前回の記事で「独自SSLを導入するならエックスサーバー、しないならロリポップ」というところまで進みました。
あとは、このブログにとって独自SSLが必要なのかどうかです。
検討を始めた時点ではSSL自体についてよく知らなかったので、ちょっと調べてみました。
そもそもSSLってなに?
SSL(Secure Sockets Layer)というのは、インターネットでやり取りされる通信の内容を暗号化する技術だそうです。
そうすることで、誰かが通信内容をのぞき見してデータ自体は見られたとしても、内容が分からないので、情報漏洩や改ざんを防ぐことができるというもの。
暗号化するだけのもの、暗号化だけでなくサイトの所有者や企業の証明をするもの、とレベルによりいくつか種類があり、費用にも大きな違いがあります。
SSLによりユーザーさんは安心してサイトに自分の個人情報等を入力できます。
いま見ているサイトがSSLを導入しているかどうかは、URLの先頭部分を見れば判ります。
「http://」← SSLを導入していない(sなし)
「https://」←SSLを導入している(s付き)
URL先頭にどちらも表示されていない場合は「sなし」です。
このSSLというのは、実はひと昔前の規格なんだとか。
現在はほとんどTLS(Transport Layer Security)に移行しているようです。
しかしもうSSLという呼称が一般化しているから、実際はTLSなんだけど、引き続き「SSL」と表記するか、または「SSL/TLS」と併記しよう、ということらしいです。
共用SSLと独自SSL
前回記事から今回記事の冒頭にかけて「SSL」じゃなくて「独自SSL」と表記しています。
この「独自SSL」に相対するのは「共用SSL」です。
共用SSLとは?
サーバー会社が持っている、SSLを導入しているスペースの一部を借りて利用するSSLが
「共用SSL」です。
共用SSLサーバーの一部を借りて購入者の情報を入力するフォームなどを設置し、利用者を「sなし」の自分のサイトからそちらに誘導して、安全に情報入力をしてもらうという感じです。
メリット
・無料または格安で利用可
・導入が簡単
デメリット
・共用なのでアクセスが重い場合がある
・違うドメインのページに移るため、ユーザーさんが不安を感じる可能性がある
・運営者の身元保証ができない
ロリポップ!は共用SSLを無料で提供していますが、独自ドメインでは利用できないようです。(さくらのレンタルサーバも同様)
エックスサーバーのサイトでは共用SSLについての記述は、僕は見つけられませんでした。
独自SSLを無料で利用できるので、必要ないということでしょうか。
独自SSLとは?
自分のサイト・ドメインをSSL化するもの。全ページを「s付き」にして、サイトのどこを閲覧しても常に通信が暗号化されている状態を「常時SSL」といいます。
メリット
・ユーザーが意図しない別ドメインへの移動がなくなる
・サイト側の安全性も高くなる
デメリット
・コストがかかる(一般に、認証レベルが高いほど高額)
・導入・設定についてある程度の知識と手間が必要
認証レベルの高低と暗号強度の程度は関係ないそうです。エックスサーバーの無料独自SSLでも、通信の安全性は問題ないということでしょう。
また一時期、サイトを「s付き」にするメリットとして「SEO上、有利になる」という点が挙げられているのを散見していましたが、これについてはこの後で触れます。
SSL導入でSEOに有利になる?
2015年12月18日にグーグルが、
「HTTPS ページが優先的にインデックスに登録されるようになります」
という見出しで、ウェブマスター向けの公式情報を発信しました。
一時期、この見出しにだけ反応したのか、
「一刻もはやくSSLを導入してURLをhttpsにしないと、検索順位がガタ落ちして競合サイトに遅れを取ってしまうじゃないか! えらいこっちゃ!(ほんの少し誇張あり)」
みたいなテンションの記事を少なからず見かけました。
しかし、実際のグーグルの発信した内容を見に行くと、以下のように書いてあります。
同じドメインの 2 つの URL が同じコンテンツを掲載していると思われ、かつ、両者が異なるプロトコル スキームで配信されている場合、通常、以下の条件を満たしていれば HTTPS URL を選択してインデックスに登録します。
「同じドメインの」というところが肝です。
つまり、グーグルが言っているのは、
「あんたのとこのサイト内に同じような内容のページが複数あってsなしのページとs付きのページが混じってたら、s付きのページを優先してインデックスするよ」
ということだと解釈するのが妥当と思います。
間接的な影響はあるかもしれませんが、s付きであるか否かが検索順位に直接影響を及ぼすことは、今のところはないと思っていいでしょう。
どういうサイトにSSLが必要?(私見含む)
ユーザーに個人情報を入力してもらうことがあるサイト
商用サイトは言わずもがなですが、個人サイト、個人ブログであっても、趣味で作ったものを販売するなどで、ユーザーさんの住所・氏名等を入力してもらうことのあるサイトはSSLを導入しておいた方がいいと思います。
個人運営で、見に来た人が何か入力するとしてもせいぜいメールアドレスくらい、というアフィリエイト用のサイトやブログにSSLが必要かというと、僕個人としては今のところ必要ないと思っています。
ページ数が多い、または多くなりそうなサイト
今のところ必要ないと思ってはいますが、将来的にはどうなるか判りません。
「SSLを導入してないサイトは審査に通しません」なんてことを言うASPが出てこないとも限りません(笑
まあ、そこまでは行かなくても、常時SSLの重要性が高まってきている流れは確かにあるようです。
もし必要になった場合に、ページ数が膨大だと対応が後手に回ってしまう可能性が高くなりますから、(必要かどうかはともかく)今のうちからSSL化を進めておく、あるいはサイトやブログの立ち上げ時からSSLを導入しておくという選択もありかと思います。
結局、このブログは導入したのか
URLを見れば判るとおり、SSLは導入していません。
上に挙げた2つ以外にも「イメージを重視したいから」「なんとなく心配だから」なんてのもSSL化をする理由になるかもしれませんが、僕はそのどれにも当てはまりません。
ブログを続けていればページ数はそのうち多くなると思いますけど、もしSSL化しようと思う時がきたら、それも勉強だと思って面倒くさい移行作業を甘受しようじゃないか、と。
Yahoo! Japanや楽天でさえ(これ書いてる時点では)トップページは「sなし」なんだし、うちみたいな零細ブログが常時SSLでなくても問題ない(はず)。
というわけで、最初のレンタルサーバーには「ロリポップ!」を選びました。
この記事を書いている時点で利用開始から1ヶ月くらい経っています。
もう少し使ってみて使用感などをレポートできたらと思います。
コメント