自宅のパソコンからインターネットを利用することがほとんどだった時代から、スマホなどモバイル端末の利用が当たり前になり、公衆無線LAN環境が整備拡大されていく現在、HPを閲覧するユーザーに対して、表示内容の真正性を担保するための常時SSL化が求められる流れを止めることは出来ません。
常時SSL化は待ったなし
最近の動向としては、WebブラウザのChrome バージョン62から、HTTPページ、つまりSSL化されていないページでは、Webサイト内の検索フォームなどに入力を開始した場合にもアドレスバーに「保護されていません」という警告が表示されるようになりました。
また、PC版スマホ版ともにChromeのシークレットモードを使用した場合には、お問い合わせフォームやWebサイト内検索の入力エリアの有無に関係なくアドレスバーに保護されていない旨の警告が表示されるようになりました。
他にもFirefoxなどWebブラウザでもHTTPページを「保護されていない」と警告することが推進されています。
このように段階的に、常時SSL化されていないWebサイトは保護されていないWebサイト、つまりセキュリティレベルが低いWebサイト、であることを閲覧者が理解出来るための仕組みは増えています。
特に近年においては、かなり早い流れで常時SSL化が求められるようになり、いつまでもHTTPページ、常時SSL化されていないまま、で大丈夫だという認識は捨てるべきです。
企業や組織においては公開しているWebサイトが常時SSL化へ完全移行するのに数年かかろうとも、今すぐ検討を始める必要があることは間違いありません。
すでに公開中のWebサイトを常時SSL化する難しさ
あらゆるWebサイトにおいて早急な常時SSL化が求められているのですが、今後公開されるWebサイトは常時SSL化されているのが当たり前で、常時SSL化されていないWebサイトを構築するなんて愚かとしか言えませんが、すでに公開されているWebサイトを常時SSL化するには、相当の困難が待ち受けています。
しっかりと作業工程を理解し、関係部署、関係先と調整出来なければ、不完全な常時SSL化を行ったために警告メッセージ表示が頻発する、という悲劇を生むことになります。
不完全な常時SSL化の一例
https://www.city.sapporo.jp/ 札幌市公式ホームページは全国の地方公共団体の中でも比較的早いスピードで常時SSL化に取り組んでいます。
もっとも常時SSL化が求められる公的サービスのためのWebサイトでも、ほとんどが保護されていないのが日本の悲しい現状であるなか、果敢に常時SSL化に取り組み、閲覧者を保護しようとする姿勢は賞賛に値します。
が、しかし残念なことに2017年11月現在、札幌市公式HPは不完全な常時SSL化となっており、閲覧に用いるWebブラウザによって、「セキュリティで保護されたコンテンツのみ表示されています」という警告メッセージや、「保護されていません」という旨の警告メッセージが頻発しており、一般の閲覧者に対して不安を煽る状況になっています。
不完全な常時SSL化になる原因
常時SSL化を行うために証明書を用意してWebサーバにインストールする行程は、証明書のイニシャル、ランニングコストとインストール作業費だけなので、費用対効果で考えても比較的安価に実施できます。
これだけで常時SSL化のバックボーンは用意出来るのですが、実際はそこからの作業に大変な手間、あるいは作業費用が発生するWebサイトがほとんどです。
常時SSL化に必要なコンテンツ修正作業
常時SSL化を行うにあたっては、Webサイトコンテンツの影響調査と修正が必須になります。主な修正は次のとおりです。
- コンテンツの「http://」からはじまる画像やスクリプトのリンクを「hppts://」からはじまるように修正する。つまりページで表示されている内容は全て「hpps://」からはじまるURLから呼び出されているように修正が必要となる。
- 広告バナーなど外部サイトにある画像を表示している場合や、外部サービスによって作り出されたコンテンツについても、「https://」からはじまるリンクを埋め込む必要がある。
- CMSで入力されたリンク先やWYSIWYGエリアで記述されたHTMLソース、CMSへアップロードされたスクリプト内やスタイルシート内での記述も「https://」からはじまるURLに修正が必要となる。
このような対応が必須となり、修正漏れがあるままSSL化されたページでは、セキュリティ警告メッセージが表示されるようになります。
常時SSL化をおこなう前に、当該Webサイトにおける上記修正の必要範囲について影響調査が必要であり、内製で作業出来ない場合は、事前に作業見積りを依頼し予算を把握する必要があります。
完全常時SSL化には明確な作業方針とスケジュールが必須
札幌市公式HPを例にすれば、Webサーバへの証明書のインストールまでは簡単に行えた、そして新しく用意した「https://」からはじまるWebサイトへのリダイレクト処理も行った、しかしコンテンツの修整が全く出来ていないままWebブラウザにセキュリティ警告をされながら公開を続けているという状況です。
この状況は札幌市公式HPに限らず、常時SSL化を試みるWebサイトにおいて、めずらしいことではありません。
常時SSL化の必要性に迫られコンテンツ修正が出来ないまま「https://」からはじまるURLに切り替えてしまうWebサイトは今後も増えるはずで「セキュリティで保護されたコンテンツのみ表示されています」という警告表示を目にする頻度も増えることが予想されます。
大きな組織のWebサイトでは、ページ数も膨大で、コンテンツ管理も複数の部署で分担されている場合がほとんどであり、常時SSL化を推進した直接の部署の力だけではどうにもならず、関係部署に事前に十分な説明を行い、コンテンツ修整作業の必要性を理解させ、常時SSL化へのスケジュールを共有し、作業の進捗を把握して、SSL化した場合に警告表示が出ないことを確認してから「https://」のURLに切り替えるようにしなければなりません。
それでも常時SSL化は必要
ここに述べた、簡単ではない常時SSL化に、中途半端にして警告表示が頻発するくらいなら、今まで通りに「http://」からはじまるURLのWebサイトのままで良いのではないか、という意見も出るでしょうが、それこそが一番愚かな選択であり、閲覧者を保護する意識が残念ながら全くない組織、企業であると判断されてしまいます。
現在は不完全常時SSL化で警告表示が出るとしても、何も危機感を覚えずにSSL化を検討もしないWebサイトよりは一歩先を行き、残るはコンテンツの修整だけであり、いずれは閲覧者を保護するセキュアなWebサイトになることは間違いありません。
常時SSL化には十分な調査、多くの作業が伴い、いきなり検討を始めてから数ヵ月後に移行出来るほど簡単なことではありません。だから今、先を見据えてまずは動き出す必要があるのです。