読者です 読者をやめる 読者になる 読者になる

SEOカフェ

〜 SEOで悩んだらコーヒーブレイクしたら良いと思うんだ〜

【SSL通信は正常稼動?】httpsと表示されていても暗号化されていないページがある

【SSL通信は正常稼動?】httpsと表示されていても暗号化されていないページがある

ネットでデータ通信をする際に暗号化することを推奨するとGoogleが発表してから随分とSSL化が普及しているな〜と感じています。

SSL証明書を取って、『よし、SSL化したから安全だ!SEOとしての側面もある程度大丈夫だろう!』と油断していると思わぬ自体に遭遇します。

意外に気がついていない人が多いみたいだから、SSL化(httpsに対応)している!と思ったら振り返ってね。

そして、すぐこの記事に戻ってこれるようにブックマークしておいてね(笑)

・SSL証明書を取って安心してはダメ
・ソースコードにhttp://が一つでもあると危険

せっかくだったら完璧な状態にして全ページを暗号化するようにしたいものですね。

でも・・・

こんな状況になっていたら注意が必要かも。

SSL化されていると思っていたらされていないイメージ

何がおかしいか分かりますか?

私も言われるまで気がつきませんでした。

ちなみに正常だと、こうなります。

SSL化されているイメージ

違いは、https://~と表示されているのに暗号化されている通信ですよと緑色で表示されているかいないかです。

緑色で表示されていないとそのページは暗号化通信されていないということになります。

SSL通信とは

SSL通信とは、WebサーバーとWebブラウザー間における送受信データを暗号化する方法です。

個人情報の保護という側面から、機密性の高いクレジットカードといった情報をデータ通信する際にはSSL通信によって暗号化され情報の流出を防いでいたんですね。

個人情報のデータ送受信だけじゃなくWebサイトを単純に閲覧する時にでもセキリュティを高めないと危ないよってGoogleも公表し注意喚起しています。

詳しい話や概要はこちらから

SSL証明書を取得しただけでは安心できない

SSL証明には「ドメイン認証SSL」「企業実在認証SSL」「強化認証 SSL」という3種類存在しているけど、証明の証である対象ページが適切に対応されていないと元も子もないってことね。

f:id:kiyopiko-business:20170110152404j:plain

冒頭でも触れたけど、こ〜んな表示がブラウザでされていたら、そのページはSSL(暗号)化されていないってことになっちゃう。

SSL化されていると思っていたらされていないイメージ

費用をかけてSSL証明を取得したのだから、避けたい事象だわ!

SSL証明が該当ページに反映されない理由

URLの羅列が1文字でも違えばGoogleは違うURLと判断することは、有名な話ね!

test.com/index.htmltest.comhttp://www.test.comhttps://www.test.comは別々のURLと判断されちゃうの。
それがたった一文字「s」があるかどうかでさえもね。

https://www.test.comとURLは表示されているのになぜ暗号化されていないの??

それは・・・

ソースコード上の画像やJSファイルにhttp://パスが記載されているから

リンクURLは外部サイトへのリンクということもあるから「今のところ」スルーされているけど、自社サイトに使用している画像パスやJSパスがhttp://パスのように『sなしリンク』が設定しているとSSL化されないようなんです。

f:id:kiyopiko-business:20161121003146j:plain

TOPページだけ見て、緑色のSSL(暗号)化されていると思っても一部の下層ページでSSL(暗号)化されていない場合もあるから注意が必要ね!

対処方法

Google Chromeであれば、調べたいページを開いた状態で右クリックすると「検証」という項目があるから、それをクリックします。

【Ctrl+Shift+I(MacではCommand + Option + I)】というショートカットキーや【F12】キーで開くことができるの。

開いたら、右のほうに黄色い三角マークがあるからそこをクリックしてね。

SSL化されていない原因を見つけよう!右上の黄色い三角マークをクリック

三角マークの右に出てる内容がエラー項目の可能性が高いファイルが検出されるから、これまたクリックすると詳細が表示されるの。

SSL化されていない原因を見つけよう!エラー詳細を見つけられるイメージ

ここにhttp://パスがあったら、該当箇所をhttps://パスに変更すればOK!
http://パスではなくhttps://パスしか表示されていなかったら、そのパスをクリックしちゃいましょ〜

そうするとパスの詳細が上に表示されるの。

【Ctrl+F(MacではCommand + F)】で『http://』と検索すれば見つかるってわけ!

SSL化されていない原因を見つけよう!エラーの最終的な発見場所

パスを更新すれば正常に表示されると思うわ。

f:id:kiyopiko-business:20161121003144j:plain

シマンテック社のSSLサーバー証明書はGoogleから嫌われている

結論から言うと、で取得した証明書は9ヶ月以内に無効となる可能性が高いです。

新規の証明書はバージョン59以降のChromeで有効期間を段階的に縮小し、Chrome 59では33カ月(1023日)、Chrome 64では9カ月(279日)にまで短縮されます。

Google Chromeチームがオンラインフォーラムというページに掲載した情報では、同チームは1月19日以降にSymantecによる証明書検証の不手際について調査してきたらしいのね。

その結果、もともと問題があるよ〜と報告されていた127件から何と3万件へと拡大したと説明したの。

「シマンテックは過去にも証明書の発行に不手際があったことから、ここ数年のシマンテック社が発行する証明書を信用することはもはやできなくなった」としているらしいの。

恐ろしい・・・。

シマンテックってセキュリティに強いとされている会社だけど、Googleからは嫌われてしまっているようなのでシマンテック社でSSL証明書を取得した人、これから取得しようとする人は残存期間に注意してくださいね!

詳細はこちらを参考にしてください!

まとめ

まとめです〜!

・SSL証明書を取って安心してはダメ
・ソースコードにhttp://が一つでもあると危険
・「検証」ページから該当ファイルを探して修正する
・シマンテック社のSSL証明は有効期限に注意!

ちなみに、URLの正規化を行っていなくhttp://URLhttps://URLの両方がソースコードに存在する場合は、Googleがクロールできてしまうので同じサイトが2つあると認識しちゃうからくまなく注意してみてね!

スポンサーリンク