liteCDN

だいぶ前の話にはなりますが、liteCDNでリダイレクトの無限ループが原因であわやサーバーダウンになりかけた事例があります。

CDNが普及してきたからこそ、CDN障害が起きてしまうとその影響は計り知れません。

もちろん現在では、liteCDNがリダイレクトの無限ループでサーバーがダウンしないように対策済みなのでご安心ください。

今回は、リダイレクトループとは何なのか。またどうしてそのようなことになるのかをお話したいと思います。

リダイレクトの無限ループとは？

リダイレクトとは、アクセスのあったページから別のページに転送することです。

その転送が、何かしらの原因で永遠と繰り返される現象をリダイレクトループといいます。

リダイレクトループに陥ったコンテンツを表示した場合、無限ループに陥っているからといってブラウザがビジー（応答なし）になることはありません。

リダイレクトループになると、上画像のように「ERR_TO_MANY_REDIRECTS（リダイレクトが多すぎて表示できないよ！）」というエラーが表示されます。

ブラウザの判断によってエラーとなるので、ビジー状態（フリーズ）になってユーザーに迷惑をかけることはないものの、エラーが表示されるのでコンテンツイメージを悪くする可能性はあるかもしれません…。

コンテンツ運用の中でリダイレクトは有効な手段である反面、リダイレクトループの危険があることも知っておいてください。

どうしてリダイレクトループが起きるの？

ここでは、liteCDNがサーバーダウンになりかけたケースを含め、リダイレクトループの原因を紹介します。

HTTPとHTTPSの判定でリダイレクトループ

2021年9月の「Chrome94の仕様変更」では、Chrome（ブラウザ）のオプションで、「HTTPSファーストモード」機能が追加されました。

HTTPSファーストモードとは、HTTPS（SLL化）をしていないサイトは「安全ではない可能性がある」と判断して、サイトを表示しない設定です。

その影響もあるのか、急激に進んでいるのがコンテンツのSSL化です。

コンテンツをSSL化する方法のひとつにCDNの導入がありますが、今回はそれが原因でリダイレクトループが起きてしまいました。

CDNを経由したSSL化で起きたリダイレクトループ

CDNは、付加を分散するためにロードバランサー（略称：LB）という、外部からのアクセスを複数サーバーに振り分ける機器を経由しています。

問題は、ロードバランサーはHTTP（ポート番号：80）でアクセスしてしまうこと。

これによって、HTTPSでアクセス→HTTPでアクセス→HTTPSへリダイレクト→HTTPSでアクセス…とリダイレクトループに陥ってしまうのです。

幸いliteCDNでは障害となる前に検知して対応を取ることができましたが、今後もどのような障害が起きるかわからないので気を引き締めなければならないと考えるきっかけとなった事例です。

ポート番号って何？

インターネットの世界では、IPアドレスによってコンピューターの識別を行っています。

しかし、IPアドレスだけでは何のパケット（データ）が送受信されたのかを判断できません。

そこで登場するのが　0～65,535　までの数値で管理されているポート番号です。

TCP/IP（通信プロトコル）ではサービス単位にポート番号が割り当てられており、IPアドレスとポート番号を指定することで、送り先のコンピューターに何のパケットが送られたのかを識別させることができます。

ポート番号は各々に設定することも可能ですが、とくに設定していない場合は、以下のポート番号が使用されます。

どうしたらリダイレクトループを回避できるの？

今回のケースでは、ウェブブラウザからのアクセスなのか、CDNからのアクセスなのかを判別できれば無限リダイレクトループを回避できます。

どうやって判別するの？　それを実現できるのが、ヘッダー情報の「X-Forwarded-Proto」です。

CDNを経由した場合、HTTPヘッダーに「HTTP とHTTPSのどちらのアクセスなのか」という情報をX-Forwarded-Proto に格納して付加します。

そこで、CDNからのアクセスでかつ X-Forwarded-Proto が「HTTPS」の場合はリダイレクトさせないように設定する必要があります。

そのためには、WordPressの wp-config.php に以下の記述を追加してください。

また、. htaccess を以下のように記述します。

.htaccessの設定による無限ループ

サイトを運営している方なら一度は「. htaccess（ドットエイチティアクセス）」という言葉を聞いたことがあるかもしれません。

.htaccess とは、リダイレクトやホームページのパスワード認証（BASIC認証）など、ウェブサーバーの基本的行動を制御するファイルです。

記述ひとつで旧ドメインから新ドメインへの移行（リダイレクト）させることができるので便利な反面、誤った書き方をすればリダイレクトループに陥ってしまう危険性もあります。

よくありがちなのが、サブディレクトリに新規ドメインを取得してしまった場合です。

上記のように、元々ルートディレクトリにサイトを作成していたが、複数サイトを運用することにしたので、サブフォルダに新ドメインを割り当てたというケース。

.htaccess はルートディレクトリが優先して読み込まれるので、元々の公開ディレクトリがルートディレクトリにある場合、新ドメイン→新ドメイン→新ドメイン…というようなリダイレクトループが発生してしまいます。

プラグインによるリダイレクト設定

WordPressには便利なプラグインが用意されていますが、そのプラグインが悪さをしてリダイレクトループを起こすことがあります。

これらはプラグインのインストールやアップデートのタイミングで起きることが多いです。

そのプラグイン単体、もしくは複数のプラグインが合わさって原因となることもあり、急にリダイレクトループが起きるようになったら、すべてのプラグインを停止してその原因を探るしかありません。

リダイレクトループをチェックしてくれるツール

自身のコンテンツのリダイレクトを簡単に確認できる方法があります。

それは、「リダイレクトチェック」というウェブツールで誰でも無料で、しかも登録しなくても利用できます。

使い方も簡単で、リダイレクトされているか調べたいURLを入力して［チェックする］ボタンをクリックするだけ！

このように、リダイレクトされているページを簡単にチェックできます。

もしこの結果で多数のページをリダイレクトしているのなら、一度見直してみるのもよいかもしれませんね。

POINT！

liteCDNでは、「http://」でアクセスされた場合、「https://」にリダイレクトするため、上記と結果となっています。

※「https://」へ強制リダイレクトを行うかは、ダッシュボードにて簡単に設定可能です。

おわりに

liteCDNでは、「強制リダイレクト設定」が標準装備されているので、リダイレクト設定を忘れていた場合でもユーザーに安全な通信を提供することができます。

もしCDNでSSL化を考えているのなら、ぜひliteCDNをご検討してください。お問い合わせもお待ちしております！

liteCDNに興味を持ったサイト運営者の方に、「自分のサイトにCDNは本当に必要ですか？」と質問をされることがあります。

たしかにCDNのメリットは理解できても、それが本当に必要なのか悩んでいる方が、意外に多くいるのかもしれません。

そこで、ここではCDNの導入目安に役立つ情報をお伝えしたいと思います。

CDNの導入目安

ここでは、どのようなサイトがCDNを導入すべきなのか紹介していきます。

アクセスが集中する可能性があるサイト

インターネットをしていると、「503エラー」を一度は目にしたことがあるのではないでしょうか？

この503エラーは、「サーバーに負荷がかかっているので、今は表示できませんよ」というエラーです。

通常時は出ることの少ないエラーでも、対策を取っておかないとアクセスが集中するたびにエラーになることも…。

	ピーク同時接続	ピーク帯域
キャンペーン	通常の数～数10倍	サイトにより異なる
Webメディア露出	数千～	数百Mbps～
TV連動	数十万～	数十～Gbps

出典：J-Stream J-Stream CDN情報サイト「ピーク対策」

サイトを利用しているユーザーからしてみれば、「何かエラーが出た」と不安になったり、「このサイトは閉鎖したのかな？」と勘違いしたりするかもしれません。

上記のようなサービスを月額料金でサービスを提供している場合は、サーバーの負荷によってサービスが利用できないとユーザーの離脱にもつながります。

またサービスの品質が悪いことがSNSや口コミで拡散されたら、企業の信用やブランド力の低下につながってしまうかもしれません。

そのようなリスクを抱えないためにも、アクセスの集中が考えられるサイト（コンテンツ）を運営にはCDNの導入をおすすめします。

ECサイトの60％以上がCDNを利用

2017年に以下の記事が発表されました。

【大手ECの約60%がCDN導入】知らないでは済まされないCDNとは？

コロナ禍の中で外出しづらい時期が長かったため、自宅で気軽に購入できるECサイトは急成長を遂げ、2017年よりもCDN導入は60％よりも増えていると考えられます。

とはいえ、そこまで大規模でないECサイトでもCDNを利用すべきでしょうか？

その答えは『YES』です。

なぜなら、サイトの表示が遅くなれば確実に不利益につながるからです。

Amazon

サイト表示が0.1秒遅くなると、売り上げが1%減少し、1秒高速化すると10%の売上が向上

引用：Web experiments generate insights and promote innovation.

ネットショップ担当者フォーラム

モバイル経由のアクセスでは表示速度が3秒のときにコンバージョン率が最大化し、表示時間が長くなるにつれてコンバージョン率が下がり、7秒で半減した

引用：ECサイトの業績に関わる”１秒”の価値。ユーザーの期待に応える表示速度を

Google

表示速度が1秒から3秒に落ちると、直帰率は32%上昇する。 表示速度が1秒から5秒に落ちると、直帰率は90%上昇する。 表示速度が1秒から6秒に落ちると、直帰率は106%上昇する。 表示速度が1秒から10秒に落ちると、直帰率は123%上昇する。

引用：Find out how you stack up to new industry benchmarks for mobile page speed

マイナビ

3秒を過ぎると57%のユーザーがしびれを切らし、訪問を諦めることがわかった

引用：3秒が許容範囲 – Webサイトのパフォーマンスが重要な理由

このように多くの専門家や大手ECサイトは、サイトの表示速度による影響を大きく捉え、CDNを導入してサイトの高速化や安定運用の対策を行っているのです。

今後もCDNの需要が高まることが予想される

最近はサイトやコンテンツの利用も、PCから手軽に使用できるスマートフォンやタブレットというデバイスに移行してきました。

ユーザーが年々増えていることに比例して、サイトやコンテンツも続々と増えています。

そのためサイトやコンテンツの提供者は、ライバルとの差別化を図らなければユーザーの獲得さえ危ぶまれてしまうのです。

その差別化のひとつが、表示速度向上も含めたサイトの利用のし易さの向上で、それに役立つのがCDNでしょう。

実際に、株式会社Ｊストリームが「株式会社Ｊストリーム　CDNのいままでとこれから」で、インターネットトラフィックの80％がCDNから配信されていると報告しています。

まとめ

CDNの導入については、ウェブサーバーのスペックやアクセス数の変動に左右されるので、「1日のアクセスが〇以上なら」という目安を答えることができません。

CDNの導入はアクセス数やサーバーのスペックではなく、「CDNの導入目安」で紹介している通り、サイトやコンテンツの内容によって決めたほうがよいでしょう。

まずは、liteCDNでどれぐらいサーバーの負担を減らし、「サイトの高速化ができるか。安定配信できるか。」をご検討いただけないでしょうか？

もちろんサービスになっとくできない場合は、30日でサービス終了。しつこい勧誘や解約のお手続きもありません。

2021年3月に、liteCDNの標準機能にウイルススキャンが加わりました。もちろん料金は月額7,500円（50TBまで）のまま。

このセキュリティ機能追加が、お客様のコンテンツ配信のサービス向上にお役立ちできれば幸いです。

ウイルススキャンの詳細

今回、liteCDNに実装したウイルススキャンは、毎日AM3：00にキャッシュされているすべてのファイルに対してウイルススキャンを行います。

もしキャッシュファイルがウイルスに感染していた場合、該当ファイルの駆除を行います。駆除といってもファイルを勝手に削除するわけではなく、他のファイルに悪影響が及ばないよう、安全な場所に移動（隔離）する対応を行っているのでご安心ください。

では、ウイルススキャンの頻度が1日に1度というのは十分なのでしょうか？

IPA（情報処理推進機構）や総務省からは、ウェブサーバーの管理者に向けて「週に1度はウイルススキャンを行いましょう」というリーフレットが配信されています。

つまり、liteCDNの1日1回という頻度は少ないということはありません。むしろ十分だと考えています。

ですが、より安全性を高めたいという要望にお応えするため、liteCDNではリアルタイムでウイルススキャンをするオプションをご用意しました。

お申込みはお問い合せからご連絡ください。

※ウイルススキャンについては、お客様側が設定することは何もありません。すべて弊社におまかせください！

新型コロナウイルス拡大で狙われるCDNサービス

新型コロナ感染で私たちの取り巻く世界は大きく変動を迎えました。その中でもリモートワークの導入は私たちの働き方を大きく変えました。

リモートワークは長時間労働の緩和、通勤時間の短縮などよいことばかりではありませんでした。

というのも、リモートワークに切り替えたことでフィッシング詐欺やマルウェア感染といった被害件数が大幅に増加したからです。

多くの人がウェブサービスを利用する機会が増えたことに注目し、悪意のある第三者が多くのキャッシュファイルを保持するCDNサービスにマルウェアを侵入させようと目論んだのです。

リモートワークで多くの人が利用しているSlackなどのツールでは、ユーザー間でファイルの送受信が可能になっていて、それらのファイルはプラットフォームプロバイダーが運用するCDNに保存されています。

もしマルウェアが仕掛けられたファイルがCDNにキャッシュされてしまったら？

そしてそのキャッシュファイルのURLがスパムメール等で拡散してしまったら？

多くの人たちが、何かしらの被害に合ってしまうかもしれません。

実際に、最近では多くのゲーマーが利用するチャットツール「Discord」に、大量のマルウェアが確認され、多くの被害が報告されています。

また過去にも「downAndExec」や「Infostealer.Bankeiya.B」など、CDNがマルウェアのターゲットになった事例が多く存在します。

今回導入したliteCDNのウイルススキャンが、悪意ある第三者からコンテンツを守るための盾になればと考えています。

「HTTP/2」が普及しはじめたと思えば、早くも「HTTP/3」がリリースされたという話を聞くようになりました。

・ここでは「HTTP/2」と「HTTP/3」の違いは何なのか？

・CDNも「HTTP/3」対応にすべきなのか？

上記の2つを中心に、今後のコンテンツ運営についてお話をしたいと思います。

「HTTP/2」と「HTTP/3」の違い

「HTTP/2」から「HTTP/3」になったことで、より効率化されて高速で通信できるようになりました。

※「HTTP」については、後述にある「【補足】HTTPとは？」をお読みください。

主な変更点は、使用される下位プロトコルが変更になったことです。

「HTTP/2」はTCP＋TLSを使用しますが、「HTTP/3」はUDP＋QUICを使用します。

正直、コンテンツ運営者にとっては「だからどうした？」と思われるかもしれません。

コンテンツが「HTTP/3」で運営されると、以下のような点が変わります。

具体的にどう変わったのかを、これから説明していきましょう。

TCPを使う「HTTP/2」とUDP+QUICを使う「HTTP/3」

通信路で同時に送れるデータ量は決まっているため、サイズの大きなデータを送ってしまうと通信路はそのデータでいっぱいになり、ほかのデータが送れなくなってしまいます。

「同時に複数の人がWEB会議できないってこと！？」

そんなことにならないよう、通信時はデータを「パケット」という単位に分解してデータの送受信を行います。

パケットにすればサイズの大きなデータで通信路が塞がれることなく、複数のデータを同時に扱えるのです。

そしてTCPとUDP+QUICの違いは、そのパケットの送り方にあります。

TCPの場合

TCPではパケット（分割されたデータ）に番号が割り振られます。

TCPはこの番号順にデータを送るのですが、受け取り側が「〇番のデータ」が届いたことを伝えないと、TCPはずっと〇番のデータを送り続けるのです。

よく言えば「すべてのパケットが間違いなく送り届けられる」のですが、悪く言うと「ひとつのパケットが届かないだけでそれ以降のパケットが送られない」ことに…。

このTCPのもつ問題を解決するために生まれたのが、「UDP」です。

UDP+QUICの場合

UDPもTCPと同じようにデータをパケットに分割しますが、送信方法に大きな違いがあります。

TCPの一番のデメリットは、パケットロスをしたときに同じパケットを送り続けてしまうことでした。

しかしUDPの場合は、パケットが無事に届いたかの確認を行うことなく次のパケットを送り出します。

これにより、パケットロスが原因でデータ転送が滞ることがなくなったのです。

HTTPを進化させた「SPDY」と「QUIC」

検索エンジンシェアが世界1位のGoogleはユーザーの利便性を第一に考えており、通信プロトコル（ルール）を改良してサイト表示の高速化やセキュリティ向上を行ってきました。

実際にHTTP/2は「SPDY」、HTTP/3は「QUIC」が基盤となっており、いずれもGoogleが開発に携わっています。

HTTP/1.1からSPDY（HTTP/2）になって、通信効率は劇的に改善しました。

そしてHTTP/2からHTTP/3になり、さらに通信効率とセキュリティが向上しています。

2021年1月の時点では、まだHTTP/3はそれほど普及していませんが、HTTP/3対応のブラウザも増えてきたことから考えても、HTTP/3がHTTP/2に取って代わる日は必ず来るでしょう。

「HTTP/3」が標準化！？CDN業者もそれを考慮して選ぶべし

今はまだHTTP/2がメジャーで、HTTP/3に対応しているレンタルサーバーも少ないのが現状（2021年1月現在）です。

「レンタルサーバーがHTTP/2しか対応していないなら、CDNもそれで充分でしょ？」

たしかに、そうかもしれません。

ですが、最初LiteSpeedしか対応していないHTTP/3でしたが、2020年10月にはQUIC + HTTP/3 for NGINXのプレリリース版が発表されました。

そのうちApacheやh2oといった、メジャーなウェブサーバーもHTTP/3に対応してくるでしょう。

やはり、今後のことを考慮するとHTTP/3に対応、または対応準備しているCDN業者を選んだほうがベターだと考えられます！

「HTTP/3」の導入が利益を生み出す

HTTP/3にどれほどよい効果があっても、導入コストや運用コストが発生して利益が減少したら導入するメリットがありません。

実際にHTTP/3を導入すれば、どのようなメリット（利益）が期待できるのでしょうか？

このようにコンテンツ運営をしているのなら、HTTP/3の導入は検討する価値があるでしょう。

では、気になるHTTP/3導入にあたってのコスト面はどうでしょうか？

レンタルサーバーを借りている場合は、業者のほうが対応してくれるので導入コストはかからないのでは…と予想しています。

※HTTP/1.1からHTTP/2に移行された場合も、別途料金が発生したという話は聞いていません。

また自社サーバーの場合も、ウェブサーバーのアップグレード、または変更するだけなので、それほど大きなコストはかからないでしょう。

「HTTP/3」は標準化される！

まだHTTP/3が普及していない理由のひとつが、まだ標準化されていないことにあるかもしれません。

しかし、2020年10月にインターネットに関する標準化団体（IETF）の技術面を担っているInternet Engineering Steering Group（IESG）は、QUICとHTTP/3についてのドキュメント（以下6つ）を受託しました。

• QUIC: A UDP-Based Multiplexed and Secure Transport

• QUIC Loss Detection and Congestion Control

• Using TLS to Secure QUIC

• Version-Independent Properties of QUIC

• Hypertext Transfer Protocol Version 3 (HTTP/3)

• QPACK: Header Compression for HTTP/3

これらがRFCに加わってインターネットプロトコルの標準となったら、HTTP/3の普及は加速するかもしれません。

HTTP/3対応を完了したブラウザも増えてきましたし、これからCDN業者を探すならHTTP/3の対応がどうなっているのかも選択条件に加えるべきです。

「HTTP/3」を実装すれば、本当に早くなるの？

TCPからUDPになったことで、パケット送信が柔軟になり、パケットロスがあった場合も通信が滞りなく行われることになりました。

では、パケットロスがなければHTTP/2とHTTP/3の速度に違いはないのでしょうか？

結論から伝えると、劇的に通信速度が上がることはありませんが、確実に効率的な通信が行われます。

効率的に通信が行われることで、通信による負荷が激減することは間違いないでしょう。

パケットの送信方法以外にも、HTTP/3は「3wayハンドシェイク」を行わないことで通信の効率化を実現しています。

「3wayハンドシェイク」をざっくり説明すると、TCPで採用されている通信のルールです。

1. 送信元が「接続を開始します：SYNパケットの送信」

2. 受信元が「OKです。こちらからも接続を開始します：SYN+ACKパケットの送信」

3. 送信元が「OKです：ACKパケットの送信」

4. 引用元：

【補足】「HTTP/3」に対応しているのは？

今はHTTP/2が主流ですが、HTTP/3へ対応するサーバーやブラウザが少しずつ増えてきました。

ウェブサイトの運営、アプリ運営、ウェブシステムの導入をしている、または検討しているのなら、今後の展開も注意深く見ていきたいですね。

「HTTP/3」の対応ウェブサーバー

〇LiteSpeed

〇Nginx

△H2O（実験的に開始されている）

「HTTP/3」を導入しているブラウザ

Firefox 75～

Safari 14～

Chrome（Canary版）

Edge（Canaryチャネル版）

※HTTP/3未対応のブラウザの場合、自動的にHTTP2で通信が行われます。

「HTTP/3」を導入しているコンテンツ

大手のSNSやコンテンツは、すでにHTTP/3に対応しているようです。

Google.com

Youtube.com

Facebook.com

Blogspot.com

Google.com.hk

Google.co.in

Myshopify.com

Google.co.jp

Google.com.br

Whatsapp.com

「HTTP/3」を導入（予定）しているCDN業者

〇Cloudflare

△Fastly（2020/05/11に対応することを発表）

「HTTP/3」の実装で注意することは？

HTTP/3を導入するにあたって、注意すべきことが2つあります。

ポートを確認する

通常、パソコンでは複数のプログラムが動作しているので、データを受信してもどこのプログラムにデータを届ければよいのかわかりません。

そこで「どのプログラムにデータを届ければよいのか」を示しているのがポート番号です。

そしてHTTP/2で使用されるのは、TCPの80番（非SSL）と443番（SSL）で、HTTP/3で使用されるのはUDPの443番です。

企業によっては、セキュリティ対策として不要なポート（UDP）を閉じていることがあるので、HTTP/3を導入したい場合はポートを開放する必要があります。

コンテンツの常時SSL化

HTTP/3が使うQUICには、セキュリティ機能としてTLS1.3が内蔵されています。

つまり否応なく暗号通信が標準化されたということです。

これはユーザーによっては安全面で喜ばしいことですが、コンテンツ運営者にとっては頭が痛くなることかもしれません。

なぜなら、「TLS1.3が内蔵されている＝コンテンツの常時SSL化しなければならない」からです。

【補足】HTTPとは？

HTTPとは、インターネットでデータをやり取りするためのプロトコル（ルール決め）です。

データをやり取りするにはクライアント（受け側）とサーバー（送り側）が存在します。

しかし画像、音楽、映像、テキストなどさまざまな種類のデータをやり取りするので、ルールを決めていなければ、受け取った側はデータをどう処理したらよいのかわかりません。

HTTPはデータの先頭（ヘッダ）にその情報をくっつけることで、どのようなデータかを示しています。

このように、どのような環境であっても滞りなくデータの送受信ができるのは、HTTPのおかげなのです。

【補足】SSL/TLSとは？

SSL/TSLの正式名称は、SSL（Secure Sockets Layer）とTLS（Transport Layer Security）です。

いずれもインターネットセキュリティ技術で、SSLの後身がTLSになります。

まだSSLの知名度が高いため「SSL/TSL」と表記されることが多いですが、HTTP/2やHTTP/3で使用されるのはTLSと考えてよいでしょう。

まとめ

インターネットの需要は増えるばかりですが、それに伴いサイバー犯罪も増加傾向にあります。

HTTP/3の登場により、コンテンツ表示が高速化されただけでなく、セキュリティも高まりました。

これによりユーザーの利便性と安全性はさらに向上するでしょう！

コンテンツの利用者増に備え、HTTP/3とCDNの導入を一緒に検討してみてはどうでしょうか？

liteCDNもHTTP/3に対応すべく、現在、鋭意対応中です！

コンテンツ運営をしていると、必ずといってもいいほど耳にするのが「SSL」という言葉。

「SSL」がどのようなものなのか。その仕組みを知らないものの「安全にインターネットをするために必要なもの」と認識している人は多いのではないでしょうか。

このページではSSLとはどういうものなのか、SSLを導入する意味やSSLの種類などについてお伝えしています。

SSLとは？

SSLとは「Secure Sockets Layer」の略で、「エスエスエル」と呼ばれます。

SSLはインターネットで安全に情報をやり取りするための暗号プロトコル（決めごと）で、保護された通信が行われることを意味します。

【SSLで行われていること】

SSLでの通信はこのような手順で行われ、最終的にはブラウザ、ウェブサーバーともに共通鍵を入手することになります。

ブラウザとサーバー間で通信されるデータは、共通鍵を使って暗号化・復号化されるため、たとえ盗聴されたとしても共通鍵を持っていないユーザーにはデータを解読されることはありません。

また検索エンジンの国内シェアNo1のGoogleは、ユーザーの利便性を高めるために次のようなガイドラインを出しています。

出典：

サイトのコンテンツを問わず、ユーザーによるウェブサイトへの接続を保護するために、HTTPS を導入することをおすすめします。

Search Consoleヘルプ「HTTPS でサイトを保護する」

このことからもSSLは今後ますます普及し、導入されているのが当たり前という日も近いと予想されます。

メリット

コンテンツ運営者にとって、コンテンツを常時SSL化することで得られるメリットは何でしょうか？

メリット1：ユーザーが安心して利用できるコンテンツの提供

SSL化されていれば通信は全て暗号化されるので、悪意のあるユーザーは盗聴やなりすましで個人情報を入手しても内容を知ることはできませんし、入手したデータの改ざん（※）もできません。

また通信を行った相手が事実を否認（※）したとしても、共通鍵を持っていることで関与したことを証明することも可能です。

※ECサイトの注文に対して「注文していない」（否認）などの行為。

つまりSSL通信を行うことは、ユーザーに安心して利用できるコンテンツを提供できるだけでなく、コンテンツ運営者にとっても大きなメリットとなるのです。

補足：ユーザーはサイトの安全性を意識している？

実はサイトが常時SSL化していないと、ユーザーの損失につながる可能性があると考えられています。

というのも、フィッシング対策協議会の「SSLサーバー証明書の表示の違いに対する意識に関する質問」で、アドレスバーの「https://」や「錠前マーク」を、ユーザーがどれくらい意識しているのかが調査されたのですが…。

フィッシング対策協議会「SSLサーバー証明書の表示の違いに対する意識に関する質問」

コンテンツをSSL化していなければ44.2％のユーザーがあなたのコンテンツの利用を控えてしまう可能性があるからです。

上記の調査は2019年7月に行われた内容なので、それ以降も個人情報流出事件が多発していることを考えると、「https://」や「錠前マーク」を意識するユーザーはさらに増えているかもしれません。

メリット2：SEO効果によって検索エンジンの検索順位が上がる

Googleは2014年に、以下のように公式発表しています。

出典：

ますます多くのウェブマスターが HTTPS（HTTP over TLS / Transport Layer Security）を彼らのサイトに導入するようになってきています。これはとても心強いことです。

こうした理由から、Google では過去数か月にわたり、Google のランキング アルゴリズムでのシグナルとして、暗号化された安全な接続をサイトで使用しているかを考慮に入れたテストを実施してきました。この実験ではよい結果が得られているため、ユーザーがもっと安全にサイトを閲覧できるよう、すべてのサイト所有者の皆様に HTTP から HTTPS への切り替えをおすすめしたいと考えています。

ウェブマスター向け公式ブログ「HTTPS をランキング シグナルに使用します」

つまり常時SSL化しておけば、検索順位によい影響を与えてくれるということです。

逆にGoogleがしびれを切らして、「常時SSL化していないサイトはペナルティだ！」と検索順位を下げてしまうリスクも考えなければなりません。

なぜなら2019年11月に、Chromeセキュリティチームが次のような発表をしているからです。

出典：

デフォルトで Mixed Contents（混在コンテンツ = https:// ページに安全でない http:// サブリソースがあるコンテンツ）がブロックされるようになります。

Chromium Blog「No More Mixed Messages About HTTPS」

この記事をかみ砕いて説明すると、『「http」または「https」でも一部「http」が混在しているコンテンツ（Mixed Contents：混在コンテンツ）は改ざんされているリスクを排除するために、ブロックするよ』ということ。

ウェブブラウザの国内シェアは、ChromeがPCユーザーの約41％、モバイルユーザーの約63％を獲得しています。

そんなChromeにブロックされてしまうと、その機会損失はいかほどになるでしょうか。

考えるのも恐ろしいですよね…！

デメリット

コンテンツの常時SSL化することはメリットばかりのように思われますが、デメリットがないということはありません。

サイトを常時SSLで考えられるデメリットは、以下のとおりです。

デメリット1：URLが変更になる

URLが「http://」から「https://」に変更されることで、リダイレクトするように対応する必要があります。

さらに企業のコーポレートサイトの場合は、ウェブサイトの修正だけでなく、名刺や宛名シールの変更も必要になるかもしれません。

これらの対応にかかる工数や費用は常時SSL化するデメリットだと言えるでしょう。

デメリット2：表示速度が遅くなる可能性も…

「HTTP/2」の接続は、SSLサーバー証明書の認証手続き（通信）が加わるため、「HTTP/1.1」よりも表示速度が遅くなることがあります。

ただし「あきらかに遅くなる」わけではなく、コンマ秒程度遅くなる可能性があるという話なのでそれほど気にすることはありません。

またSSL認証によってかかる負荷は、従来の「HTTP1.1」の接続よりも、5～10倍かかると言われています。

確認方法

自分のサイト、または閲覧しているサイトがSSL化されているサイトであるかは、URLのアドレスバーで簡単に確認できます。

またSSLサーバー証明書の発行元と有効期限については、アドレスバーに表示されている南京錠マークをクリックすると表示される［証明書］の実行で確認できます。

サイトを常時SSL化する方法

サイトを常時SSL化するには、大きく分けると無料SSLサーバー証明書を利用する方法と有料SSLサーバー証明書を利用する方法があります。

無料SSLと有料SSLのメリットとデメリット

無料SSLサーバー証明書と有料SSLサーバー証明書のメリット（青）とデメリット（赤）を、以下の比較表にしました。

無料SSLサーバー証明書と有料SSLサーバー証明書ともに、暗号化の強度には変わりがありません。

それなのに、無料SSLサーバー証明書の信頼度が「低い」と言われるのは、「ドメイン認証」なのでサイト運営者の身元確認などが一切行われないからです。

また有料SSLサーバー証明書を利用した場合、認証局の過失で損害が発生したとき、その損害の補償を行ってくれる付加サービスが付くこともあります。

それ以外にも設定など困ったときはサポートを頼ることができるなど、手厚いサービスを受けることができるのは有料SSLサーバー証明書の大きなメリットだと言えるでしょう。

ただ一部の有料SSLサーバー証明書は更新の手続きが必要で、これはデメリットとして挙げられます。

ドメイン認証については、下記「SSLサーバー証明書のレベル」をお読みください。

SSLサーバー証明書の取得方法

ここではSSLサーバー証明書を取得する方法を紹介します。

無料SSLサーバー証明書の取得

無料のSSLサーバー証明書といえば「Let’s Encrypt（レッツ・エンクリプト）」。

アメリカ・カリフォルニア州にあるISRG（Internet Security Research Group）とう非営利団体が、安全なウェブサイトを実現するべく、賛同企業の支援を受けて無料のSSLサーバー証明書「Let’s Encrypt」（ドメイン認証）の発行を行っています。

「Let’s Encrypt」は多くのレンタルサーバーが導入していて、専用のコントロールパネルから簡単に導入できます。

参考図：グランパワーのコントロールパネル

また自社サーバーやコントロールパネルがないの場合も、「Certbot」というソフトウエアをインストールすることで、「Let’s Encrypt」の導入は比較的容易に行えます。

有料SSLサーバー証明書の取得

有料SSLサーバー証明書の取得は、次のような手順でSSLサーバー証明書の取得を行います。

「秘密鍵の作成」や「CRSの作成」と聞くと難しく感じてしまうかもしれませんが、ほとんどのレンタルサーバーでコントロールパネルから手続きを行うことができます。

参考図：グランパワーのコントロールパネル

なお、有料SSLサーバー証明書が発行できるいくつかの認証局と価格（1年契約の場合）を紹介します。

また弊社でも、低価格、サブドメインも無制限にご利用いただけるSSLサーバー証明書を取り扱いしています。

よろしければ、グランパワーのSSL証明書のほうもご覧ください。

CDNを利用する

実はコンテンツ（オリジンサーバー）を常時SSL化していなくても、CDNを利用すればユーザーにはSSL化された安全なコンテンツとして表示されます。

CDNの利用料金以外に何もランニングコストが発生しないこと、サーバーの負荷分散ができてサイトの表示も高速化されること、DDoS攻撃対策にもなることなど、SSL化以外のメリットを受けることができるのも魅力です。

POINT

もちろんliteCDNを利用しての常時SSL化ができるので、「何もせずコンテンツを常時SSL化したい」とお考えであれば、ぜひliteCDNを方法のひとつとしてご検討ください。

30日間の無料トライアル期間もご用意していますので、お気軽にお試しください！

SSLサーバー証明書のレベル

SSLサーバー証明書には、3種類のレベルが存在します。

ドメイン認証SSL（DV SSL）

3つのSSLサーバー証明書の中で、ドメイン認証（Domain Validation）が行われます。

ドメインの使用権の確認のみなので、メールで手続きが完了するので発行が早く、無料SSLサーバー証明書としても利用されています。

企業認証SSL（OV SSL）

3つのSSLサーバー証明書の中堅となる証明書で、企業認証（Organization Validation）が行われます。

各種書類と電話認証で、法的に実在している企業や団体であることが証明されています。

EV SSL

3つのSSLサーバー証明書の最高レベルの証明書で、EV認証（Extended Validation）が行われます。

企業認証に加え、第三者機関により法的・物理的に実在しているかを確認、また申請者の在籍確認が電話認証で行われます。

審査が厳密であるがゆえの発行の遅さと価格の高さがネックですが、アドレスバーの表示が変わるので安全性がユーザーに伝わりやすいです。

SSLサーバー証明書の有効期限が短くなるってホント？

2019年8月に、CAブラウザーフォーラムでGoogleが「SSLサーバー証明書の有効期間を1年に短縮する」と発議しました。

これは認証局側（CA）側に否決されたのですが、ブラウザ側の決定により実質1年のSSLサーバー証明書しか使えなくなってしまいます。

これはコンテンツ運営者側から見ると、手間もコストもかかる話になってくるため、人ごとではありませんよね？

今までの経緯

・2015年4月に有効期間5年のSSL証明書が発行できなくなり、発行・再発行から「39カ月」を超えないものに変更された

・2018年3月に有効期間3年のSSL証明書が発行できなくなり、発行・再発行から「27カ月（825日）」を超えないものに変更された

・2019年8月にGoogleが「SSL証明書の有効期間を1年に短縮する」と発議

・2020年3月にAppleが「2020 年 9 月 1 日 00:00 (GMT/UTCTLS) 以降に発行されたサーバー証明書は、有効期間が 398 日間を超えないものとします。」と発表

このように、SSLサーバー証明書の有効期限はだんだん短くなり、今後も短くなる可能性も否定できません。

ブラウザ側の対応

2019年8月にGoogleが発議したことにより、各ブラウザベンダーは次のように対応しました。

	Google Chrome	2020年9月1日以降
		証明書の有効期限を最長398日に制限
	Microsoft Edge	2020年9月1日以降
		証明書の有効期限を最長398日に制限
	Apple Safari	2020年9月1日以降
		証明書の有効期限を最長398日に制限
	Mozilla FireFox	2020年8月31日以降
		証明書の有効期限を最長398日に制限

これにより国内大手認証局では、有効期限「2年」の取り扱いを終了する動向をみせています。

有効期限が短くなるのはメリット？デメリット？

SSLサーバー証明書が短くなるのは、ユーザー視点では何も変わらない、むしろセキュリティが高まるのでメリットしかないと思います。

いっぽうコンテンツ運営者は、手間やコストが増えるのでデメリットとして感じるでしょう。

SSLサーバー証明書の有効期限が短くなるということは、ドメイン認証、企業認証、EV認証が行われるということなので、倒産や消滅した企業や団体のSSLサーバー証明書が悪用されるリスクを減らすことができます。

それに加え、万が一秘密鍵などが漏洩してしまった場合も、有効期限が短ければ悪用された場合の被害を抑えることができるでしょう。

SSLのエラーをGoogleデベロッパーツールでチェックしよう

コンテンツを常時SSL化して、URLアドレスで南京錠マークが表示されていても、Googleのデベロッパーツール（Securityパネル）で安全性に警告がでていることがあります。

This page is not secure.

証明書に問題がある場合に表示されるエラーです。有効期限切れになっていないかなどの確認を行いましょう。

Mixed Content

コンテンツ内のリンク（画像／JavaScript／CSS）に「http://」のものがあり、「混在するコンテンツ」として警告されています。

そのSSL化、安全ですか？安全性評価でサイトの評価をしよう

「常時SSL化したものの、本当に安全なのか不安…。」

そんな場合は、「SSL Server Test」を利用すれば、誰でも簡単にサイトの安全性をチェックできます！

使い方は簡単、「SSL Server Test」で表示される【Domain name】にチェックしたいサイトURLを記入して【Submit】ボタンをクリックするだけで、以下のようにコンテンツの安全性評価が表示されます。

評価A（どれでも）なら対応は必要ないと考えてかまいませんが、B以下の場合は脆弱性が検出されたことになるので、対応が必要になります。

SSL設定代行サービスとは？

Googleデベロッパーツールでエラーがある場合や「SSL Server Test」でB以下の評価の場合は、何かしら対応が必要にあります。

ご自身、または社内に対応を行える人員がいる場合は大丈夫ですが、そうでない場合はSSL設定代行サービスを利用するのもひとつの方法です。

SSLの設定代行業者一覧

この中で、エアロソニックのSSL代行は、「SSL Server Test にて、A ランク調整」まで保証されています。

コラム：どうして常時SSL化していないのか

株式会社フィードテイラーが行った「常時SSL化 調査レポート 上場企業サイト対応状況（2020年9月版）」で、上場企業の常時SSL化普及率は80.7％という調査結果が出ています。

また、コンテンツ運営者が次のような質問を「Yahoo！知恵袋」で投稿していることから、常時SSLの導入を阻んでいるのはコストだけでなく、導入の方法がわからないという原因も挙げられるのかもしれません。

「Yahoo！知恵袋」一部抜粋

・コストが高い

・どの種類を導入したらいいのかわからない

・導入方法や設定がわからない

https://chiebukuro.yahoo.co.jp/search/?p=SSL&flg=3&class=1&ei=UTF-8&fr=common-navi

実際、SSLの設定をしようとしたところ、「コンテンツの表示が遅くなった」、「コンテンツがエラーになって表示されない」という悲痛な問い合わせが弊社にもあります。

弊社の見解ですが、コンテンツの常時SSL化に不安を感じるなら、専門のSSL設定代行業者を利用するのが時間・手間・コスト（トラブルとなった場合）を考えるとベストかもしれません。

まとめ

サイバー犯罪は巧妙化して、今後も増えていくでしょう。

そんな中でコンテンツの信頼性を維持してユーザーを獲得することは、自分の利益につながります。

まだコンテンツを常時SSL化していないなら、早めに行いましょう！