先日、GoogleのWebサイトを管理するツール「Search Console(サーチコンソール)」にて、当方が管理するサイト宛に以下のような警告メッセージが届きました。
***** の所有者様
2017 年 10 月より、ユーザーが Chrome(バージョン 62)で HTTP ページのフォームにテキストを入力すると、「保護されていません」という警告が表示されるようになります。また、シークレット モードを使用している場合は、HTTP ページにアクセスするだけで「保護されていません」と表示されます。
貴サイトでは、たとえば以下に示す URL に、Chrome の新しい警告が表示されるテキスト入力フィールド(< input type="text" >、< input type="email" > など)が見つかりました。これらの例を参考にどのページで警告が表示されるかを確認し、ユーザーデータを保護するための措置を講じていただきますようお願いいたします。なお、下の URL の一覧は、すべてを網羅したものではありませんのでご注意ください。
単純に読み解くと「あなたのサイトはSSL対応していないので、SSLを導入してHTTPSでページを公開してください。さもなくばブラウザ(Chrome)で警告メッセージを出します」ということだと思います。
以前からSSL対応に関する認識はあったものの、一部の箇所(お問い合わせや購入フォームなど)だけでも大丈夫だと思っていました。しかし、これからはサイト全体をSSL化する、常時SSLが求められるようになりそうです。
SSLとは
簡単に言いますと、Webページへのデータ(アクセス)を暗号化して送受信できる技術のことを言います。SSLを導入していることで、データの改竄やなりすましを防ぐことができます。
このJOB-PLACEも運営時から全てのページをSSLでデータ配信するようにしています。以下の画像をご覧ください。
ブラウザのGoogleChromeとFirefoxのアドレスバーをキャプチャーした画像です。どちらも緑色の鍵マークが表示されており、暗号化しているページだという事を示しています。
一方、SSL対応していないページはどうなるのでしょうか?以下の画像をご覧ください。
(!)というマークが表示されます。これは暗号化していないことを示す記号で、クリックするとFirefoxの場合は赤字で「この接続は安全ではありません」と警告が出ます。
このような警告が出るとWebに詳しくない人はびっくりしますよね。「このサイトで何かされるのではないか」と不安に感じ、すぐにブラウザを閉じてしまうかもしれません。
特に求人サイトのように、会員登録や求人応募などでユーザーの個人情報を預かるサイトでこのような警告が出ると、大幅なイメージダウンになります。ですので、ユーザーに不安をいただかせないようにしなくてはいけません。
今は記号をクリックしないと表示されませんが、冒頭のサーチコンソールの警告を見る限り、今後はクリックしなくても表示されるようになるでしょう。そうなる前にSSL対応が必要になりそうです。
※なお、パスワードやクレジットカード情報を入力させるページでSSL対応していない場合、GoogleChromeでは「保護されていません」というメッセージが表示されます。Firefoxも同様の警告メッセージが表示されます。
SSL対応にするには?
SSLに対応したサイトにするには「SSLサーバー証明書」というものを導入しなければいけません。公開したいサイトがあるサーバーに証明書を設置し、そのサイトの身元を確認できるようにします。
※SSLは証明書以外にも暗号化方式の違いや認証方法の違いなどあるのですが、、技術的な話になりますので割愛します。詳しく知りたい方は、SSL証明書を発行している会社が公開している説明ページをご覧ください。
参考:SSL/TLSのまとめ|シマンテック - Symantec
SSLサーバー証明書は、証明書を発行している会社(認証局または代理店)と手続きをすることで得ることができます。通常は有料で、年額数千円から数万円必要になる場合があります。
金額に違いがあるのは、認証レベルの違いによります。認証レベルが高いほどサイトの審査も厳しくなります。しかし、信頼性も高まりますので、より安心できるサイトの証明にも繋がるでしょう。
ただし、基本的には証明書の種類によって認識されるブラウザが異なるだけで、暗号化の強度は変わりません。(暗号化の強度はサーバーの設定によって異なります)
どのSSL証明書にすれば良いのか?
ではどの証明書を取得すればいいの?」と悩まれるかと思いますが、ご予算内にあった証明書で十分だと思います。ブランド名で言うとRapidSSL(ラピッドSSL)という証明書がよく利用されています。
販売元によって価格は異なりますが、概ね1500円~2000円前後で購入することが出来るでしょう。当方がよく利用する「さくらのSSL」では年額1500円で提供されています。
価格が安いから駄目だということはありません。企業/個人問わず、取得しやすい証明書ですし、書類審査などもありません。サイトの暗号化通信を行う上で、十分な効力を発揮してくれます。
求人サイトの構築にはなにかとお金がかかりますから、出来るだけ経費削減したいと思います。特別な事情がない限り、ラピッドSSLのような「最低限の証明書」で良いかと思います。
どのサーバーにもSSLが導入できるのか?
ご利用のサーバーによってできる場合とできない場合があります。特に格安で提供されている共有レンタルサーバーの場合、独自にSSLを導入する事は難しいでしょう。
共有レンタルサーバーでは「共有SSL」という、契約者なら誰でも使えるSSLを提供している場合もありますが、ドメインはサーバー会社が用意したものです。あなたのサイト全体をSSL化する「常時SSL」にはなりません。
ですので、独自SSLが設定できるサーバーが必要になります。VPSや専用サーバーというプランの場合、サーバーの設定を自由に変えることができるので、独自のSSL証明書をインストールすることはできます。
共有レンタルサーバーでもそのような機能を提供している場合がありますので、既にサーバーをご契約している方は、サーバー会社のマニュアルなどをご確認ください。
なお、いずれにしてもSSL証明書をサーバーに設定する場合、手続きが複雑だったり、専門知識を要する場合があります。導入の敷居は高いので、サーバー選びの段階から意識するようにしましょう。
まとめ:SSLで安心を提供しましょう
もはやWebサイトで「SSL対応は当たり前」になってきました。商用・非商用問わず、SSLに対応していることでユーザーは安心してそのサイトを視聴できるようになります。
大手の求人サイトを見ても、ほとんどの求人サイトで常時SSL対応しています。ですので、これから求人サイトを作る場合、SSL対応は必須だと言っても過言ではないでしょう。
上記で説明したように、サイトをSSLに対応させるためには証明書の購入が必要になります。サーバー代、ドメイン代、SSL証明書代とサーバーに関する費用で最低限これだけのコストがかかることになります。
サイト運営者としては大きな負担ではありますが、ユーザーに安心してサービスを受けてもらうために必要な経費だと割り切り、セキュアで安心できる求人サイトにしていただければと思います。
もちろん、当方にご依頼いただく場合はSSLに関するご相談もお受けいたします。お客さまに提供する求人サイトの規模や用途に合わせたサーバーや証明書を提案させていただきます。
