2017年08月18日

Googleがウェブマスター向け公式ブログで７月２１日に「Chrome の HTTP 接続におけるセキュリティ強化に向けて」
https://webmaster-ja.googleblog.com/2017/07/next-steps-toward-more-connection.html
という警告を発しました。



この発表によると2017年10月からはSSL/TLSにより暗号化されていないWebページにユーザーがアクセスすると：

１、ユーザーが HTTP ページにデータを入力した場合において「Not secure」の警告が表示されるようになる

２、HTTP ページにシークレット モードでアクセスした場合において「Not secure」の警告が表示されるようになる

ということです。

従来から騒がれていたWebサイトの全ページの常時SSL/TLS化の必要性が差し迫るようになりました。
Googleはすでに公式に「長期的には、HTTP で配信されるすべてのページを「保護されていません」と明示することを計画しており、この新しい警告はその一環です。」ということをはっきりと発表していますが、その時が思ったより早く近づきつつあるということになりました。

この動きに対してどのように私達Webサイト運営者は対応すべきなのか？

それは：

（１）自社サイト内の全てのページを確認して、ユーザーが何かを入力する入力欄があるページは全てSSL/TLS化すること
→　例えば自社サイト内に

http://www.suzuki.com/form.html

というお問い合わせフォームがある場合は、ユーザーが何かを入力する可能性があるのでGoogleはそのページをSSL/TLS化することを要求します。そのためそのページは

https://www.suzuki.com/form.html　（Sの部分に注目）

にして暗号化する必要があります。

（２）SSL/TLS化していない旧来のページにユーザーがアクセスすると自動的にSSL/TLS化されているページに自動転送をする（３０１リダイレクト等で自動転送をする）

例：
旧来のページ：
http://www.suzuki.com/form.html

にアクセスすると自動的に・・・

暗号化された新ページ：

https://www.suzuki.com/form.html　（Sの部分に注目）

にジャンプするようにする。

こうすることによりユーザーだけではなく、Googleのクローラー（Webページの情報を収集するソフト）もこれまであったページを見失うことなく、新しいページに辿り着くことができるので、SEO的なマイナスは無くなります。

逆にこの自動転送を怠るとサイトからページ数が減ったとGoogleが認識してSEOにマイナスになります。

ここで一つ気をつけなくてはならないのが、ユーザーが入力するページは必ずしもお問い合わせフォームや、ショッピングカートだけではないという点です。

例えば、全ページのヘッダーにサイト内検索窓を設置している場合は、全ページがユーザーが入力する可能性のあるページになってしまいます。



あるいは、全ページのサイドメニューにメルマガ購読申込みのためにメールアドレスは名前を入力するフォームを設置しているサイトも多く見受けられます。



他にも、全ページヘッダーあたりにユーザー登録した会員が会員IDとパスワードを入力するフォームが設置されているサイトもあります。



これらのページをお持ちの方は実質的にサイト内の全てのページをSSL/TLS化することがすぐに必要だということになり、早急に行動を起こさなくてはならなくなりました。

（３）サイト内の全てのページをSSL/TLS化すること
→　Googleは「長期的には、HTTP で配信されるすべてのページを「保護されていません」と明示することを計画しており、この新しい警告はその一環です。」ということをはっきりと発表しているので、サイトの全てのページをSSL/TLS化する必要が遅かれ早かれ来ます。

もしも全ページのSSL/TLS化の対応が遅れるとChromeという日本でも、世界でも最も利用者数が多いブラウザを使うユーザーがChromeが表示する警告を見て怖がってしまい暗号化されていないページは見られなくなる可能性が高まります。
その結果、アクセス数が減っているということにGoogleが気が付き、検索順位ダウンという事態をもたらす可能性が非常に高いのです。

（４）サイト内の全てのSSL/TLS化されていないページにアクセスするユーザーを自動的にSSL/TLS化されているページに自動転送をする（３０１リダイレクト等で自動転送をする）
→　ページ数が多いサイトの運営者にとってこれはかなりの作業量です。自分でやる場合はかなりの時間がかかります。外注する場合はひどい場合は数十万円かかるケースもあります。

すでにGoogleはサーチコンソールに登録されたサイトで

（１）自社サイト内の全てのページを確認して、ユーザーが何かを入力する入力欄があるページは全てSSL/TLS化すること

に対応していないサイトの管理者に次のようなメールを配信するようになりました。下の図は私のクライアント企業が最近受け取った警告メールの実物です。



ご覧のようにかなり差し迫った口調でサイト運営者に対してSSL/TLS化をするようにプレッシャーをかけています。さらには「長期的には、HTTP で配信されるすべてのページを「保護されていません」と明示することを計画しており、この新しい警告はその一環です。」とはっきりと書くことにより非常に面倒な全ページの常時SSL/TLS化をするよう大きなプレッシャーをかけています。

SSL/TLS化の実施にあたり３つ大きな注意点があります：

１、高額なSSL/TLS証明書を購入する必要はないということ
→　未だに高額なSSL証明書を買っている人がいます。昔は年間７万円程度のものも多かったのですが、最近ではラピッドSSLなら年間1,500円、AWSは無料、無料独自SSLを提供するレンタルサーバー会社も増えてきていますので高級なものを購入する必要は年商１０億円を超えるような規模の会社以外は要らないはずですので、気をつけて下さい。

２、SSL/TLS化されていないhttp:のページにユーザーがアクセスしたらhttps: のページに自動転送をすること
→　ページ数が多いサイトをお持ちの方は、.htaccess ファイルに１つ１つS無しのページからS有りのページに自動転送するように記述するのは面倒です。しかしPHPのプログラマーに相談すれば自動転送を自動化するプログラムを書いてもらえることがあるのでPHPに詳しい方に依頼すれば思ったより手間はかかりません。

３、２を実施しても、１から２週間検索順位が落ち込むことがあること
→　どんなに徹底して２を実行して自動転送処理をしても、何故か、SSLすると１から２週間検索順位が落ち込むことがあります。しかし、これは一時的なものでしかなく必ず順位は復旧しますので心配しないようにしてください。

普段からやることがたくさんあるのに、全ページSSL/TLS化という余計な仕事が発生するのは非常に理不尽です。しかし、これに乗り遅れたら競合とのSEO施策上の差が生まれてしまい競争上不利になります。そして何よりもユーザーを保護するためのサイト運営者としては当たり前のことをして自社サイトに一層の磨きをかけるという姿勢が必要です。

ほとんどの場合、かなり時間がかかることなので、早速全ページSSL/TLS化への対応を始めて下さい。