2020年1月よりTLS 1.0 または 1.1 を使用しているサイトについては、Google Chromeで見た際、
「この接続ではプライバシーが保護されません」という表示がされるようになりました。
今回のブログでは、なぜこのような表示が出るのか、もし出ている場合に必要な対策をご説明いたします。
また、TLSの概要を説明すると共に、一部ページのみがプライバシー保護されている状態(混在コンテンツ)の問題性・解決策としての全面SSL化についてもご説明します。
対策しないままでいると、将来的にサイトが閲覧できなくなる可能性があります。
いつかサイトが閲覧できなくなってしまわないように、記事の内容を参考に、TLS対策を進めていきましょう!
================
目次
1:TLSとは
2:TLS1.0/1.1使用サイトへの警告
3:混在コンテンツのブロック
4:TLS対策・常時SSLがSEOに与える影響
5:まとめ
================
1:TLSとは
TLS (Transport Layer Security)とは、SSLの次世代の規格をあらわします。
今でも、”SSLサーバ証明書”などとしてTSLを省いたり、”SSL/TSL”と、まとめて呼ばれることもあります。厳密には、SSLとTSLは違うものですが、どちらも安全に通信をするためのセキュリティプロトコルのひとつです。
SSL(Secure Sockets Layer)とは
個人情報やログイン情報(ID、パスワード)など、第三者に知られないように、データを暗号化し、サーバとクライアントのPC間での通信を安全に行なう仕組みです。
SSL化をすると、なりすましや改ざん・データ流出などのリスクを防ぐことができます。
そのため、サイト全体をSSL化し、安全性を高めることは、サイト作成・管理においては一般的な施策となっています。
なお、サイト全体をSSL化することは「常時SSL」と呼ばれています。
2:TLS1.0/1.1使用サイトへの警告
冒頭にお伝えした、「TLS 1.0」・「TLS 1.1」を使用しているサイトに対し、2020年1月から開始された「この接続ではプライバシーが保護されません」という表示は、初期バージョンである「TLS 1.0」や「TLS 1.1」では設計が古く、もはや安全なプロトコルとは言えないことが原因です。そのため、Google Chrome 72では「TLS 1.0」「TLS 1.1」を非推奨とし、「デベロッパーツール」のコンソールで警告表示を行い、サイト管理者に注意を促していました。
この警告表示が開始され、2ヶ月。今春にリリースされるGoogle Chrome 81では、TLS 1.0/1.1を使用しているサイトは、閲覧できなくなってしまいます。
(Mozilla FireFoxも同様に今春、MicroSoft Internet Explorer・Edgeは6月頃までに表示不可となる予定)
Googleサイトでは、以下のように記載されています。
Chrome 81 で TLS 1.0 と 1.1 をブロックすることになる UI についてお知らせします。サイト管理者は、ただちに TLS 1.2 以降を有効にし、ここで紹介する UI が表示されないようにしてください。サイト管理者は、ただちに TLS 1.2 以降を有効にしてください。
出典:以前の TLS バージョンのサポート終了に伴う Chrome UI の変更点|Google Developers
サーバーソフトウェアによっては(Apache や Nginx) など構成の変更やソフトウェアのアップデートが必要になる場合があります。そのため、早急なTLSのバージョン変更が必要となります。
3:混在コンテンツのブロック
SSL化している自社サイトに警告表示は問題ないから問題ない、とご安心いただくのは、お待ちください。
それでは、自社サイトをGoogle Chromeでご確認ください。アドレスバーに「!」が表示されていませんか?
出ている場合は、「混在コンテンツ」の可能性があります。
混在コンテンツとは、https内にあるhttpコンテンツのことをいいます。
SSL化をしている場合に、一部のコンテンツ(画像・動画など)が、SSL化されていない状態(http://)でサイト内に存在していることを指します。
先ほどご質問したように、アドレスバーに「!」が表示されている場合は、SSL化されていないコンテンツが、サイト内に存在することを示します。この場合も、今後、表示が崩れる可能性があります。
(サイト内の一部の画像や動画が読み込まれない状態になる可能性があります。)
また、混在コンテンツの具体的な箇所は、Google Chromeデベロッパーツールの
「検証」>「Console」を使うと、”Mixed Content”という警告メッセージにより確認することができます。
※Google Chromeは今春でのブロックを予定していますが、各種ブラウザに対しても同様の対応が必要です。
4:TLS対策・常時SSLがSEOに与える影響
検索上位に表示させるためのSEO対策。
Googleは、今から6年前の2014年時点で、常時SSLをランキングシグナル(検索上位に表示する判断基準)とすることを発表しています。つまり、常時SSLは、SEOに影響があることは明白です。
さらに、常時SSLをしていない場合に出る「保護されていない通信」という表示は、ユーザーの離脱を招き、コンバージョン率を下げてしまう可能性もあります。
5:まとめ
TLS 1.0/1.1のみに対応しているサーバーを利用するサイト・混在コンテンツが存在するサイトは、今後、表示崩れが起きたり、閲覧できなくなってしまう可能性があることをご説明してきました。
また、SEOの観点から見ても、常時SSLは重要な要素のひとつ。
フォームなど一部に対してのみSSL化を実施しているサイトもあります。
まずは、Google Choromeでサイトを表示し、アドレスバーをご確認ください。そして、少しでもご不明なことがあれば、お気軽にお問い合わせください。