なぜHTTPS化されていないWebページがあるのか?
このブログでは今までいくつかの都道府県内の市町村のWebページを探し、まとめてきました。
各市町村のURLを確認してきたわけですが、意外にもhttps化されていないWebページが結構ありました。
大体3割程度の市町村のWebページがhttps化されていないようです。 村や町でもちゃんとhttps化されていることろもあれば、市でhttpのままという所もあります。
そこで、なぜhttps化が進んでいないのか推測してみました。
そもそもHTTPSとは?
スマホでもパソコンでもWebページを閲覧しているとhttp://...
やhttps://...
といった文字が
画面のどこかに表示されているかと思います。
この文字をURLといい、Webサイトが設置されているインターネットの場所を示しています。
この文字の最初がhttpsとなっているのがいわゆるHTTPS化されたページということになります。
ではhttp
とhttps
何が違うのか?
ざっくりいうとhttps
の方が安全になります。
なぜHTTPS化していないホームページがあるのか?
通信の安全性を担保するのであればHTTPS化が必須であり、IT業界ではHTTPS化は当たり前という状況になっています。ではなぜHTTPS化されていない市町村のホームページが多いのでしょうか。
HTTPS化のデメリットと交えて考察してみます。
①技術者不足
サーバのHTTPS化にはプログラミングの知識は必要ないものの、それなりにITの知識が必要になります。
証明書機関への申請やサーバへの設置などは知識が無いと意外と難しいものです。
市町村で専任のIT技術者は少ないでしょうからHTTPSが後回しになっているのかもしれません。 業者に頼むとしても作業費等がかかりますし、予算が降りていないという可能性もあります。
②サーバ証明書を維持するのに費用がかかる
サーバ証明書を証明書機関に発行してもらうには費用を支払う必要があります。
さらにサーバ証明書には有効期限があるため数年ごとに更新費用がかかります。
証明書機関や証明書の種類によって異なりますが、数千~数万円といった費用になるので、ITがよくわからない人からしたらケチりたくなるかもしれません。さらに上記の技術者不足の状況から業者に依頼することになるでしょうから、更新の度に作業費用が発生してプラス数万円でさらに財布のひもがきつくなってしまうでしょう。
③HTTPS化するメリットが薄い
HTTPS化のメリットの一つに「暗号化」がありますが、その目的は盗聴対策です。
逆に言うと盗聴されても構わない、広く公開されているデータであれば暗号化しなくてもいい、ということになります。
市町村のホームページに掲載されている情報も広く公開するものですので盗聴対策である暗号化は必要ない、という選択になるかもしれません。
ただし、ホームページにお問い合わせフォームなどがある場合は別です。
HTTPS化されていなければ、ホームページに入力したお問い合わせ内容も暗号化されずに送られてしまいます。お問い合わせフォームに個人情報を入力する人は少ないでしょうが、万が一ということもあり得ます。お問い合わせフォームなど何かしら入力する項目があるのであればHTTPS化した方がいいでしょう。
またもう一つのHTTPS化のメリットに「Webページの持ち主が第3者によってチェックされている」という特徴があります。これもサーバ証明書の種類によって信頼性に差があるので注意が必要だったりします。
どういうことかというと、サーバ証明書の種類によって「証明書機関がWebページの持ち主をどこまで調査したか」が変わってくるんです。 高価なサーバ証明書はWebページの所有者の登記簿や住所・電話番号まで綿密に調査された上で発行されますが、安価なサーバ証明書はメールアドレスとURLさえ確認できれば発行できたりします。
そうなればちょっと怪しい団体だったりしてもサーバ証明書を発行してHTTPS化することはできるでしょう。 ところが、ブラウザでぱっと見ただけでは使用されているのが高級なサーバ証明書か安価なサーバ証明書か見分けることができません。
サーバ証明書の内容を細かく確認すればわかったりするのですが、中々そこまでやる人はいません。
このようにWebページと所有者が信頼できるかどうかということがやや曖昧になっているため、わざわざお金をかけてHTTPS化する必要もないだろう、という選択になっているのかもしれません。
例えば国や県のホームページからリンクが貼られていればそれだけで十分な信用を得ることができるでしょう。
自分のWebサイトを持っているならHTTPS化すべき
貴方は自分のWebサイトを持っていますか?
持っているのであれば自分のWebサイトがHTTPS化されているかチェックしましょう。
市町村のホームページにHTTPS化されていないのは大変残念ですが・・・ HTTPS化されていないのであれば是非HTTPS化すべきです。
はてなブログやLivedoorBlogなどのブログサービスは既にHTTPS化されていますが、自分でWordPressを建てたりした場合は自分でHTTPS化する必要があります。
HTTPS化で得られるものは2つ
安全性
通信が暗号化されているので安全です。 コメントをもらったりDMをもらったりしたい場合は必須と言えるでしょう。
信頼性
HTTPS化するのに必要なサーバ証明書は、証明書機関からある程度信頼できる人に発行されるものです。 サーバ証明書を設定することで、このWebサイトは信頼できるサイトですよ、と示すことができます。
自分のWebサイトを安全にかつ信頼性の高いものとして運用するのであれば 是非HTTPS化しましょう。