質問

2016年09月20日 11時19分
  • コーポレートサイトの接続(httpかhttpsか)

情シスのオープンナレッジ『Syszo』サービス終了のお知らせ

質問

先日、Google Chormeの開発チーム(?)が
「2017年からHTTP接続の一部サイトを表示する際に、
 not securea と表示させる」と発表したらしいですね。

それを受けてだと思うのですが
弊社のコーポレートサイトの外注先企業様から
「httpsの接続へ切り替えますか?」と打診があったようです。

ただ、Chormeがhttps接続がどうか?のチェックを行うのは
パスワードやクレジットカード情報を送信しているページだけのようですし、そもそも弊社のコーポレートサイトには該当するページが存在していません。

なので、外注先からの打診が入った理由が
・稼ぎ時だと判断した外注先に、カモ葱にされそうになっている
(邪推しすぎでしょうかね?)
・今後は全WebページがSSL通信に切り替わらざるを得なくなる
…のどちらかなのかな?と思っています。

皆さまの会社では、通信方法はどうなさっているのでしょうか?
現状や今後のご予定など教えていただけると幸いです。

10件の回答があります

回答

> ただ、Chormeがhttps接続がどうか?のチェックを行うのは
パスワードやクレジットカード情報を送信しているページだけのようですし、そもそも弊社のコーポレートサイトには該当するページが存在していません。

いいえ、認識が間違っています。
例えYahoo! のトップページであっても、「安全ではない(Not secure)」表示がされます。
https://www.facebook.com/castworks/photos/a.1575220336049959.1073741828.1552821914956468/1770310013207656/

以前より弊社では全ページSSL/TLS化を行っておりました。
実際のところ、弊社では「必要があったかどうか」ではなく、顧客への信頼性の向上であったという側面が強いです。

しかし、Google Chrome 56を前にして、「赤い三角のアイコン」で『警告』として表示されることになれば、益々顧客への信頼性の向上として全ページSSL/TLS化が必要ではないかと考えております。

※前提として、フォームが存在するページのSSL/TLS化は当然のことだと思います。

2016年09月20日 11時30分

回答

サポート屋というよりSIerよりな答えとなりますが、今どきのweb高速化やセキュリティの流れを見るとSSL化がおすすめかと思います。

webから入力させるような画面がないようなのでwebサイトのクラウドサービス移行や改修などを1~2年で予定しているならそれに併せての導入でも十分かと、またそのときにEV-SSLのような組織認証な証明書でなくてQuickSSLのようなドメイン認証で十分かと思います。

即死案件ではないのでコスト的に見合うタイミングでどうぞ

2016年09月20日 11時45分

回答

前出の方の認識違いかミスリードかは分かりませんが、質問者さんの認識であっています。

[INTERNET watch]
http://internet.watch.impress.co.jp/docs/news/1019304.html
[原文]
https://security.googleblog.com/2016/09/moving-towards-more-secure-web.html

2017/1時点では
"パスワードやクレジットカード情報の入力フォームがあるウェブサイトでHTTPが使われている場合に、アドレスバーのURLの前に灰色で「Not secure」の文字を表示する。"
という状況となります。

これはGoogleなどが推進しようとしているHTTPS時代への緩やかな軌道転換であり、来年あたりから突然会社のWebページが「安全ではない」という扱いをされるものではありません。
"すべてのHTTP接続のウェブサイトを閲覧した場合に、警告のアイコンと赤い文字の「Not secure」"と表示する実装がされる場合には、何年か前からロードマップが公開されるはずです。

とはいえHTTPSにすることによる恩恵ももちろんあります。
・今後主流となるとされているHTTP/2環境での通信高速化(今はほとんど影響なし)
・今後他社サイトが常時SSL化してきた時に「遅れてる」感が強くなる(今はほとんど気にする必要なし)
・顧客への信頼度の向上(要はセールストークです)

上記に加えて
・会社のサイトも古くなってきたし、そろそろ新しくしないとな
・クレジットカード情報を取得するようなオカタイ業種なので、フォームに限らず常時SSL化しないとな
・今期は業績もいいし、お金たくさん使わないとな

といった事情と合致するなどして、それが要求する価値とバランスするのであれば話を進めても良いかもしれませんね。

2016年09月20日 12時14分

回答

いえいえ、ミスリードではありませんよ。

ミスリードだと思われるならば、このスレ
http://syszo.com/detail.php?id=33408
や、
ユナイトアンドグロウ株式会社さま(SYSZO運営会社)トップページ
http://www.ug-inc.net/
を Google Chrome 53 で確認ください。
既に"パスワードやクレジットカード情報の入力フォームがあるウェブサイト"ではなくても、URL表示部分の前方がグレーで「安全ではない(Not secure)」表示になっています。

その他「事情に併せて」ご検討という部分についての異論はありませんが、どうかご自分でご確認のうえご案内される方が良いかと存じます。

2016年09月20日 12時28分

回答

sysjojoさんのおっしゃるとおり、googleではhttpsを優遇してランキングするので、そこは利点に入るでしょうね。

cast.WORKSさん>
「!」マークは出ていますが、HTTP接続に対してNot secureとは警告していません。
このマーク自体は以前から出ていますし、安全でないという警告のためのシンボルではありませんが、そのあたりの認識の違いから来ているのでしょうか。

↓Chromeのヘルプ、旧バージョンのものから更新されていませんが大体同じことを言っているかと思います。
https://support.google.com/chrome/answer/95617?p=ui_security_indicator&rd=1

2016年09月20日 13時10分

回答

先ほどの補足ですが、デベロッパーツールで見るとNot Secureと出るようですね。

2016年09月20日 13時14分

回答

大変失礼いたしました。
確かに Chrome 53 で「Not secure」の「文字での警告」はありませんですね。

このマーク表示は Chrome 53 になってからのもので、「警告」として意味するところが変化するのも今後のことなのかもしれません。
「表示」にこだわらない方にとってはあまり意味が無いものかも知れませんね。

いずれにしましても、4ヶ月後には Chrome 56 となりますので、皆さんが言及されている
・今後他社サイトが常時SSL化してきた時に「遅れてる」感
・顧客への信頼度の向上
となることに間違いはないかと思います。

2016年09月20日 13時35分

回答

認識が合ったようで安心しました。

ここでの「Notsecure」という言葉は、
"保護されていないと危険な訳ではないけど、保護されてなければわざわざ教えてあげる" というGoogleが意地悪くらいに思ってよいと私は感じています。笑

SSL/TLSのない個人の買物サイトなどで盗聴などの危険があるのに個人情報が入力できてしまう。等の問題に対する対策というのが一番大きなところですが、一般企業のサイトが常時SSL化をすることを促進する目的も大いにある。
というニュアンスでしょうか。

Chrome56でも"パスワードやクレジットカード情報の入力フォームがあるウェブサイト"でNotsecureのラベルが付くだけですので、今の状況でここをセールスポイントにするのはむやみに顧客の不安を煽ることになりますしあまり親切ではないかもしれませんね。
(せっかくのビジネスチャンスを潰すような言い方になってしまい申し訳ないです)

・今更ですがログインフォームや情報登録フォームは必ずTLS1.2、SHA-2での暗号化通信をするようにしましょう
・今後は全ページがHTTPSになる時代。これからページを作り直すならついでに常時SSL化もやっておきましょう
・SEO対策を考えているならHTTPS化が一つの解決策です

というくらいが世の中にちょうどマッチしているんじゃないでしょうか。
身の丈にあった提案をしてくれる業者さんが一番信頼できると思うのは私だけではないと思います。

質問者さんの内容から逸れてしまいましたが、少しでも参考になれば幸いです。

2016年09月20日 14時16分

回答

質問者さまのおっしゃる企業さまが(おそらく)弊社では無いハズなので、どういった営業をしてこられたのかは不明ですが、
少なくとも goma さまのおっしゃる
> Chrome56でも"パスワードやクレジットカード情報の入力フォームがあるウェブサイト"でNotsecureのラベルが付くだけですので、今の状況でここをセールスポイントにするのはむやみに顧客の不安を煽ることになりますしあまり親切ではないかもしれませんね。
な企業さまはだいぶ強気な企業さまか、インターネットをご存じ無い企業さまかと。

一般的な利用者さまは、"Not secure"なラベルが付いたサイトに情報を入力しようとは思わないでしょう。

あとは各々企業さまのご判断かと思いますので、"むやみに顧客の不安を煽る"状況かどうかのご判断も企業さまが行われるところかと存じます。

2016年09月20日 14時42分

回答

お返事とお礼が遅くなり申し訳ありません!
情報・アドバイス・ご指摘をありがとうございます。

あやふやだった認識もきちんとした物になりましたし、
何故、外注先企業様があのような持ちかけ方をして来たのかも、理解する事が出来ました。
(業界が異なると、ITに関しての常識も異なってるんだな…と)

とりあえず、

・Chrome 56 では、HTTP接続の場合は「!」が付く
・Chrome 56 では、2017年1月以降、
 パスワードやクレジットカード情報の入力フォームのあるページが
 HTTP接続の場合は「Not secure」の文字が出る

…と言う事のようなので、
次回の見直しの時期まで、現状維持したい思います。

また、次回見直しの時期にはドメイン認証の取得を、
企画担当者に提案してみます(実は、認証に種類がある事を
今回初めて知りました。itinoeさん、ありがとうございます!)

あなたもコメントしましょう!