I wanna be a champion.
そんな野望を密かに抱き、毎朝、谷村新司の歌声で目を覚ますIWBCです。
なぜchampionになりたいのかって？？？？ 物騒な世の中ですからね、強くなっていろいろな物を守りたい。 そんな事を思って、ずっと生きてきました。
という訳で、今回はWebサイトを守ってくれる、セキュリティにまつわるお話です。

HTTPよりHTTPSの方がランキングが良いってホント？

ブログやホームページを持っていれば、検索サイトの掲載順位って気になりますよね。 検索サイトの代名詞とも言えるGoogleが、HTTPよりHTTPS（SSL/TLS）URLのサイトを優遇していることはご存知ですか？

以下、2014年8月7日木曜日にGoogleウェブマスター向け公式ブログに掲載された記事を抜粋

簡単に纏めてみましょう。（詳しくは引用元をご覧ください）

Googleはセキュリティを最優先事項だと考え、自社サービスのHTTPS暗号化に力を注いでいます。 さらに、自社だけでなく、全てのWebサイトがセキュリティを考慮してHTTPSなるような取り組みを行っています。
そこで、Googleは検索ランキングのアルゴリズムにHTTPS接続されているかを考慮するテストを実施しました。
このランキングアルゴリズム変更の影響は、2014/8/7現在は1%未満ですが、これからドンドン強化して、1％以上の影響を持つようになりますよ。 つまり、HTTPよりHTTPSのサイトがGoogleのランキングでは有利になり、そして、その傾向はこれからドンドン強まりますよ。
とGoogle自身が宣言している訳です。

ということはSEO対策としてもHTTPSのURLが有利になるということですよね。

HTTPS暗号化って？？？

そもそもHTTPS暗号化って何かって？
簡単に説明すると、情報を配信するWebサイトが内容を暗号化して送り、皆さんがパソコンやスマホで閲覧しているブラウザ（InternetExplorer等）がそれを解読して、内容を表示させるって仕組みです。

でも、なぜ、そんな事が必要なのか…
インターネットなどでお買い物したり、何か申込みしたりすることきに、名前や住所、電話番号、そしてクレジットカードの番号を入力したりしますよね。
もし、それが暗号化されず、そのままインターネット上に流れ、盗聴されたとしたら…… ゾッとしませんか！？

そこで盗聴されても解読できないように暗号化しているのが、HTTPS暗号化なのです。

たとえばGoogleChromeの場合は、このように錠前のマークがついてhttpsと緑色で表示されています。

そしてそのHTTPS暗号化をするためには、SSL証明書が必要になります。
詳しくは「SSL/TLSの解説と選び方まとめ|ジオトラスト」をご覧ください。

一般的にSSL証明書と言っていますが、SSLとTLSの通信形式があり、現在（2016/7）は、よりセキュリティ性の高いTLS、そのバージョン1.2を使うことが推奨されています。
※本記事では一般的な呼び方であるSSL証明書で統一します。

HTTPS暗号化のハードル

じゃあWebサイトをみんなHTTPS暗号化すれば良いのでは？と思うかもしれませんが、そう簡単にはいきません。
というのも、今ままではSSL証明書を導入するのにお金がかかったのです。 今ままでは……これについては後ほど説明いたします。

個人のブログや小規模なサイトでは、有料となれば多少の金額でも導入するのは、なかなか難しいもの。 さらに、このSSL証明書、発行の手続きやサーバへの設置なども必要で、結構な専門知識と手間がかかるとなると、何でもかんでもHTTPS暗号化するわけにはいきません。

誰でも使える無料のSSL証明書がある！？

お待たせしました！！先ほど「今までは」と言いましたが、それについて説明します。

SSL証明書を発行している会社はいくつかありますが、有名なところだとシマンテック（旧ベリサリン）・グローバルサイン・ジオトラストなどがあり、各社価格は様々ですが、1ドメイン1年間で数千円から数十万円の費用がかかります。

そこで、今回ご紹介するのが、Let's Encrypt。

Let's Encrypt 総合ポータル

Let's Encryptはドメインを所持している人であれば、誰でも信頼された無料のSSL証明書が取得できます。 多少の手間はかかりますが、無料で利用できるのは大きな魅力です。

有料と無料のSSL証明書ってどこか違うの？

大きな違いは、取得できるSSL証明書の種類と導入方法でしょうか。 SSL証明書には3つの種類があり、Let's Encryptで利用できるのは１種類です。

発行元により多少言い方は異なりますが、SSL証明書には３つの証明書があります。

• ドメイン認証
  ドメイン使用の有無を確認して発行される証明書。
• 企業認証
  ドメイン使用の有無に加えて、運営している組織・企業の実在性を法的に確認して発行される証明書。
• Extended Validation（EV認証）
  企業認証かつ、「EVガイドライン」に基づき、その組織・企業を確認して発行される証明書。SSL証明書の中で最も厳格な審査が行われる証明書です。

SSL証明書の価格は通常、ドメイン認証＜企業認証＜EV認証の順に高くなります。この中でLet's Encryptで利用できるのは「ドメイン認証」のみです。

企業認証は主にECサイトなどで利用され、EV認証は銀行や証券会社など金融系のサイトで利用される場合が多いSSL証明書です。 導入されるSSL証明書については、サイトの性質などを考慮して判断するのですが、単にSSL証明書を入れたいだけであれば、ドメイン認証のSSL証明書で良いかと思います。

GoogleもHTTPSのURLがランキングに有利ですと宣言している今、SEO対策として、Let's Encryptの無料SSL証明書を使うのも選択肢の一つではないでしょうか。 これからはHTTPで接続するサイトが減ってくるかもしれませんね。

という訳で次回はLet's Encryptの導入方法について書きたいと思います。

BTMは、SSL証明書に限らず、ITで夢を応援している会社です。
お困りごとやご相談などございましたら、お気軽にお問合せください。

問い合わせフォーム

以上、Championになりたいと思っているが、なんのChampionになるのか決めていなかったIWBCがお届けしました。