SSLをどう説明するかという課題
Googleが2017年10月、アップデートするChrome(クローム)ブラウザで、暗号化を導入していないhttpのウェブサイトについて、「危険」などの表現で、今まで以上の強い表現で指摘し、検索順位にも影響するだろうと言われている。
暗号化しないで通信する仕組み→http 暗号化して通信する仕組み→https
暗号化しないで通信している仕組み、httpサイトについては、2017年9月10日現在でも以下のように表現されています。
ページで一度確認してみてください。
httpsとはHTTP over SSL/TLS
SSL(Secure Sockets Layer)は、インターネット上でデータを暗号化して送受信できるプロトコルのこと。
httpsにするためには、
1.ドメイン認証
ドメイン名の使用権をもっている。
2.企業実在認証
企業が存在している証明を提出している。
ドメイン名の使用権と組織の法的実在性がある。
3.EV認証
実在証明も提出し、企業の信頼性を証明している。
ドメイン名の使用権、組織の法的実在性に加え、
組織の法的・物理的実在性までを確認して発行される
証明書
上記のいづれかを契約し、運用できるよう、ウェブサイトをチューニングしなくてはいけない。っといくことで、説明できるようになるために・・・・・・・・絵を描きました。
クロームブラウザは、httpじゃだめだって言うようになりました。
共通鍵交換
通信を傍受 訂正 飼い主だけでなく、ほかからも、通信を傍受がでけてしまう
鍵を持つには、
1.ドメイン認証
2.企業認証
3.EV認証
の、
届けを出す必要がある。
何気なく見ているパソコンの中では、クロームおばさんやモジらおじさん、サファリ君、IEじいさんが、安全なやりとりができるよう願っている。クロームおばさんのだんなさんのgoogleさんは、悪い奴がたくさん出てきたので、ついに、暗号化しないサイトを、鍵を持とうとしないサイトを、httpを、悪い奴ということにした。疑わしきを、罰することとした!!クロームおばさんはヤフーおばさんとも仲が良く、今後の検索順位にも影響が出てくるだろうと言われている。
導入が、わずらわしい理由
わずらわしいポイント1
SSL証明書を、セキュリティ·信頼性で分類した場合は、以下の3種類なのですが、
1.ドメイン認証
2.企業認証
3.EV認証
証明書をインストールまでしてくれる会社と、インストールは自分でやりなさいという会社がある。証明書の価格も、幅が、広い。
N系 インストール代行(びっくりすくらい高い!けれど、ページのチューニングはしてくれない!!表示に問題あっても、知らんぷり。ここ、ちょっと、徹底していて、こわい)
わずらわしいポイント2
表示のチューニング。wwwありか、無しか。旧URLで訪問してきても、手打ちで入力されても、HTTPSのページ表示が出来るようにする。
サイト内のチューニングが必要となる場合もある。←ここが一番わずらわしい。
サイト内のチューニングは、webページの制作方法によっては、とても手間がかかる。
そして、そのチューニングに失敗すると、混在コンテンツ扱いに。
ドメイン認証証明書を導入しても、ページ内にルールに合っていないものが含まれると、混在コンテンツとして、黄色いマークで微妙に注意喚起されてしまう
企業のセキュリティに関する姿勢の表明
★常時SSL化は検索ランキングに影響するという噂
暗号化しないサイト(http)について、google検索に準ずるyahooにおいても今後影響がでる。うちには関係ない、そんなに使っていない・・・そんなことを言ってるうちに、会社としての評価を下げてしまう。
セキュリティ、気にしてますよという表明
https・・・・うちは、セキュリティを気にしてますという表明、宣言になります。http・・・うちはセキュリティなんぞ、ぜんぜん、気にしていません。っていう、宣言になります。
最後に
あー何度書き直したのだろう、手書きの絵。とにかく、大事な事柄。藤塚の話は信用ならんという方は、キーワードは google ssl 2017 この辺から調べを。そんな大事なことは、N○○が教えてくれるのではないのかという質問もきっと出るのだろう。聞いていただいても、全然良いと思う。想定される質問をいろいろ思いながら、ちょっとでも伝わったなら良いことにしよう。
情報
日本、ちょっと、はずかしいくらい低い。
日本人はセキュリティ意識が低い。→身近な話として、米からのお客様、無線の暗号化をしていないと嫌な顔をされる。(旅館店主談)
