常時SSL化の落とし穴
久しぶりのブログ更新です。
中野のIT企業として、ホームページ制作についての話題をひとつ。
2018年は、Google Chromeで、SSL化していないサイトを「保護されていません」と警告する形(※)になり、各社こぞってサイト全体の通信を暗号化する、『常時SSL化』が進みました。
※2018年7月に、ブラウザの目立つ所(URL入力欄のすぐ横)に「保護されてません」と表示するようになり、10月からは、SSL化されていないサイトでパスワード入力する画面だと、赤い警告色で「保護されてません」と表示されるようになった。
弊社では以前からSEOなど集客面をサポートしているクライアントには、SEO対策の一環としてもSSL化をオススメしていましたが、世界的にもSSL化は常識となってきました。
Webサーバーを提供する各レンタルサーバー会社の差別化の一環として、これまでも無料の共用SSLは提供されてきましたが、「Let's Encrypt」によって、専用ドメインでのSSLも無料化の方向にあり、サーバーのコントロールパネルから、ボタン1つで素人の方でも簡単にSSLが設定できるサービスも増えています。
そこで、今回のブログのタイトルでもある、「常時SSL化の落とし穴」のご紹介。
素人でもできるようになったSSL化ですが、当然ながら、素人の方が行う時には落とし穴があります。
<常時SSL化の落とし穴(1)>
SSL化していても、httpでアクセスできてしまう!
→アドレスhttps://~でアクセスできることに安心して、サイトがhttp://~でもアクセスできてしまうことに気づいていない方がいらっしゃいます。自分はhttpsのアドレスでアクセスしているから良いと思っていても、検索などで来る方はhttpで来てしまっているかも知れません。当然Chromeでの警告は表示されますし、暗号化もされていないので、せっかく行ったSSL化も意味がありません。
<常時SSL化の落とし穴(2)>
SSLで読み込んでいない画像やJSが表示されず不具合発生!
→サーバーで単純にSSL化しただけでは、ちゃんとした作りになっていないサイトや、特にWordPressなどのCMSを使っていて画像などが自動的にフルパスで読み込まれるようになっているサイトでは、画像やJSが表示されず表示が崩れたり、思わぬバグが発生します。
ブラウザによっては、単純に画像を表示させないだけなので、不具合が発生していないことに気づかないケースや、最悪ページを表示してくれない可能性も。。。
弊社では、SSL化をする時は、無料SSLを利用する場合でも、初期設定時の手数料をきちんと頂いて、上記のようなことが起きないように対策を行っています。
あなたのサイトは大丈夫ですか??