Chromeの警告表示対策でSSL証明書を導入しました

IT

2017年から、このブログのURLに以下のようなエクスクラメーション・マークが表示されるようになりました。これをクリックしてみると、「このサイトへの接続は保護されていません」という物騒な警告が出てきます。

 

調べてみると、これはSSLサーバー証明書を導入していない全てのウェブサイトに表示されるとのこと。

この記事では、このブログにSSLを導入するに至った経緯、および、筆者が利用するさくらインターネットでの実際の導入手順をご紹介します。

SSLとは?

SSL(Secure Sockets Layer)の定義については、筆者が利用しているレンタルサーバのウェブサイトを引用します。

SSLとは、簡単に言うとWebサイトとそのサイトを閲覧しているユーザとのやり取り(通信)を暗号化するための仕組みです。意外と知られていない前提ですが、みなさんが利用しているインターネットは悪意のある第三者が通信の中身を盗み見て悪用することが可能です。閲覧しているホームページのアドレスや、掲示板に書き込んだ内容、ショッピングサイトで入力したクレジットカード番号やパスワードなども盗み見ることが可能です。これでは安心してインターネットショッピングができない、ということでSSLという仕組みが生まれました。

例えば、あなたが会社のパソコンからアクセスしている場合、社内のネットワーク管理者なら、あなたの通信を自由に見ることができます。そして、それは比較的簡単にできてしまいます。飲食店などで利用できる無料Wi-Fiなども、ちょっとした知識があれば管理者が非SSLの通信を盗み見ることが可能です。

この脆弱な部分を補うため、SSLはブラウザとサーバー間の通信を通信の始まりから終わりまで暗号化します。そのため、通信の途中でデータを盗み見られたとしても、データは暗号化されているため解読は困難となります。

SSLとは

2018年7月からChromeの警告レベルが引き上げられる?

これをキッカケにして、筆者も遅ればせながらSSLについて理解し、クレジットカードなどの情報入力の際には必ずSSLサーバー証明書の有無を確認するようになりました。

ついでながら、SSLが導入されているサイトではURLが以下のように表示されます。

SSLの重要性は理解したのですが、このブログに関しては、パスワードやクレジットカードなどの個人情報を入力してもらうこともありませんし、なんだか面倒くさそうなので、必要性は感じつつも導入は見送っておりました。

しかし、2018年7月リリース予定のChrome 68より、SSL証明書を導入していない全てのサイトで「保護されていません」の警告表示が開始されることをグーグルがブログで公表しました。

SSLを導入していないサイトは、以下のように「保護されていません」という警告表示が付いて回るようになるのです。これは、かなりインパクト大きいと思います。

上の画像は通常のChrome、下の画像は「シークレットウィンドウ」で表示した場合のURLです。2018年7月以降は、これが通常のChromeウィンドウでも下のように表示されることになるんですね。

SSLを導入すると、検索結果表示でも少し有利になるようですし、必要費用は年間1,000円弱なので、この機会にこのブログでもSSLを導入することにしました。

意外と遅れている日本企業のSSL導入

ついでながら、日本では大手企業や公的機関でもSSLを導入していない機関が多いです。試しに調べたところ、財務省は導入していましたが、厚生労働省、農林水産省、経済産業省などはまだ未対応でした。

大手民間企業でいうと、ホンダ、日立、イオンなど、超有名企業ですら未対応でした。

SSL導入手順

このブログは、さくらインターネットのレンタルサーバーを利用して、Wordpressで作成しております。以下の記事では、本ブログでのSSL導入で苦労した点と具体的な解決策を紹介しております。さくらのレンタルサーバーでSSLの設定をなさる方の参考になるかもしれません。

初心者による【JPRS ドメイン認証型SSL】導入レポート

2018.04.25