以前のブログ記事 [ Google Chromeがhttpサイトに対する警告を強化へ ] でご紹介した通り、10月下旬にホームページ閲覧用ブラウザであるChromeが62にバージョンアップされ、セキュリティの低いホームページに警告が出るようになりました。今回のブログでは、具体的な警告内容と対応策についてご説明します。
警告内容だけを知りたい方は [ 4. SSL・https非対応のホームページに警告 ] からお読みください。
Google Chromeのシェア
パソコンでのホームページ閲覧ブラウザの国内シェアを StatCounter によって調べました。従来シェアトップを誇ったInternet Explorer (IE) はここ数年激減しており、現在ではGoogleのChromeがシェア42.4%を占めています(2017年9月のデータ)。
このChromeが先月バージョン62にアップデートされ、SSL化(https化)されていないホームページへの警告を出すようになりました。
ホームページのSSL化・https化とは
ホームページのURLは "http://" から始まっていると思います。このhttpとはホームページの情報を送受信するのに用いられる仕様書(プロトコル)のようなものです。httpは情報を暗号化せずに送受信するため、クレジットカード情報やパスワードなど高いセキュリティを要する情報のやり取りには不十分でした。
そこでhttpによる通信を安全に行うための技術としてhttpsが開発されました。httpsとは、情報の暗号化などセキュリティを高めるSSL技術と、ホームページ情報の送受信技術httpを組み合わせた、高セキュリティの通信技術です。使用しているドメインの全てのページがSSL化されている場合は常時SSL化(AOSSL)と言います。
ホームページのURLを見ると "https://" から始まるので、httpと簡単に区別できます。先生のクリニックホームページはどちらで制作されているか一度ご確認ください。
SSL・https対応済みのホームページは全体の4割超え
ホームページのSSL化・https化という言葉とその意味の認知度はまだまだ低いのですが、その理由の1つは、3年前まではSSL対応ホームページがわずか10%にも満たなかったことが挙げられます。SSL対応で制作されたホームページの割合はその後急激に増加し、2017年現在では4割を超えています(下のグラフ、HTTP Archiveより )。
スマホ対応は対策済みでもSSL化は未対応のまま制作されているクリニックのホームページはまだまだ多く、その対策が急がれます。そんな状況の中、ChromeがSSL・https未対応サイトに警告を出すようになりました。
SSL・https非対応のホームページに警告
非対応の例:厚労省のHP
では、実際にChrome 62にどのような警告がでるのか見てみましょう。まずSSL・https化されずに制作されたホームページを探しました。
ラボコートが制作・運営しているホームページは全てhttps化されているので、他に例示できるようなサイトがないか探したところ、、ありました、厚生労働省のホームページ です。
下のgif画像を見てもらうと分かるように、厚生労働省のホームページを開いた時はあまり目立った警告はありませんが、サイト内に文字を入力しようとすると【保護されていません】という警告が現れます。
クリニックのホームページでは、お問い合わせページが文字入力ページに該当します。SSL・https未対応のまま制作されたホームページでは、クリニックに問い合わせしようと文字を入力すれば【保護されていません】という警告がにょろにょろと出てくるのです。個人情報を入力する時にこのような警告がでれば、新規患者候補を逃してしまう可能性もあります。
この【保護されていません】という文字をクリックすると、更に下の画像にあるような警告がでます。クリニックのホームページは、診療科によっては他人に知られたくないケースもある為、このような警告がでると敬遠されてしまう可能性があります。実際にSSL・https未対応サイトでは、どのページを閲覧しているかの情報が他人に漏洩してしまう危険性があります。
非対応の例:厚労省のHP(シークレットモード)
【保護されていません】という警告は、シークレットモードでは常時表示されます。シークレットモードとはホームページの閲覧履歴を残さないモードです。上記の通常モードでは警告がにょろにょろと出てくるので、むしろ通常モードの方が目立つようにも思えますね。
非対応の例:医療機関ネットパトロールのHP
下の画像は厚生労働省が2017年8月から開始した「医療機関ネットパトロール」のホームページです。以前のブログ [ クリニックのホームページ監視が開始・狙われる診療科は? ] で書きましたが、誇大・虚偽記載のある医療機関ホームページを一般の人が通報できるサイトです。
このサイトは残念ながらSSL・https対応していない為、通報しようとすると【保護されていません】という警告が表示されます。せっかくの有用な窓口なのですが、このサイト自身が怪しく見えてしまうという皮肉な結果となりました。。
対応サイトの例:ラボコートのHP(当サイト)
SSL・https対応されたホームページでは、下の画像のように常時【保護された通信】と表示されます。鍵がロックされたアイコン【 】も表示されます。
この【保護された通信】をクリックすると、具体的なセキュリティ上の説明が書かれています(下の画像)。これなら安心ですね。
またシークレットモードでも同様に常時【保護された通信】と表示されます。
クリニックHPのSSL・https化を依頼する際の注意点
ここからはホームページを制作する側からみて、どのようなケースだとSSL・https化が大変かを解説します。作業の大変さ=コストに直結しますので、これを知らないと制作業者に余分なコストを払うことになるかも知れません。
クリニックHPを1から制作するケース
クリニックのホームページ(HP)を1から制作する場合は、SSL・https対応でも未対応でもサイト制作の手間は変わりません。厳密に言うと、我々ラボコートではSSL・https化する手間は5分くらい余分にかかります。
以前はSSL化に必要なSSLサーバー証明書は有料でしたが、2016年頃からLet's Encrypt という無料の証明書が非常に簡単に取得できるようになりました。これにより、制作者側としては手間も費用もかけずにSSL・https化したホームページを作成できるようになりました。
もし、クリニックのホームページを1から作るにもかかわらず、SSL・https化のオプション料金を請求する制作会社がある場合は注意したほうがいいかと思います。依頼者側の無知を利用して他にも余分なコストを払わされている可能性があります。あるいはWEB制作会社がSSL・https化に慣れていないが為に製作時間が余分にかかる可能性はありますが。。
クリニックHPをリニューアルするケース(小規模サイト)
クリニックのホームページはそのほとんどが小規模サイトです。ページ数は10ページ以下のサイトが大多数を占めています(ブログやお知らせなど投稿すると自動で増えるページは何ページあっても1ページとしてカウント)。
このような小規模サイトをリニューアルする場合、SSL・https化は比較的簡単です。我々ラボコートでは追加料金を頂いておりません。そもそもリニューアルするということはホームページのデザインが古くなってきたからであり、文章・画像などは再利用しますが、コード(プログラム)は1から作り直します。
クリニックHPをリニューアルするケース(中規模サイト)
美容医療系のクリニックや歯科医院のホームページには、ページ数が100を超えるものもあります。このようなケースではSSL・https化が大変なケースが多くあります。特に他社が制作したホームページを単純にSSL・https化するだけのケースでも、サイトの構造を理解しながら作業を進めて行きますので大変です。
まとめ
Google Chromeは国内シェア42.4%を占めるホームページ閲覧ブラウザです。そのChromeが先月からSSL・https未対応のホームページに警告を出すようになりました。この流れは従来から続いており、他のブラウザも追従しています。Googleは自身のブログでも公言しているように [ HTTPS をランキング シグナルに使用します ] SSL・https化を推し進めており、今後更に強い警告を出すと予想されています。
実際にSSL・https未対応のまま制作されたホームページは通信情報が第三者から閲覧できる状況にあります。患者さんによっては、特定の診療科のホームページを閲覧していることすら知られたくないケースもあります。
SSL・https化はセキュリティが高まってサイト閲覧者への信頼度が向上するだけでなく、検索順位の上昇・ページ表示速度の向上というメリットもあります。SSL・https化の流れは加速していますので、ライバルのクリニックよりも先に対応しておきましょう。
最後に [ もはやHTTPの時代ではない グーグルがここまで“SSL化”にこだわるわけ ] という、SSL・https化されていないITmediaさんの記事をご紹介します笑。(ITmediaのような膨大なページ数のサイトをSSL化するのは非常に大変です・・)
※本記事の内容は2017年11月3日現在のものです