SSL化のその後とgoogleの動き 2019年11月

2019年11月26日

ウェブサイトのSSL化といえば、通信を暗号化することでなりすましや盗聴の防止など、ネット上でのやりとりを安全にするセキュリティー対策技術のことですが、昨年のgoogle ChromeがSSLに対応していないサイトに対して警告表示するとしたことで大きな話題になりました。

当サイトでも「SSL導入、まだですか」という記事を掲載させてもらいましたが、2019年の11月現在、ネット界隈でのSSL化に関する話題もちょっと落ち着いた感があります。とは言え中途半端な対応ででっかくhttps対応しているにも関わらずブラウザ上で鍵マークが出ずに(!)になってしまっているサイトも見かけます。さらに先月(2019年10月)google chromeチームが発表したとされる内容では、httpsとhttpが混在するページではデフォルトでhttpをブロックの対象とするとのこと。時期については年末から2020年にリリースされるchromeから順次ということらしいです。

google Security Blog No More Mixed Massages About HTTPS

これで、httpsに対応していても鍵マークが出ずに(!)表示になってしまっていたページは、例えばその理由がMixed contentで画像urlがhttpだった場合は、その画像がブロックされるということのようです。せっかくSSL化したのにMixed contentで画像が表示されないなんてことのないようにキチンと対応したいですね。

そもそも昨年からの国内企業のSSL化対応はの実態ってどうなんでしょうか。
feedtailorさんの「常時SSL化 調査レポート 上場企業サイト対応状況(2019年11月版)」によると常時SSL化対応済みの企業が75.5%となっています。自分の周りを見てもこんな感じなのかなと思います。リテラシーの問題というより、むしろ分かっていて(ウェブサイトの重要性を実感できていない、予算の問題等で)SSL化していないというところも少なからずあるような気がします。
(上記サイトでは証明書の種類や業種コード別の調査結果も見られるのでご興味ある方は是非ご参考に)

総務省が公表した「地方公共団体における情報セキュリティポリシーに関するガイドライン(平成 30 年 9 月版) 」では「インターネット上に公開するウェブサイトに関してはすべての情報に対する暗号化及び電子証明書による認証の対策を講じることが望ましい」とされています。

そこで政府機関や東京都の区市町村サイトはどうなのかちょっと調べてみました。
調べる過程で分かったのは政府機関サイトの非SSL化が目立ったことと東京都の市町村はSSL対応に前向きだったということ。政府機関のサイトでは44の政府機関サイトのうち25のサイトが常時SSL化されていません。しかし区市町村では、2019年9月に一通り調べてみた時点では常時SSL未対応のサイトが23区内で4サイト、39の市町村で28サイトありましたが、11月現在では23区内は変わらないものの、市町村では17サイトにまで減っています。つまり11の市町村が対応したわけで、それなりの時間(実際に作業に掛かる作業時間というよりはそれぞれの市町村内での対応プロセスに要する時間)がかかるであろうことから、危機意識に基づいて計画していたのだろうと推測します。
役所のサイトがなりすましだったなどということがあっては大変なので、時間が掛かってしまったとは言え対応は良いことですね。
また、いぜんSSL化していない区市町村サイトもありますが、9月から11月の推移からするとそれぞれ対応を検討中なのかなと思います。
しかし、一方でちょっと残念なサイトもありました。どう残念なのかというと、冒頭でも触れましたがせっかくSSL対応しておきながら鍵マークが表示されないというサイトが存在したことです。 鍵マークについてはここでは詳しくは説明しませんが、ブラウザ上部のサイトアドレス左側に表示されるマークですね(google chromeの場合)。ちゃんとSSL化対応されていればここに鍵マークが表示され、SSL化されていてもなにか問題がある場合はアドレスはhttpsであっても鍵マークは表示されず、(!)マークになってしまいます。
ここは敢えて区市町村の名前を挙げさせてもらいますが、23区内だと豊島区、千代田区。市町村だと小金井市、多摩市、青梅市、日の出町、檜原村。(2019年11月15日現在)
この中で、青梅市、日の出町、檜原村は常時SSLには対応しておらず、送信フォームがあるページのみSSL化という構成なんですが、その送信フォームページに鍵マークがありません。これはSSL化問題以前に設置し、そのままなのかなと推測します。ということであれば未対応の市町村と同様になにか対応を検討中と推測もできます。

本当に残念なのが豊島区、千代田区、小金井市、多摩市の4区市のサイトです。 SSL化対応されているようですが(サイトアドレスはhttpsとなっている)鍵マークは出ず、(!)マークが表示されます。
原因はいくつか考えられますが、web制作に携わる者なら簡単にわかることなのにどうしてこんなことが起こっているのか?
予算の関係等で、役所内部の担当者がSSL化対応を施したというのであればまぁ百歩譲ってわからなくもないんですが、どうなんでしょう。
例えば千代田区のホームページで惜しい(?)のはトップページのたった一行のhttpをhttpsにするだけで鍵マークがつくでしょう(あくまでもトップページだけですが)。そして更に惜しいのはそのリンク先のhttpsに対応していないページが一つあるために、そのページからトップページに戻るとhttpsではなくhttpのトップページに戻ってしまうこと。
google検索からトップページを表示させた場合は検索上のアドレスはhttpsになっていますので鍵マークこそ出ませんが、暗号化はされたhttpsのページが表示されます。なので一応安全なんですが、https対応していないページからトップページ等に遷移すると暗号化されていないhttpのページを表示してしまいます。つまりリダイレクトもさせていないということになりますね。これでは全く意味がありません。もし、web制作関係の業者さんに対応依頼しているのであれば、ちょっとずさんな対応といしか言えませんね。しかも税金使っているわけですし。
まぁここはそれぞれの区市に早期に対応を願うとして、一般サイトでもたまにこうした問題を持ったサイトに遭遇します。中小規模の企業や店舗の社長、オーナーさん、業種によってはなかなか手が回らないところでもあるのかもしれません。年末に向けて忙しくなる時期でもあるでしょうが、年が明けて自社のサイトを見たら画像が表示されていなかったなんてことのないように、ちょっとサイトの検証だけでもしてみてはどうでしょう。