[レベル: 上級]
GoogleはHTTPSをランキングシグナルとして利用しています。
しかし安全性に問題がある古いサーバー証明書(SSL証明書)をHTTPSページで使用していたとしても、ペナルティを与えられることはありません。
サーバー証明書の内容は問われない
HTTPSアルゴリズムを提案しそのアルゴリズムを作ったGary Illyes(ゲイリー・イリーズ)氏が、次のようなやり取りをTwitterでフォロワーと交わしていました。
(フォロワー) ゲイリー、あなたはhttpsについていくどとなく話していますが、httpsのウェブページで古いバージョンのSSLプロトコルを使っていたらどうなりますか? ペナルティを受けてしまいますか?
(ゲイリー)いや、そんなことは全然ない。
(フォロワー)それじゃあ、SSLプロトコルのバージョンをGoogleは確認しているんですか?
(ゲイリー)ああ、確かに確認している。だけど確認した結果がどうであれ、ペナルティを与られるということはない。もっとはっきり言えば、SSL/TLSを見るペナルティなんていうものはない。
@dnespo no, not at all.
— Gary Illyes (@methode) 2015, 9月 16
@dnespo we do check it, but you get no … penalz … regardless of the result of the check. In fact there's no penalz that look at SSL/TLS
— Gary Illyes (@methode) 2015, 9月 16
HTTPSの実装に使うサーバー証明書の種類や強度・鍵長などの内容は加味されません。
多少乱暴に言えば、HTTPSでありさえすれば評価の対象になります。
まして、古い証明書を使っているからといってペナルティの対象になってしまうことなどないということです。
古い証明書のHTTPSページにはChromeではアクセスできず
検索においてはサーバー証明書の中身は問われず、ペナルティを受けることもありません。
ところが、最新のChrome 45からは、古い技術を用いているサーバー証明書のHTTPSページにはアクセスが禁止されるようになりました。
具体的には、署名にSHA-1を使っている場合です。
有名なサイトが影響を受けています。
たとえばヤマト運輸のクロネコメンバーズのサイトです。
Chrome 45でアクセスしようすると次のようなメッセージが出現し、クロネコのページを表示できません。
クロネコメンバーズサイトのサーバー証明書の情報を見ると、署名アルゴリズムにはSHA-1が使われています。
ヤマト運輸のサイトにはお詫びのお知らせが掲載されています。
2015年9月1日にリリースされた「Google Chrome」Ver.45.0.2454以上をご利用のお客様が、弊社ホームページの一部ページにアクセスすると「SSLサーバーが古い可能性があります。」と表示され、閲覧ができない事象が発生しております。ご迷惑をおかけし、誠に申し訳ございません。
ユーザーのセキュリティとプライバシーを守るために提供しているHTTPSが、利用そのものを妨害してしまっては元も子もありませんね。
なお、「SHA-1って何?」「何が問題なの?」という方はこちらの記事が詳しく解説しているので参照してください。
証明書の内容がGoogle検索にも影響するかも
SHA-1のように脆弱性が指摘されているTLS/SSLの古い技術を使っていても、Google検索では現状では問題視されません。
しかしGoogleのブラウザは問題視し始めました。
将来的には、サーバー証明書の種類や強度がHTTPSアルゴリズムの評価要因として加えられる可能性は否定できません。
安全性に問題がある証明書は評価の対象から外れるか、ひょっとしたら「このページはSSLサーバーが古い可能性があります。」のような警告メッセージを検索結果に表示するなんていうことさえあるかもしれませんね。
とはいえ、今から新たにHTTPSを導入することを決めて新規にサーバー証明書を取得すれば、古いものを与えられることはまずありえないので安心していいでしょう(もちろん、きちんとした業者から入手することが前提)。
以前からHTTPSを導入しているなら、今使っているサーバー証明書に問題がないかどうかを検証しておきましょう。