが必要となる。←ここが一番わずらわしい。

 

わずらわしいポイント1

手間がかかる。

SSL証明書を、セキュリティ·信頼性で分類した場合は、以下の3種類なのですが、
1.ドメイン認証
2.企業認証
3.EV認証

証明書をインストールまでしてくれる会社と、

インストールは自分でやりなさいという会社がある。

証明書の価格も、幅が、広い。

わずらわしいポイント2

証明書を(暗号化できる環境を手に入れても)

ウェブサイト内データーの調整が必要になる。

wordpressの場合はCSSの調整だったり、

転送の設定だったり・・・。

相談できる人を持つこと。

 

表示にどうしてよいかわからなくなる状況に陥ってしまうこともある。

それでも、

やらないわけにはいかない。

ドメイン認証でもいい、とりあえず、表示をなんとかしよう。

(流通してきたら、やっぱり企業認証は、欲しくなるかもしれない。ここは、ドメイン認証で目前の課題を解決したい)

★常時SSL化は検索ランキングに影響する
↑暗号化しないサイト(http)について、google検索に準ずるyahooにおいても今後影響がでる。

うちには関係ない、そんなに使っていない・・・そんなことを言ってるうちに、誰かに迷惑をかけてしまうことに、なりかねない。

暗号化は、メールもウェブも、必須。やっておかないと、会社としての評価を下げてしまう。

追伸

あー何度書き直したのだろう。とにかく、大事な事柄。藤塚の話は信用ならんという方は、キーワードは google ssl 2017 この辺から調べを。そんな大事なことは、N○○が教えてくれるのではないのかという質問もきっと出るのだろう。聞いていただいても、全然良いと思う。想定される質問をいろいろ思いながら、ちょっとでも伝わったなら良いことにしよう。
本件、遅ればせ勉強始めたばかりなので、間違いがあれば、お問い合わせより、ご指摘を。

最後に興味深い統計情報

■httpsの国別使⽤状況、⽇本サイト2017年9⽉導⼊率52%→地方における導入率はもっと低い?
https://transparencyreport.google.com/https/overview
⽶国サイト2017年9⽉71%

→身近な話として、米からのお客様においてセキュリティ意識が高いというのは、無線の暗号化の件でも声を聴くようになっています。(旅館店主談)

■Webブラウザシェアランキング(2017年7月):日本国内 Chrome1位34,45%、IE2位23.92%、Firefox3位13.13% https://webrage.jp/techblog/pc_browser_share/

ホームページのhttps化(SSL化・暗号化)作業のご案内
[metaslider id=4413]