WebサイトのHTTPS対応は必須?

先日ITメディアからGoogle、HTTPページに警告表示まずはパスワード入力からという記事がでました。今後は全てのサイトでhttps化が必須になってくるのかなという印象を受けました。

httpとhttpsの違い

単純に暗号化されているかされていないかの違いだと思って下さい。主に問い合わせ、資料請求などのフォームやログイン画面などで使われてたりします。

httpsで接続すると暗号化されての接続のため、httpよりも安全に接続できるというメリットがあります。

httpsのデメリット

接続が遅くなる?

httpsはhttpsと比べると通信量が多くなるため、接続が遅くなるとかサーバー負荷が多いなど聞きます。ただhttp2のほうで接続すれば早いとも聞きます。
※logwではhttp1.1の状態です。http2にはまだ対応していません。

実際に通信量があがるので若干重たくはなるかもしれませんが特に気になるレベルではないです。

SSLは有料のためコストがかかる

デメリットとしてはこっちのほうが多いかも知れません。無償のSSLもありますが、VPSやクラウド、専用サーバーなら無償のSSLでいけますが共用などのレンタルサーバーとなると無償のは使えないため年1万円〜数万円のコストがかかります。

logwではLet’s Encryptを使っていますインストール方法は無料のSSL Let’s Encryptをインストールして使ってみるを参照してください。

共用サーバーでも年間数百円などで使えるととてもありがたいのですが・・・もしくはラピットSSLみたいな格安のSSLを使えるととても助かります。

格安SSLの安全性?

SSLと聞くと年間1万円〜数十万円とします。格安SSLは年間数千円などで買えるSSLです。格安なので安全性が低いなどありそうですがそんな事はありません。

SSLの安全性は基本変わらない

無償のSSLでも、自己認証局のSSLでも、格安でもSSLの安全性は変わりません。グローバルサインのクイック認証(約3万)、ジオトラストのクイック認証(約3万)も、格安SSLと効果は同じです。

例えば、格安SSLのアルファSSLの認証局はグローバルサインです。ラピットSSLも認証局はジオトラストです。EV-SSLでも使わない限りは基本的には格安SSLなどでも良いと思います。

EV-SSL

元々SSLは認証局で発行していたのですが認証局によって基準などが曖昧でした。そこである一定の基準を設けて業界で共有しているのがEV-SSLになります。SSLの名称も認証局で違いますが基準ができたEVに関してはどこでもEV-SSLと同じ名称です。

このSSLは格安SSLでは扱っていないことが多いです。

他のブラウザでは?

現在Googleの提供しているクロームのみが警告を出すという内容みたいですが、他のブラウザ(IE、firefox)では警告などは出るという事はありません。

PCサイトなら問題ないと思いますが、SPサイトの場合はアンドロイドがクロームが標準ブラウザだと思うので対応は必須になってくる可能性がありそうです。