皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

既に『TLS1.0』と『TLS1.1』は多くのサービスで終了がアナウンスされており、現在の中心は『TLS1.2』となります。

しかし、それよりももっとセキュリティ的に安全で高速なのは『TLS1.3』での通信です。

TLS1.3対応で安全で高速な通信が間もなく

『Google Chrome』や『Mozilla Firefox』など、主要なブラウザでは既に『TLS1.3』に対応済みですが、ホストとなるサーバ側の方は一部のサーバが『TLS1.3』に対応し始めた程度の状況で、多くは未だ『TLS1.2』の状態です。

この『TLS1.3』は『TLS1.2』に比べてセキュリティ面、速度面の両面にて改善されている『暗号化通信プロトコル』であるため、早い段階で様々なところで対応がされることが望ましいわけですが、ホスト以外にも少々引っかかってしまう可能性があるものがあります。

それはセキュリティソフトです。

多くのセキュリティソフトでは各Webサイト（ページ）にブラウザからアクセスする際の通信を保護する機能が付いていますが、その部分が未だ『TLS1.2』までしか対応していないものがあります。

そのような場合、よく閲覧する『信頼できる』Webサイト（ページ）が『TLS1.3』に対応しているならばそれをチェック対象から外して通信を行うしかありません。

おそらく、各セキュリティソフトの次のバージョンにおいては間違いなく『TLS1.3』に対応したものがリリースされるはずですから、もう間もなくで環境が整ってくるのではないかと思われます。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

このブログを読んでいただいている方々、何か数日前までとはパフォーマンスが違うことにお気づきでしょうか？

その理由はこんなことにありました。

Webサイトが突然速くなった理由

さて、昨日突然Webサイトが速くなった（パフォーマンスがアップした）理由ですが、こんな対応がされたことにあります。

『TLS1.3』対応です。

TLS（Transport Layer Security）というのはインターネットなどのコンピュータネットワークにおいてコンピュータ同士が安全にデータのやり取りをするための暗号化通信プロトコルのことを言いますが、これが最新の『TLS1.3』に対応してくれたのです。

何故それがパフォーマンスにつながるのか？

『TLS1.3』は、『TLS1.2』から『セキュリティとスピードの向上が約束された暗号化通信プロトコル』だからです。

セキュリティ面では暗号化の手法などが変更されたことなどで安全性が飛躍的に向上し、秘匿性の徹底も図られています。

また、今回のようなパフォーマンス面への影響に関しては、ハンドシェイクという『2点間の通信路を確立した後に本格的な通信を行う前にパラメータを取り決めるなどの事前のやり取りを自動的に行う技術』が大きく改善され、『TLS1.2』に比べてより少ない回数で暗号化通信を開始できるようになっているという部分が大きく影響しているようです。

簡単に言えば『効率的』になったということで、この部分が大幅に改善されたことでパフォーマンスが向上しています。

中小企業・小規模事業者の場合はホスティングサービス契約を行っていることが大半でしょうから契約先の対応次第となってしまいますが、自社サーバ運用を行っている企業であれば今後は『TLS1.3』の導入が望まれるところでしょう。

※　現在、ホスティングサービス会社は脆弱性のある『TLS1.0/1.1』を順次停止しており（Apple/Google/Microsoft/Mozillaのブラウザは2020年に無効化されます）、多くは『TLS1.2』での対応となっています。また、『SSL1.0/2.0/3.0』は仕様上の脆弱性により数年前から使用されていません。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

昨日だったでしょうか。

Bluetoothの通信傍受などの脆弱性情報が出ていましたので、今日はそれをお伝えします。

Bluetoothに通信傍受などの脆弱性

Bluetoothの認証団体Bluetooth SIG（Special Internet Group）は、複数のOSやファームウェアにおけるBluetooth実装に脆弱性が存在し、中間者攻撃による通信傍受や改ざんの可能性があるとしてBluetoothの仕様を更新したことを発表しました。

これは、ペアリング技術などに脆弱性の影響があるとされており、暗号化通信を行うパラメータが十分に検証されない脆弱性が存在するともされています。

ただし、この脆弱性をついた攻撃を受けてしまうケースとして、同じ脆弱性を持つ2つのデバイス間の無線通信範囲内に攻撃者がいる場合で、脆弱性が片方のデバイスのみの場合は攻撃は受けないとされています。

現時点での被害は確認されていないようではありますが、CERT/CCが脆弱性を確認している製品としては以下のものがあります。

・Apple

・Broadcom

・Intel

・QUALCOMM

各ベンダーからのアップデート情報はまだ出ていないと思われますが、該当ベンダーの製品を使われている方は各ベンダーのアップデート情報の確認が推奨されています。

お気を付けください。

＜参考＞『Bluetooth SIG Security Update』

※　CDNとは、Webコンテンツをインターネット経由で配信するために最適化されたネットワークのことです。

皆さん、こんにちは。

業務改善を行う業務コンサルタント、高橋です。

CDNサービスの中でも無料プランが用意されていることで有名なCloudflareですが、この無料の範囲には注意しなければいけないものもあります。

※　無料プラン以外に、プロプラン（$20/月）、ビジネスプラン（$200/月）、エンタープライズプラン（$5,000/月）があります。

Cloudflareの仕組み

CloudflareなどのCDNは、レンタルサーバなどのオリジナルサーバとVisitorであるウェブサイトへの訪問者（ブラウザ）の間に存在します。

オリジナルサーバにあるコンテンツをCloudflareなどのCDNサービスが最適化（キャッシュや軽量化など）を行い、ウェブサイトへの訪問者に提供しています。

もちろん、ウェブサイトへの訪問者はそういったサービスが介在しているウェブサイトかどうかはわかりません。

通常のウェブサイトと全く同じように閲覧することになります。

CloudflareにおけるSSLの注意点

CloudflareのSSL（暗号化通信）には、Off、Flexible、Full、Full（strict）の選択があり、Offはもちろん暗号化通信なしですが、Flexibleはウェブサイトへの訪問者とCloudflareの間のみ暗号化通信され、Cloudflareとオリジナルサーバの間は暗号化通信されません。

また、FullのモードにおいてはCloudflareとオリジナルサーバ間においても暗号化通信がなされますが、Fullの場合はオリジナルサーバ側のSSL証明書が自作のものであってもよく、Full（strict）の場合のみ公的に信頼された認証局によって署名された有効なSSL証明書を要するというモードになっています。

つまり、完全な暗号化通信と公的に信頼された認証局に署名されたSSL証明書、これらの条件が必ず満たされていなければならないのはFull（strict）のモードのみということになります。

一般的に考えた場合、ウェブサイトの常時SSL化は訪問者のブラウザとオリジナルサーバの間が暗号化通信となり、そこには公的に信頼された認証局に署名されたSSL証明書が存在します。

ここから考えると、こういったCDNサービスを使う場合においてもすべてに暗号化通信がなされ、公的に信頼された認証局に署名されたSSL証明書が存在することがユーザーの安全性を確保するものと考えることが妥当でしょう。

そのあたりは是非念頭において活用していただきたいものです。

ちなみに、Full（strict）のモードはビジネスプラン、エンタープライズプランへのアップグレードや、Cloudflareにおける専用証明書の購入をしなくても使うことは可能ですが、ブラウザにてSSL証明書の発行先確認をした場合にはCloudflareのドメイン（Universal SSL）が表示されるため、訪問者に安心してもらうにはサイトシールなどにてドメインや企業名などの確認ができる状態を作っておくことが望ましいと思われます。

傾向にあるとお話ししましたが、これに関してSEO的にはどうなのでしょうか？

過去の記事はこちらから»今後のWEBはhttpからhttpsへ

皆さん、こんにちは。

業務コンサルタントの高橋です。

まだ大半のウェブサイトはhttpからはじまる暗号化通信を採用していないものですが、

これがhttpsではじまるSSL暗号化通信を採用したウェブサイトにすることでSEO的には

どうなのか？ということが気になる方もいらっしゃるかもしれません。

答えとして、SEO的にプラス要因になることは間違いありません。

実際にグーグル社もランキングのアルゴリズムにそれを採用することを昨年の段階で

決定しています。

また、グーグル社のスタッフも下記のようにコメントしています。

If you’re an SEO and you’re recommending against going HTTPS, you’re wrong and you should feel bad.

これは、SEOに関わる立場でHTTPS化を反対するのであれば、それは間違いで後悔する

ことを意味しています。

この発言をしたグーグルのスタッフは、HTTPSをランキング要因とするアルゴリズムを

作った本人です。

他の記事を見ている限りでは、これらは絶対ではないとコメントしている方もおられますが、

私個人としては絶対に近いものがあり、徐々にその方向にシフトしていくと考えています。

理由は簡単です。

ウェブサイトへの訪問者に対して良い施しであり、実際に訪問者が安全に閲覧できるように

なるのですから、それを行っていないウェブサイトと比較した場合、有利に働くのは

ごく自然な話しだと思います。

今から直ぐに実行するというのはなかなか難しいかもしれませんが、先々HTTPSへの移行を

視野に入れておいた方が良いでしょう。

注：SSL暗号化通信に関しては、SSL及びTLSと解釈してください。

しかし、今後は徐々に暗号化通信の方向へ移行されていく傾向にあります。

皆さん、こんにちは。

業務コンサルタントの高橋です。

今、ウェブサイトに暗号化通信を取り入れているとすると、銀行や証券会社の

ような金銭が絡むウェブサイトや、ショッピングモール、ショッピングサイト、

SNS、お問い合わせフォームなどでしょうが、先々はウェブサイト全体が

そういった暗号化通信を取り入れたものへと移行していく傾向にあります。

これは、そのウェブサイトの訪問者への配慮として、個人情報などに関わる

部分だけではなく、通常の閲覧に対しても安全性を担保するということです。

現に、世界的に検索上位の大手サイトはhttpではなく、httpsへ既に変更

しているようで、それが当り前となっているようです。

そして、これは検索のランキングにも影響がゼロではありません。

グーグル社も要因の１つとして利用することを発表しています。

この話しにおいてもごく普通の話しであって、暗号化されているものと

暗号化されていないものでは、暗号化されているものの方がユーザーに

優しいウェブサイトであることから、暗号化されているウェブサイトの方が

優位になるのは当り前の話しです。

ただ、現時点ではほとんど影響はなく、全体的にはこれから徐々にといった

ところかと思います。

この話しからも言えるように、やはりユーザーに配慮されたウェブサイトで

あることがどれくらい積み重なっているのか？で検索評価が変化します。

それを中心に考えていただくと、きっと良い結果が生まれます。

インターネットショップで未だに見かける、SSL暗号化通信をしていないショップ、

私にとっては信じ難いショップです。

お客様の個人情報を取得したり、時にはクレジットカード情報までも取得する

というサイトであるにも関わらず、全く暗号化通信をしていないショップを見かける

ことがあります。

ショッピングモール以外の独自のショッピングサイトの場合、普通はお買い物

をして、個人情報を入力する画面からはhttpsからはじまるアドレスになるのが

一般的ですが、これがhttpのままのショッピングサイトが未だにあります。

httpとhttpsの違いは、通信の暗号化を行っているのかどうかにあります。

httpは暗号化通信を行っていないサイトで、httpsは暗号化通信を行っている

サイトです。

つまり、暗号化をされているサイトは情報を盗み取られにくいのです。

また、独自のショッピングサイトを開設する際は、固定のIPアドレスを取得し、

SSL証明書という、電子証明書を取得します。

安価なところを利用すれば年間コストはそれほどかからないのですが、

それすら行っていないところがあることが驚きです。

購入していただく顧客のことを考えれば、必然的にSSL証明書を取得した、

暗号化通信のできるサイトにするものかと思いますが、そうしていない

ショップは、顧客に対する思いやりに欠けているのではないでしょうか。

ご注意ください。