Chromeのバージョン68より、SSL化されていないサイトには「保護されてない通信」といった警告が出る仕様に変更になりました。それに伴って、総務省から各地方公共団体へ「常時SSL化するように」といった通達がありました。本記事ではどう対応すれば良いのか考察します。
総務省からの通達内容
主な通達内容の要約としては、下記の通りです。
・「保護されてない通信」という警告が出ることによってWeb閲覧者が不安をいただく可能性がある
・今後Chrome以外のブラウザでも同様の警告が表示されることが想定される
・電子申請書等の一部のページのみのSSL化でなく、全てのページをSSL化しなさい
・Symantec社が発行した証明書については、そのままだとエラーになるので、再発行または更新が必要
・SSL証明書の迅速な取得が困難な団体は、SSL化の対応を検討している旨をホームページに掲載する事を検討しろ
要するに、地方公共団体は全てのページをSSL化する必要があるということです。
総務省のサイトはSSLされてないけど?
国を批判するのは怖いんですが、一つだけ言わせてください。総務省のサイトは通達を出したタイミングで常時SSL化されていません、地方公共団体に指導する前に総務省は対応するのが筋だと考えます。総務省が指導しているような常時SSL化検討中といった記載もありません
2018/10/12 現在総務省のサイトはSSL化されていない
対応方針は3パターン
対応方針は以下の3パターンに集約されると考えます。それぞれ考察していきます。
SSL化検討中との記載をホームページに掲載する
常時SSL化は簡単な作業ではありません、費用が発生しますし、不具合に遭遇する可能性もあります。よって、迅速な常時SSL化は困難だと私は考えています。
よって一旦は暫定的に総務省の指導通り「常時SSL化を検討中なので安心してください」旨をホームページ上に掲載し、CMSのリプレース時に常時SSL化をする流れです。一番多いじゃないでしょうか
SSL化してしまう
CMSをリプレースしたばかりで常時SSL化していない場合は時期更改まで時間がありますので、費用をかけて常時SSL化するのもありかなと考えます。
完全に無視する
総務省の指導は、あくまで「検討してください」といったスタンスです。閲覧者に多少不安を与えても良いといった考えなら放置しても良いかと思います。ただ、行政は「国からのお願い」=「強制」といった雰囲気があるので非公務員の私にはなんとも言えません。
まとめ
総務省の指導が無いにしても、世界的な流れからしても常時SSL化は必須になってきています。常時SSL化はSEO的に有利だったり、警告が出なかったりとメリットも多いのでポジティブに考えて対応しましょう。そういえば、このサイトも途中で常時SSL対応をしました。
コメント
コメント一覧 (2件)
「Chromeのバージョン70より、SSL化されていないサイトには「保護されてない通信」といった警告が出る仕様に」<それはChrome 68での変更点です。
Chrome 70での変更点は、「SSL化されていないページ中にあるフォームに*文字入力すると*、Chrome 68以降表示されていた「保護されていない通信」の警告表示がグレーから赤字に変わる」です。
なおこのフォームの入力欄とは、私がベータ版で検証した結果、パスワード入力欄に限らずサイト内検索キーワード入力欄も対象になります。単なる情報提供サイトであってもサイト内検索窓を持つケースは多いと思いますので、サイトオーナーにとっては結構大きな影響です。
pmakinoさんご指摘ありがとうございますした。
SSL化非対応だと赤字に変わるのはちょっと放置できなそうですね。