ある日突然、自社サイトを開いたら、アドレスバーに「保護されていない通信」と表示された ── あるいは、訪問者から「危険なサイトと表示されたのですが…」というお問い合わせを受けた。これらはすべて、「通信の暗号化」まわりの設定や状態に起因します。今回はその3つの論点(HTTPS / TLS 証明書 / 混在コンテンツ)を、なるべく専門用語を使わずにご案内します。
そもそも「通信を暗号化する」とは
ウェブサイトを開くと、ブラウザとサーバーの間で大量のデータがやりとりされています。入力された問い合わせ内容、ログイン用の情報、購入情報。これらが暗号化されていない状態で流れていると、途中で誰かが盗み見たり、書き換えたりできる余地が生まれます。
- HTTP と HTTPS
住所欄(URL)の最初に出てくる「http://」と「https://」の違いです。https は通信が暗号化されている状態を指します。現在のブラウザの多くは、httpのままのサイトを開くと「保護されていない通信」と表示するようになっています。 - TLS(Transport Layer Security)
HTTPS の中身を支えている、現在主流の暗号化の仕組みです。「SSL」という古い呼び方を耳にすることがありますが、現在のサイトで使われているのは TLS(TLS 1.2 / 1.3)です。慣用的に「SSL証明書」と呼ぶ場面もあります。
① HTTPS への自動転送(HSTS)
サイトを https:// に対応させているつもりでも、「http://〜」で来た訪問者が、暗号化されていないままアクセスしてしまうケースがあります。これを防ぐのが、「http で来たアクセスを、サーバー側で自動的に https へ転送する」設定です。
- HSTS(HTTP Strict Transport Security)
「このサイトは今後、必ず https で開いてください」とブラウザに伝える仕組みです。一度この指示を受け取ったブラウザは、以後一定期間、自動的に https で接続するようになります。サーバーが返す「応答ヘッダ」の中で指定します。
coremeo-check(コレミオ-チェック) の「HTTPS(通信の暗号化)」項目では、サイトが HTTPS に対応しているか、http から https への自動転送が機能しているか、HSTS が設定されているか、をまとめて確認します。
② TLS 証明書(サイトの「身分証」)の有効期限
HTTPS による暗号化には、サイトの「身分証」にあたるTLS 証明書が使われます。ブラウザは、その身分証が有効か(期限内か、信頼できる発行元か)を確認したうえで、暗号化通信を開始します。
- TLS 証明書
「このドメインのサイトは、確かにこの組織のものですよ」と、第三者の認証局が保証する電子的な身分証です。有効期限が切れたまま使い続けると、訪問者のブラウザに「危険なサイト」と警告が表示されます。一般的な無料証明書(Let’s Encrypt 等)は90日程度の有効期限で、自動更新の運用が前提になります。 - CAA レコード
「この認証局からしか証明書を発行しない」とドメイン側であらかじめ宣言しておく仕組みです。万一、第三者が無断で証明書を取得しようとしても、認証局の側で発行を断る仕組みになります。設定は必須ではありませんが、推奨される対策の一つです。
coremeo-check の「TLS 証明書」項目では、有効期限までの日数を確認します。30日以内に迫っている場合は🟡、すでに切れている/取得できない場合は🔴という判定になります。CAA レコードの設定有無も併せて表示されます。
③ 混在コンテンツ(Mixed Content)
サイト全体は https で対応しているのに、ページ内に http://〜 で読み込まれている画像やスクリプトが混じっている、という状態を「混在コンテンツ」と呼びます。「鍵がかかった部屋の窓の一部が開いている」状態に例えられます。
- 混在コンテンツ(Mixed Content)
暗号化されたページ(https)の中に、暗号化されていない部品(http)が混在している状態です。画像の混在は警告どまりですが、スクリプト(JS)の混在はサイト改ざんや情報の盗み取りにつながるリスクが高まる可能性があります。
原因として多いのは、過去に http で運用していた時期の古いコンテンツの取り込み、外部の http 画像へのリンクなどです。リニューアル後のサイトでも、古い記事に http リンクが残っているケースは少なくありません。
3つはセットで「通信の信頼性」を支える
HTTPS が対応していても、証明書が切れていれば「危険なサイト」表示が出ます。証明書が有効でも、混在コンテンツがあれば「保護されていない通信」の表示が出ることがあります。3つはそれぞれ別の話に見えて、「訪問者のブラウザに何が表示されるか」という結果を一緒に決めています。
MEO 対策で地域からの集客を伸ばしている事業者にとっては、検索でせっかく見つけてもらえた瞬間に「危険なサイト」の警告表示が出れば、信用や集客面で影響を受けることがあります。3つの項目を🟢の状態に揃えておくことが、集客の入り口に対する基本的な備えと言えます。
対応の進め方 ── 自社/制作会社/専門家
- HTTPS 対応/HSTS:レンタルサーバーの場合は管理画面で「HTTPS 化」「常時 SSL」「HSTS 有効化」といった設定項目が用意されているケースが多いです。サーバーやテーマの仕様により名称が異なります。
- TLS 証明書の更新:多くのサーバーで、Let’s Encrypt 等による自動更新が利用できます。期限切れが心配な場合は、自動更新がオンになっているかをご確認ください。
- 混在コンテンツの解消:古い記事内の
http://〜リンクの書き換えや、テーマ側の設定見直しが必要です。サイト数や記事数が多い場合は、制作会社・専門家にご相談いただくと作業負荷を抑えられます。
判断に迷う場合は、当社で30分の無料相談を承っています。診断結果に応じて、優先順位の付け方や、サーバー会社へのご相談内容の整理までお伝えします。
次回は「応答ヘッダとブラックリスト」をご案内します
次回は、coremeo-check の7項目の中でも「外からは見えにくい設定」にあたる、応答ヘッダ(HSTS 以外のもの)と、メール送信元のブラックリスト診断をご紹介します。サイトの信頼性、メールの到達性に関わる、地味だけれど重要な領域です。
まずは自社サイトを診断してみる
URL を入力するだけ、登録は任意、攻撃的なアクセスを行わない設計です。診断結果は信号機の色でその場で表示されます。
※ coremeo-check は受動診断ツールであり、ウェブサイトの安全性を保証するものではありません。診断結果は外部から確認できる公開情報の範囲に限定されます。具体的な対応の必要性・優先順位は、各サイトの運用状況に応じてご判断ください。
コメント