SSL(Secure Sockets Layer)は、インターネット上でデータを安全に送受信するための暗号化技術です。ウェブサイトとその訪問者の間でやり取りされるデータを暗号化することにより、第三者にそのデータを盗み見られたり、改ざんされたりするのを防ぐことができます。
SSLを導入されているウェブサイトのURLは「https」と表示されます。基本的に、現在のほとんどのウェブサイトではSSLが導入されているはずです。導入されていないウェブサイトは、最近、ほとんど見かけなくなりました。
2024年6月で全世界の約86%が導入
W3Techsのデータによると全ウェブサイトの約86%がHTTPSをデフォルトで使用しています 。(https://w3techs.com/technologies/details/ce-httpsdefault)
2016年の導入率は40%程度であったため、かなりの増加率になっています。ちなみにこれだけSSLの導入が増えたのは、無料で自動的にSSL証明書を発行する「Let’s Encrypt」の取り組みが大きいとされています。
また、GoogleがHTTPSを導入しているウェブサイトを上位表示させる傾向になり、ブラウザでHTTPサイト(SSLを導入していないサイト)に警告を表示するようになり急激に導入されるようになりました。
元々はSSLを導入するのにもコストがかかっていました。実際、私も2009年あたりから、2016年ぐらいまでに作ったウェブサイトは全てSSLを導入しなかった記憶があります。
SSLを導入していないデメリット
SSLを導入するのにコストがかからなくなり、導入しない理由がなくなったわけですが・・・。一応、SSLを導入していないデメリットについて書きます(笑)
データの盗聴のリスク
暗号化されていないデータは、第三者によって容易に盗み見される可能性があります。お問い合わせフォームから送信される個人情報や、クレジットカード情報やパスワードなども漏洩する可能性が十分にあります。特に、WoocommerceやStripeなどのショッピングプラグインや決済プラグインを使用する場合、通常のウェブサイトよりもリスクが高まります。
見込み客・顧客が商品を購入する際に入力する支払い情報や配送情報がSSLによって保護されていないと、通信途中で情報が漏洩する可能性があります。また、支払い情報を入力するページが暗号化されていないと、クレジットカード情報が第三者に盗まれ、不正利用されるリスクがあります。
公式ドキュメントの抜粋
Stripeのセキュリティガイドからの抜粋です:
“Stripe requires HTTPS for all services using TLS (SSL). This ensures that all data passed between the Stripe servers and the user’s browser remains private and integral.”
日本語訳:
“StripeはすべてのサービスにHTTPS(TLS、SSL)を使用することを要求しています。これにより、Stripeのサーバーとユーザーのブラウザ間で送受信されるすべてのデータがプライベートかつ完全であることが保証されます。”
これらのリスクを軽減するためには、SSL証明書を導入し、すべてのデータ通信を暗号化することが重要です。また、プラグインや決済ゲートウェイの最新バージョンを使用し、セキュリティパッチを適用することも重要です。
はい、お問い合わせフォームを導入している場合も、SSLが導入されていないとリスクが高まります。具体的には以下のようなリスクがあります。
ウェブサイトの信頼性の低下
ウェブブラウザは、SSLがないウェブサイトを「保護されていない」と表示し、訪問者に警告を出します。これにより、訪問者の信頼を一瞬で失います。ちなみにこれは私が経験した実体験です。私のクライアントのウェブサイトが急に「保護されていない」と表示され、それをクライアントのお客さんが気が付き、クライアントに連絡をしました。そして、私に連絡がありました。この時は、本当に焦りました。
Googleの公式ドキュメント抜粋
“When users attempt to access a site without HTTPS, modern browsers like Chrome display a “Not Secure” warning in the address bar.”日本語訳
“ユーザーがHTTPSなしでサイトにアクセスしようとすると、Chromeなどの現代のブラウザはアドレスバーに「保護されていません」という警告を表示します。”
SEOへの悪影響
Googleは、SSLを導入しているウェブサイトを優先的に検索結果に表示するため、SSLがないとSEO(検索エンジン最適化)に悪影響を与えてしまいます。これもGoogleから公式ドキュメントとして発表されています。SSLを導入していないサイトにアクセスすると、ウェブブラウザは「保護されていない接続」の警告を表示します。これにより、訪問者はそのサイトが安全ではないと判断し、離脱する可能性が高くなります。
まとめ
お問い合わせフォーム、ECサイトの決済フォームなど、個人情報を入力する場面は多いと思います。ウェブサイトにSSLを導入することは、データ保護とウェブサイトの信頼性向上のために非常に重要です。昔は年間数千円~数万円ぐらいかかっていましたが、今は無料で使えます。(有料ですごいSSLもあります)契約するサーバーで簡単に設定することができるので、SSLは必ず導入しましょう。