悩めるWEB担当者様のための最新ノウハウをお届け

Google ChromeでシマンテックのSSL/TLS証明書が無効に 対策は?

20180417-blog

2017年11月に英語版のGoogleウェブマスター向け公式ブログにて予告されていた、シマンテック社から2016年6月1日以前に発行されているSSL/TLS証明書をGoogle Chrome上にて段階的に無効化される件について、4月9日に新たなリリースが発表されました。

サイトがHTTPS化されているか否かという点は、すでにランキングアルゴリズムにも組み込まれている重要な指標でありその重要度はGoogleが9日のリリースのタイトルに「要対応確認」と記載しているほどです。

この記事ではこれまでの経緯と「そもそもSSLとは何か」という点について説明し、SEOへの影響などについて解説いたします。

Google ChromeでシマンテックのSSL/TLS証明書が無効になった理由

2017年9月の発表の中でも触れられているように、シマンテック社が保有していた Symantec、Thawte、VeriSign、Equifax、GeoTrust、RapidSSLなどのブランドから発行されていたSSL/TLS証明書は、業界標準の監査プロセスを適切に通過しておらず、不正に発行されていたことが2017年1月に明らかとなりました。
この事が明らかとなった後、シマンテック社は証明書を発行するWebサイトセキュリティ事業をデジサート社へと売却しています。

不正に発行されていたシマンテック社のSSL/TLS証明書への対抗措置ならびにデジサート社への移行期間を十分に設けるため、Googleは2017年の時点でChrome 66以降のバージョンでは段階的に該当する証明書への信頼を無効にすることを発表していました。

そして2018年4月17日にChrome 66が正式リリースされるのを受け、先述した「要対応確認」のリリースへと至ったという経緯があります。

影響が出るサイトの条件は?該当するサイトには何が起こる?

信頼が停止される対象のSSL/TLS証明書は「2016年6月1日以前にシマンテックや関連ブランドから発行されたもの」です。
この条件に当てはまるSSL/TLS証明書を利用している場合には、Chrome 66以降のバージョンではサイトが動作しなくなります。つまり、サイトの閲覧などができなくなるということです。

2016年6月1日以降に発行されたSSL/TLS証明書は対象外ですので、まずは「自分のサイトに置いているSSL/TLS証明書がいつ発行されたものなのか」 「どのブランドから発行したものなのか」を確認しましょう。

自分のサイトが大丈夫かどうか確認する方法

自分のサイトで利用しているSSL/TLS証明書の発行日がわからない場合、Chrome Canary版にてサイトをプレビューすることで動作を確認することができます。

下の画像のように証明書エラー画面が表示される場合には、Chrome 66以降のバージョンでサイトが動作を停止する可能性が極めて高いため、対応が急務となります。

SSL/TLS証明書が正しくない場合のエラー画面
画像の引用元:Symantec の PKI の無効化について: 要対応確認 -Googleウェブマスター向け公式ブログ-

Chromeで見られなくなってしまったサイトの解決方法

Chrome 66以降に自分のサイトが動作を停止してしまった場合には、SSL/TLS証明書を新しいものに置き換える必要があります。
問題となっているシマンテック社の証明書を利用していた場合には、まず再発行を検討しましょう。
下記のシマンテック社ホームページに掲載されている情報を元に、手続きを行いましょう。

Google Chrome 66, 70 における警告回避のための再発行について

また、新規に別のブランドでSSL/TLS証明書を発行するという選択肢もあります。
発行元は信頼されている認証局(CA)のものであれば大丈夫です。
シマンテック社からWebセキュリティ事業を買収したデジサート社のものでも構いません。

そもそもSSL・HTTPSとはなにか

そもそもSSLやHTTPSとはなにか、簡単に説明します。

SSL/TLSとは

SSL(Secure Sockets Layer)とTLS(Transport Layer Security) とは、インターネット上で安全に通信をするためのセキュリティプロトコルのことです。

プロトコルには「規約」や「手順」という意味があり、この場合には「通信の安全を担保するための決まりごと」という意味合いになります。
通信を暗号化することで、サイトに入力した個人情報やクレジットカードの情報を第三者から盗み見たり改ざんしたりすることを防ぐ事ができます。

SSL/TLS証明書とは

SSL/TLS証明書は、「このウェブサイトは運営元が明らかであり安全である」ことをユーザーに示すためのものです。

通信の内容が守られていたとしても、ウェブサイトが偽物であったり、ウェブサイトの運営者に悪意があった場合にはユーザーの個人情報などが悪用されてしまう可能性があります。

そのため、「認証局」や「認証事業者」と呼ばれる企業が、ウェブサイトの運営元を調査して「信頼できる組織(個人)である」と判断した場合にSSL/TLS証明書を発行して「認証」をします。
つまり、SSL/TLS証明書が設置されているサイトは「運営元が明らかであり、安全なサイトである」とお墨付きを得ているサイトであるということになるのです。

HTTPSとは

HTTPSとはSSLを利用したHTTP通信のことです。
通常のウェブサイトのアドレスはhttp://から始まりますが、通信が暗号化されている場合にはhttps://から始まります。
通信が暗号化されているかどうかの判断はSSL/TLS証明書が設置されているかどうかで判断されます。
SSL/TLS証明書の導入前後で、サイトのURLはhttp://とhttps://の2つが発生してしまうため、SEOではHTTPからHTTPSへのリダイレクトなどが必要になります。

なぜGoogleはサイトのHTTPS(SSL化)を推進しているのか

Googleは検索エンジンだけでなく、Gmail、Google Drive(Document、Spreadsheet、Slide)などのサービスを保有・運営しています。
これらのサービスを通じて、ユーザーは毎日のように膨大な量の様々な情報をやりとりしています。
ユーザーがGoogle検索や関連サービスを安心して利用できるようにするため、Googleは2011年に強力なHTTPSを率先して導入するなど通信のセキュリティを重視する姿勢を示してきました。
そして2014年にはSSL化の有無がランキングシグナルに組み込まれ、ユーザーが安心して利用できるセキュアなサイトを提供しているウェブマスターが優遇されることとなりました。

SEO上の影響はあるのか

SSL化の有無に関するランキングアルゴリズムは、2つのサイトの評価が同等だった場合にSSL化されているサイトが優遇されるというものです。
2018年現在、SSL化されていないサイトは徐々に少なくなってきています。
今後、競合他社のサイトが自分のサイトよりも先んじてSSL化した場合に、順位下落などの影響が出る可能性があります。
とはいえ、SSL化したからといってサイトの順位が劇的に上昇することは考えにくく、コンテンツの追加やサイト内部のリンク構造の改善など、他の内部施策と組み合わせて行うべきのは良いでしょう。

また、2016年6月1日以前にシマンテック社から発行されたSSL/TLS証明書を利用している場合には、今後Google Chromeでサイトが閲覧できなくなってしまいます。

2018年4月にリリースされるChrome 66では段階的な信用の無効という措置にとどまっているものの、2018年9月にリリースされるChrome 70では対象の証明書の信用が完全に無効となります。

この場合、自然検索経由の流入が激減するなどの影響が考えられる上、順位が維持されるかどうかも定かではありません。
まずは自分のサイトの証明書が有効大丈夫かどうか、をChrome Canary版を使って確認してみましょう。

まとめ

この記事では、

  • 2016年6月1日以前にシマンテックから発行されたSSL/TLS証明書を利用しているサイトはChrome 66以降、サイトの閲覧ができなくなる。
  • これはサイトの運営元を証明する「SSL/TLS証明書」のプロセスが不正であるとわかったために、Googleが措置を取ったためである。
  • Googleは通信の安全性を重視しており、サイトのSSL化はランキングアルゴリズムにも組み込まれているため、SSL/TLS証明書をサイトに設置し、サイトがSSL化されている事はSEOでも重要かつ必要な対策である。
  • まずは自分のサイトのSSL/TLS証明書が大丈夫かどうかを確認し、もしも無効になる対象の証明書であった場合には再発行・新規発行といった対策を早急に行うべきである。

ということをご紹介しました。

まずは記事に記載した確認方法を実践してみて下さい。
もっと詳しく知りたい、具体的な対策について教えて欲しい、といった場合にはぜひ弊社の個別SEOセミナーにお申し込みいただければと存じます。

関連記事