それは常時SSLじゃなくて、ときどきSSL、たまたまSSL ですよ!

こんにちは!
大阪府産業デザインセンターのデザイン相談員の松崎です!

今回は、前回投稿したホームページ無料診断の途中集計(5月・6月)をお知らせします!  のさらに突っ込んだ常時SSLについての投稿です。

松崎まさひろのwebチェック

日々ご依頼いただくホームページ無料診断の中で、約70%のサイトが対応できていない、もしくは間違って設定しているか、中途半端な設定が行われてしまっているのが常時SSLです。
※2023年4月1日より事業が大阪産業局に移管されてホームページ無料診断の受付ページが変更になりました

改めて、常時SSLとは・・・
https〜から始まるアドレスで表示させてホームページ全体を暗号化することを言います。

実はこの設定、ほとんどのホームページで正しく設定できていません。常時SSLが設定できていないことで、様々なデメリットを生み出します。

1. 暗号化されないセキュリティ面が不安なサイトという評価
2. ブラウザのアドレスのところに「安全ではありません」「保護されていない通信」と表示される
3. アクセスすると「接続はプライベートではありません」と画面に表示される
4. 検索順位を決定する要因のひとつを享受できない

SSLエラー画面

安全ではないと表示され、実際に暗号化されていないホームページだと、ホームページにやってきたユーザーはどう思うでしょうか?
閲覧を継続するでしょうか?
個人情報を入力して問い合わせするでしょうか?
予約や登録をするでしょうか?
そのサイトでモノを購入するでしょうか?

不安を感じるサイトでは、これらの行為は行われにくいものです。
もし、常時SSLが正しく設定されていなかったら、新規顧客と繋がるためだったり集客や販促を行うために存在するホームページが、自ら訪問者に不安を与え問合せや予約を拒絶させる。こんなことがあなたの見えないところで起こっています。


常時SSLはインターネットの最新の取り組みではありません。もう6年以上前に対応必須と言われたとても古い仕様です。

ーーーーーーーーーーーーーーーーーーーー

「HTTPS をランキング シグナルに使用します」
https://webmaster-ja.googleblog.com/2014/08/https-as-ranking-signal.html

ーーーーーーーーーーーーーーーーーーーー

上の記事は2014年8月7日にGoogleがウェブマスター向け公式ブログに公開した記事です。常時SSLを正しく導入すれば、検索順位を決定する要因として考慮しますよといった内容です。設定していない、もしくは間違った設定をしているところは、この恩恵を受けていないことになります。

常時SSLを正しく設定するには、サーバ証明書をサーバ会社に申し込んで設定を依頼するだけでは不完全なのです。
http〜から始まるアドレスを、https〜から始まるアドレスにリダイレクトする必要があるのです。
そして、これでOKではありません。

さらにもう一歩、アドレスにwwwがあるのかないのか、index.html(index.php)を表示するのかしないのかといったURLの正規化も設定する必要があります。

すべてのページがhttps〜から始まる暗号化されたアドレスにはなっているものの、そこで設定を終えているため、http〜から始まるアドレスでも表示されており、常時SSL化ではなく、ときどきSSL化になってしまっているホームページがとても多いんです。

ホームページ無料診断の途中集計の記事にも書いていますが、単にすべてのページをSSL化しただけでは、以下の様々なアドレスで同じページが表示されてしまいます。(※サーバの仕様により条件は異なります)

http://www.example.com
http://example.com
http://www.example.com/index.html(index.php)
http://example.com/index.html(index.php)
https://www.example.com
https://example.com
https://www.example.com/index.html(index.php)
https://example.com/index.html(index.php)

暗号化されたアドレス(https〜)もあれば、そうでないアドレス(http〜)も混じっており、これでは常時SSLではなく、ときどきSSL、たまたまSSLになっています。

正しく設定するには、https〜から始まるいずれか1つのアドレスへ他のすべてのアドレスからリダイレクトさせなければならないんです。これに対応していないホームページがとても多く見受けられます。

余談ですが調べると、みなさんのホームページの制作を行う制作会社のホームページも、そのほとんどが正しく常時SSL化できていませんでした。
一般企業のホームページが常時SSLの設定が不完全であっても仕方がない部分もあるかなと思っていましたが、制作会社の多くも不完全な常時SSLで設定されている。
これにはびっくりを通り越してショックを受けています。

お客さんがわからないところは手を抜いて作業しているんでしょうか..
それとも、正しく設定する方法がわからないのでしょうか..
「URLの正規化」で少し検索すれば、たくさんの記事が出てきます。
さらに突っ込んで調べたところ、東京では多くの制作会社が当たり前のように正しく設定できているのに、大阪の制作会社では約80%近くが不完全な常時SSLになっているという怖い現実..

話を戻して..
サーバ証明書を申し込んで、https〜から始まる暗号化されたアドレスにしているのに、きちんと設定されていないために、ときどきSSL、たまたまSSLになってしまっていて、訪問者を不安にさせたり、検索エンジンからの評価も受けられていない状況になっています。(実際はGoogleが忖度してくれてどれかひとつのhttps〜から始まるアドレスを検索結果ページに表示するようにしてくれてはいますが..)
本当にもったいない話です。

6年以上前に騒がれ始めた常時SSLですが、ホームページ無料診断を始めて、様々なホームページをチェックした結果、未だに多くのホームページで正しい設定ができていないことがわかりました。
それは中小企業のホームページだけではなく、本来なら正しい常時SSLを設定を行うはずの制作会社のホームページも同じ状況でした。

今年の3月から、インターネットブラウザのChromeがアップデートされ、混合コンテンツ(https内にhttpのコンテンツが混じっている不完全な常時SSL設定のこと)をブロックするようになりました。常時SSLが不完全な設定となっているために、一部コンテンツがブロックされて表示されなくなっています。
こいういったセキュリティ面を強化する流れは今後も続くと思います。
不完全な常時SSLだとホームページの集客力を失ってしまうかもしれません。

あなたのホームページは、常時SSLですか?
それとも、ときどきSSL、たまたまSSLですか?

ホームページ無料診断はまだまだ受付中です!
お気軽にご依頼ください。
https://oidc.jp/hpshindan
※2023年4月1日より事業が大阪産業局に移管されて受付ページが上記になりました。

デザインやwebサイトのことでご質問等ございましたら、いつでも気軽に大阪府産業デザインセンターのデザイン総合相談(無料)をお申し込みください!
お待ちしています!

デザイン総合相談(D-challenge):https://oidc.jp/