おきがるみがる

お気軽&身軽にスナップ写真を楽しむ雑記ブログです。はてなブログテーマ Sentenceの配布も行っております。

GoogleからHTTPS化していないと「保護されていません」と表示される勧告メールが来た

今日GoogleのSearch Consoleから「Chrome のセキュリティ警告を http://www.okigaru-migaru.net(ブログのURL) に表示します」というメールが届きました。ブログ運営者の多くの人にも同様のメールが届いたかと思います。

内容としては今年10月に行われるGoogle Chromeのバージョンアップで、HTTPS(SSL)化されていないページでは「保護されていません」とわざわざ表示されるというものです。

当ブログもHTTPS化しておりませんので、10月以降はChromeでこのように表示されるようです。何も悪いことをしていないのに「このサイトは危険!」と言われている気がして愉快ではありませんね。

一応無料で今すぐHTTPS化することはできるのですが、このブログではほとんどHTTPS化する理由がないんですよね。それらのことも踏まえて僕の考えを述べたいと思います。

メール内容

メールの内容は以下のようなものでした。

2017 年 10 月より、ユーザーが Chrome(バージョン 62)で HTTP ページのフォームにテキストを入力すると、「保護されていません」という警告が表示されるようになります。また、シークレット モードを使用している場合は、HTTP ページにアクセスするだけで「保護されていません」と表示されます。

 

貴サイトでは、たとえば以下に示す URL に、Chrome の新しい警告が表示されるテキスト入力フィールド(< input type=“text” >、< input type=“email” > など)が見つかりました。これらの例を参考にどのページで警告が表示されるかを確認し、ユーザーデータを保護するための措置を講じていただきますようお願いいたします。なお、下の URL の一覧は、すべてを網羅したものではありませんのでご注意ください。

サイト運営の知識があまりない人はびっくりしたのではないでしょうか。「あんたのサイトに警告を表示するよ〜」と言われてるわけですから、「何か悪いことしたのかな?」と不安になるかもしれません。

これはHTTPS(SSL)化を促しているのであって、特に緊急で対処する必要はありません。ただし、そろそろどんなサイトでもHTTPS化していく必要があるのかなぁと感じさせます。

HTTPS(SSL)化とは

www.symantec.com

HTTPS(SSL)化については詳しいことはググればいくらでも出てきますのでそちらを見てください。

簡単に言いますと、サイトを経由して送信した情報を暗号化する仕組みです。

通販サイトやお問い合わせフォームなどで、メールアドレスや住所、クレジット番号などの情報を入力・送信した際に盗み見されるのを防ぐのに使われます。

つまり投稿フォームなどに個人情報などを入力・送信しても安全ですよ、という指標になります。

逆にいえばHTTPS化されていないサイトの投稿フォームを使う場合は要注意というわけですね。

HTTPS化されているかはURLを見ればわかる

どうすればHTTPS化されているかがわかるかといいますと、URLを見れば一目でわかります。

https://〜から始まっていればそのページはHTTPS化されています。一方でhttp://〜から始まっているページは送信した情報が暗号化されません。

あとは南京錠のマークもチェックしましょう。ページ内にHTTPS化されていないコンテンツが埋め込まれている場合は、完全に暗号化されていないとみなして警告マークと一緒に表示されたりします。

認証を受けないとHTTPS化できない

HTTPS化はどんなサイトでもタダでできるものではありません。

しかるべき手続きを踏んで認証を受けてSSL証明書を発行してもらわないとHTTPS化できません。

HTTPS化しているサイトは認証を受けた安全なサイトであるということの証明でもあるのです。

フィッシングサイトの見分けにも使える

個人情報を入力させるフィッシングサイトへの誘導メールが届いたことがありませんか?

見るからに怪しいと思いつつも、もしかすると重要な内容なのかもと判断に迷いますよね。

その時に目安となるのが掲載されているURLです。もし誘導先のURLがhttps://〜から始まっていなければフィッシングサイトと判断してOKでしょう。

そのサイトが本物であれば、認証を受けて情報の暗号化をしているのが当然です。仮にそれが本物のサイトであれば、その運営元の情報リテラシーを疑いますね。

詐欺をする側も馬鹿ばっかりではないでしょうから、今後HTTPS化されたフィッシングサイトが出てくるかもです。いつまでも鵜呑みにするわけにはいきませんが、今のところ判断の基準にできるかと思います。

HTTPS化されたサイトはSEOに強い?

HTTPS化されたサイトは認証を受けた安全なサイトということで、検索エンジンでも上位に表示させるという声明も出ています。いわゆるSEO対策のひとつですね。

ただ、SEO対策の中でも優先度はかなり低いです。むしろコストがかかったり、埋め込めるコンテンツが限定されたりとデメリットもあります。ましてやHTTPS化したら検索流入が減ったという声もよく聞きます。

確かにこれだけ詐欺サイトが横行しているなかで、安全なサイトを検索上位に表示させるのは当然の流れだと思います。

でも既に完全HTTPS化しているサイトってそんなに多くないんですよね。企業サイトとか見ていてもHTTPS化しているところは少ない印象です。仮にしていても投稿フォームを設置しているページなど部分的です。

僕のブログで送信フォームといえばコメント欄ぐらいなので、HTTPS化はそこまで重要と思わないんですよね。

ほとんどのサイトが完全HTTPS化されてきたら僕もHTTPS化に踏み切ろうと思います。

スタードメインなら無料でHTTPS化可能!

px.a8.net

HTTPS化はたいていお金がかかります。ドメイン会社の独自SSLでも月100円かかるとかありますね。

でも、僕がこのブログ用のドメインを契約しているスタードメインでは、独自SSLが無料で使えます!

ドメイン自体も安いですし、無料サーバーが10GB分おまけでついてきますので、かなりお得なドメイン会社だと思います。

もしHTTPS化も視野に入れてドメインを契約されるなら、スタードメインをおすすめしますよ!