HTTPSで始まらないサイトはもういらない!CloudFlareの危険性とデメリット

CloudFlare SSL証明書 複数サイト WordPress
この記事は約17分で読めます。

どうも、ジャム君です。

アニメティップ情報館は開設当時からほとんどの期間、SSL証明書を使ったURLがHTTPSから始まるサイトになっています。

今もそれは変わらずで、アニメティップ情報館が管理しているどのページにアクセスするためにもURLの頭がHTTPSというもので始まっています。

これって、「アニメの解説や考察、また感想を読みに来るだけだったら関係ないんじゃないか」と思われるかもしれませんが、それは大きな誤解というものです。

URLがHTTPSではなくHTTPで始まるサイトがどれほど危険か、また最近流行りのCloudFlareに潜んでいる危険に気づいているか、休憩がてらに読んでいってください。

CloudFlareのすべてが危険なのではなく、最低限度のことを知らないと大きな危険となるという部分を誤解なきようお願いいたします。
スポンサーリンク

HTTPとHTTPSの差

URLがHTTPSで始まらないサイトとHTTPSで始まるサイトとの大きな違いは、そのサイトとの通信が暗号化されているか否かです。

今だと、HTTPSで始まるサイトは鍵のマークが表示されていますよね。

アニメティップ情報館 SSL https

これはサイトを見ている人とサーバー(閲覧者へ文章や画像の送信、コメントや問い合わせ処理などを行う場所)の間でSSLと呼ばれる暗号化がされているかどうかという点で、SがつかないHTTPで始まるのか、SがしっかりとつくHTTPSで始まるのかが変わってきます。

SSLの暗号化がなされていればアニメティップ情報館のようにHTTPSで始まりますが、暗号化がなされていないとHTTPだけで始まってしまうわけです。

最近だとGoogle Chrome 68(パソコン版)からはHTTPSから始まらないサイトを開くと「保護されていない通信」と表示されるようになっており、GoogleもSSL通信を推奨していることがわかります。

さらに今後、個人レベルのサイトでは鍵マークも外される予定です。
より安全性の確認が必要かつ確認も取った上で暗号化されている法人運営主体の大規模サイトは、そのままであると予想されます。

ただ、暗号化がどうだと言われても、あまり困らないように感じますか?

実は暗号化技術は超重要!

まず、SSL証明書を発行して利用しているアニメティップ情報館では、皆さんが使っているスマホやパソコンと、ジャム君が利用しているサーバー間で、データが盗み見られてしまう可能性が激減します。

ショッピングをするようなサイトではないので、たとえ盗み見られてしまったとしても被害は最小限に留められはするのですが、コメントや問い合わせの利用時にメールアドレスを入力した際、本来ならば見られないはずなのに、盗み見られてしまうかもしれないんです。

ただし100%解読不可能な仕組みではないため、無駄な労力を惜しまないのであればやってやれないことはないです。

ですが相当な時間と資金を要してしまうため、現実的ではありませんね。

そんなところに労力を使うのであれば、もっとお金になるような時間と資金の使い方をするのが普通でしょう。

そのためURLがHTTPSから始まるサイトなのであれば、データが盗み見られてしまうリスクはほぼないと思っておいていいです。

ただし既にウイルスに感染している、悪質な利用者がいる無料Wi-Fiスポットを利用しているなど別要因で盗み見られる可能性はあります。

ですがHTTPだけから始まるサイトは危険!

SSL証明書がなく暗号化もされていないデータのやり取りをしているため、悪者が通信を覗き見たらまるまるデータが見えてしまうんです。

個人情報流出を極力避けたいのであれば、アニメティップ情報館のようにHTTPSから始まるサイト以外にはアクセスしないよう心がけたいですね。

企業運営のサイトを見ていても分かるとおり、ふつうのページはHTTPで始まるようになっており、問い合わせフォームなど情報入力が行われる場所だけはHTTPSから始まるようになっているケースもあります。

暗号化がされていないとまだリスクがある!

これだけではなく、SSL証明書を使った暗号化がなされていないと、まだリスクが残っています。

それがデータの改ざんやサイトのなりすましです。

暗号化がなされていないサイトの中に設置されている検索ボックスに文字を入力して検索したのに、こっそり改ざんされて違う結果が表示されるということもあり得ます。

これは送信した文字をそのままの状態(平文)で送っているため、悪意ある人が割り込んでくると文字が任意のものへ簡単に書き換えられやすいのです。

たとえば「こんにちは」と送信したはずなのに「こんばんは」と送ったことにされる、といったイメージですね。

また実はアクセスしているサイトが、別のなりすましたサイトで、こっそり個人情報を収集しているかもしれません。

現在は無料でSSL証明書が導入できるようになったためHTTPSなのかHTTPなのかで判断するのは困難になりましたが、SSL証明書の内容を確認する行為は、ドメイン(URL)が正しいか再確認するチャンスとなります。

アニメティップ情報館では導入が不可能なのですが、銀行のホームページを利用すると、アドレスバーの部分に企業名が表示されることが多くありませんか。

あれは上位のSSL証明書で、実在する企業が何日もかけて承認を受け導入をする必要があります。

しかも個人レベルでは導入できないため、大企業向けです。
(それ故にお高くもあります)

もしジャム君が銀行そっくりのサイトを真似して作っても、HTTPから始まっていたら警告が出ますし、HTTPSから始まっていても表示結果が違うため、よく似た偽サイトを作られてもより本物と見分けが付きやすいというわけです。

いずれも個人レベルでは「完全に」というのは無理なのですが、SSL証明書を使ってしっかりとHTTPSから始まるサイトにしているのであれば、その驚異にさらされる心配を大きく減らすことができます。

「サイトを見ているだけだから関係ない」と思っていると、大変なことにもなりかねないのが怖いところなわけです。

流行りのCloudFlareは実は危険

最近、サイトを立ち上げている人の中では流行りになっているCloudFlareというサービスがあるのですが、このサービスは危険も伴います。

本来は多くの基本サービスが無料で利用でき、サイトの表示速度を上げることもできる素晴らしいサービスでもあるのですが、ことSSL証明書に関してはお金を払わないとダメです。

無料で使っていくこともできるのですが、そのようなサイトはこのような証明書の内容で通信を行うことになります。

CloudFlare SSL証明書 複数サイト

これはCloudFlareを使っているとあるサイトのSSL証明書の中身なのですが、1つのサイトではなく、いくつものサイトが同じ証明書を使っています。

HTTPSのサイトにはなりますし、基本機能としてはデータを盗み見られることもなく、ないよりマシなのですが、これはいけません!

CloudFlareの無料SSL証明書は何が問題なのか

CloudFlareで利用できる無料のSSL証明書は、多数のサイトが同じ証明書を使ってしまうため、共用SSLと呼ばれています。

一方でアニメティップ情報館で使われているような、そのサイト専用のSSL証明書は、独自SSLと呼ばれています。

まず共有SSLでは独自ドメイン(アニメティップ情報館ならば[anime-tip.com])が利用できないため、サイトのURLと証明書に書かれた「どのサイトを認証しているのか」の基本情報が一致しません。

中身をよく見ていけば、たくさんのアドレスの中にサイトのURLを発見できるのですが、簡易的に見たら偽装されたサイトに見えてもおかしくありません。

共用SSLのデメリットを解決するためには独自SSLをCloudFlareで利用すればいいのですが、基本無料で利用できる範囲を超え、月額料金がかかってくるため、先の画像のようなサイトは「ケチっている」というのが丸わかりになるわけです。

はっきり言って、そういうところに無頓着、ケチるような運営者がいるようなサイトは、個人情報もどう扱っているのかわかったものではありませんので、近寄らないのが吉です。

CloudFlare提供の独自SSLでも、専用SSLは月5ドル、カスタムドメインを利用した専用SSLは月10ドル必要です。
SSLボックスのような業者で発行してもらうSSL証明書の持ち込みは、CloudFlareのFreeプラン非対応になっており、利用時にはBusiness以上のプラン選択が必要になります。

あ、ジャム君はCloudFlareもいいと思うのですが、AmazonがやっているCloudFrontもいいかな~と思ってはいます。

今はまだ必要なさそうですけどね。

CloudFlareを利用するとしても、SSL証明書は別途用意するつもりです。

HTTPSで始まっているサイトでも簡単に信用できない

最近のサイトだと無料で使えるSSL証明書が普及してきたためだいぶ減っているはずなのですが、結構前からCloudFlareを利用しているサイトや、Google Chromeの警告表示に合わせて慌ててCloudFlareを導入したようなサイトでは、たとえアドレスバー上ではHTTPSで始まっているサイトでも簡単には信用できません。

その理由が通信の仕組みにあります。

通常、CloudFlareといったCDNと呼ばれるサービスを利用しないアニメティップ情報館のようなサイトであれば、次のような接続方法です。

ユーザー⇔サーバー(サイト)

しかしCloudFlareのようなCDNサービスを利用すると、接続方法がやや変わります。

ユーザー⇔CloudFlareサーバー(CDN)⇔サーバー(サイト)

ただしCDNサーバー上にサイトを閲覧するために必要なすべての情報が保存されている場合は、ユーザーとCDNサーバー間のみの通信で終わることもあります。

つまりCloudFlareでHTTPSにしたように対応したように見せかけることで、実は本来アクセスされるはずのサイトはHTTPのままで丸見え通信のままでした、という可能性もあるのです。

危険な例
ユーザーCloudFlareサーバー(CDN)サーバー(サイト)

サイトの中をより入念に確認すれば防ぎやすいものではありますが、とくにスマホからのアクセスでは面倒です。

全CloudFlare利用サイトが危険なわけでもありませんが、危険なまま放置されているサイトも中には存在してしまっているというのを忘れてはなりません。

CloudFlare利用によりサイトの表示速度が遅くなるデメリットも

先ほども示したように、CloudFlareを利用すると、このような通信を行います。

ユーザー⇔CloudFlareサーバー(CDN)⇔サーバー(サイト)

必要なデータすべてがCloudFlare上にキャッシュされていれば、自サーバーへのアクセスが毎回行われることはありませんのでサイトの表示速度低下は最低限となりますが、とくにWordPressのサイトだとそうもいかず。

もしもCloudFlareに必要なデータすべてがキャッシュされているのであれば、

ユーザー⇔CloudFlareサーバー(CDN)

このような経路で通信を行うことになります。

WordPressだとなかなか難しいのですが、前者の場合サイトの表示速度が低下します。

せっかくCloudFlareを導入しても表示速度が低下してしまうのは、運営者としても見に来る側としてもデメリット!

その理由としてHTTPSで始まるSSL通信を正常に行っている場合、2回証明が必要になるからです。

ユーザーCloudFlareサーバー(CDN)サーバー(サイト)

CloudFlareってサイトの表示速度を上げたい人が多く使っているのですが、本末転倒ですね。

デフォルトでキャッシュされるファイルと、サイト配信に必要なファイル、キャッシュすべきファイル・するべきでないファイル、理解していないとCloudFlareのみならずCDNは危険です。

中でも「無料」が売りのCloudFlareは利用者も多く、知識がまだ少ないサイトの小さなころから容易に導入できてしまうため、考えなしに導入するのは危険と言えます。

ジャム君も偉そうに言えるわけではありませんが、初心者ブロガーも多く利用しているため、「やけに、もっさりしたサイトだな」と思ったらCloudFlareを利用していたなんてこともあるわけです。

設定や使い方をうまくしていれば、CloudFlareの本領を発揮し、しっかり速度が上がることもあります。

転送量だけに目をつけるのは危険

中にはサーバー転送量上限目安の関係で使っているサイト運営者もいるのですが…

サーバー転送量の関係で利用している場合、小規模サイトほど運営者がサーバー代をケチっています。

導入を検討中ならば、考え直す時間も必要です!

たとえばジャム君が現在使っている、エックスサーバーのX10プランだと、1日70GB目安まで転送してもらえます。

転送量が1日70GBを超えると、エックスサーバー側から処理速度を絞られたり強制解約になったりしてしまうため、CDNサービスのCloudFlareで配信データを分散させるといった形ですね。

サイトが大規模になるほど転送量ではなく、1度に集中してアクセスが集まるため表示速度低下が発生してしまうのですが、ここでもCDNを使って配信データを分散させることは可能です。

大規模なサイトで運営資金が潤沢なら、CloudFlareではなく、CloudFrontやAzureを使いそうなものですが。

サイトを見に来ている人からしたら内情など知る由もありませんが、利用しているサーバー業者から警告等がくるような使い方をしてCloudFlareに頼るくらいなら、プラン変更で転送量アップやCPUやメモリ対策を練るほうが得策でしょう。

どうしてもその業者で対応が不可能なら、サーバーのお引越しも視野に入れる必要がありますね。


お引越しするならば、利用時間単位の課金な上に、2018年9月の計測時に第2位のサーバーに速度で2倍もの速さを叩き出した、ConoHa WINGがおすすめです!

1時間2円から利用ができますし、一番安いベーシックプランでも転送量目安が月2.5TBですので、1日約83GB利用できる計算です。

アクセス増減が激しいサイトであれば、知識が必要になりますが、VPSで快適ライフにする手もありますね!

1時間2円から、国内最速・高性能レンタルサーバー【ConoHa WING】

WordPress爆速化は難しい

CloudFlareは、デフォルトの設定でPHPファイルやHTMLファイルなどをキャッシュしないため、WordPressを利用しているとどうしても自サーバーにアクセスがあります。

0円から始められる格安サーバーも出てきていますが、あまり安いサーバーだと処理能力も低く、いくらCloudFlareを使ったところで、処理に時間がかかります。

また毎回DBファイル(データベースファイル)にアクセスする必要が出てくるため、そもそも動作が遅い設計のCMSです。

DBファイルへのアクセスをスキップできるキャッシュプラグインもありますが、あまりおすすめはしません…

静的ファイルと動的ファイルと呼ばれるものなのですが、CloudFlareでキャッシュしておくのはあくまでも静的ファイル。

簡単に言えばjpeg/pngなど画像ファイルは静的ファイル、PHP/jsなどプログラム関係のファイルは動的ファイルです。

動的コンテンツとして作られる仕様のWordPress(見る人によって表示が異なる)だと、静的コンテンツとして作られた簡素なホームページ(見る人が異なっても表示が同じ)より表示に時間がかかります。

たとえば、広告であったり人気記事のランキングであったり、PCとスマホ向けページに差があったり。

動的コンテンツならでは簡単にできることもありますが、CloudFlareにキャッシュさせ、爆速化するとは限らないのです。

このアニメティップ情報館は、WordPressで作られた動的コンテンツですので、たとえCloudFlareを使ったところで、高速に表示できる範囲は限られてしまいます。

CloudFlareとPhoton

ここまで話してきたCloudFlareも、WordPress利用者ならば多くの方が使っているJetpack付属機能のPhoton(フォトン)も、CDNです。

CloudFlareがキャッシュ対象を指定できるのに対し、Photonは画像ファイルのみをキャッシュします。

Jetpackにも有料機能はありますが、PhotonはもともとSSL通信に対応しており、何よりJetpackのダッシュボードから機能をオン・オフするだけで利用も停止も使い分けられます。

注意点として、Photonにはキャッシュの削除機能がなく、原則としてキャッシュされたらPhotonサーバーに残り続けるところです。

そのため同名の画像ファイルを、一度メディアライブラリから削除してアップロードしても、正常に反映されないことが起こってしまうわけですね。

Photonと他CDNサービスは同時に使う意味なし

簡単に使えるCDNサービスということでPhotonを使い続けている方もいるかもしれませんが、もしCloudFlareやCloudFrontなどといったCDNサービスを利用するのであれば、同時に使う意味はありません。

画像の転送量を削減して、少しでもCDNの利用料を抑えたい」というのであれば意味があるかもしれませんが、小規模サイトならばCloudFlareのアドオンを使わずとも十分でしょうし、そこまでの費用はかかりません。

中規模以上のサイトを運用しているのであれば、それなりに広告収入もあるのでしょうから、あまりにケチりすぎると表示に時間がかかったままです。

そもそもPhotonはWordPress.comが運営しているCDNで、いわゆるWordPress公式のCDNサービス

一方CloudFlareは、WordPressでよく使われてはいますが、公式のサービスではなく、サービス自体がダウンしてしまうこともあります。

最近ではサーバーダウンもだいぶ減ったようなのですが、仮にPhotonで画像をキャッシュしていても、CloudFlareがダウンしてしまったら、サイトは表示されず画像も転送されません!

Photonは公式サービスだけあって、ほぼほぼダウンせず使うことができる代わりに、CloudFlareといったCDNサービスと比べてしまうと、表示速度が遅いです。

つまり、CloudFlare利用者がPhotonをオンにしていると、画像転送が遅い上に、CloudFlareサーバーダウン時には役に立たず、いいことなどほとんどないということになります。

使うならば、どちらか一方のCDNということですね。

Let’s EncryptからCoreSSLに証明書を変更

ジャム君が利用しているエックスサーバーで取り扱いのある証明書として、無料で使えるLet’s Encryptという証明書は、ほかのサーバーでも利用できる場所が増え、独自SSLというメリットも持っています。

ただ2018年6月末のメンテナンスで、CoreSSLの証明書に入れ替えをしました。

理由ですか?
Let’s Encryptだとありふれてる感があるから。

無料サービスですがLet’s Encryptも急なサービス終了ということはないでしょうし、そのまま使い続けてもよかったのですが、ちょっと様子見。

別に証明書が変わっただけで、性能が上がるようなことはありません

一応、2018年6月下旬からCoreSSLはサイトシールと呼ばれるものに対応はしているのですが、アニメティップ情報館はサイトの構成と証明書申し込みの都合上、サイトシールには今のところ未対応です。

エックスサーバーを利用していてCoreSSL導入を考えている方で、サイトシールに対応させようとしているのであれば、2Way利用での申込みは考えてください。
コモンネームと同一でないと、処理されません。

恐らく他社でも挙動は同じと思われますが、詳細はご利用のサーバー会社にお問い合わせください。

ちなみにLet’s Encryptのときは、こんな感じの証明書でした。

Let's Encrypt SSL証明書

CoreSSLに変更した現在は、こうなっています。

CoreSSL SSL証明書

CoreSSLはLet’s Encryptと違い、有料のSSL証明書なのがデメリットですが、3か月更新ではなく最低1年更新なので、来年まではエックスサーバーを使い続ける限りCoreSSLの証明書を使い続けられますね。

エックスサーバーからほかのサーバーに移転させるとなると、持ち出しはできないので、使えなくなっちゃうのはもったいないところでしょうか。

Let’s Encryptは3か月更新ながら自動で更新してくれ、さらに無料で使えるメリットはあるのですが、たまに自動更新失敗していることがあるので、うっかりするとサイトにアクセスできなくなっているんですよね……

さいごに

アニメティップ情報館で解説や考察、また感想を楽しみにしてくださっている方は、どうぞ安心してください!

しっかりと情報は守ってあります。

今でも平気で問い合わせフォームにもHTTPSで始まらないサイトを運営している管理者は、ジャム君からしたら信じられませんね。

特に企業レベルでSSL非対応のサイトを見つけてしまうと、信頼して見ることなどできません。

一応あえてSSL非対応にしておいて、問い合わせフォームといった個人情報を扱うページだけSSL対応させるという手段もあります。

これは正当な手段なので、今後どういう形がスタンダードになるのかはわかりませんが、問題はありません。

暗号化(SSL)を介する必要がないため、より高速にホームページを表示できる可能性もあります。
また古いパソコンやガラケーにも対応しやすいメリットもあります。

ほかにも、せっかくCloudFlareを利用しているのに、共有SSLを利用している信用度の低いサイトは、本当にSSL化されたサイトなのか確認が手間なので、ケチらず独自SSLを使ってほしいものです。

そこにお金をかけるようなサイトならば、元のサーバー側もSSL証明書が適用されSSL化されていることがほとんどです。
(100%とは言いませんけどね)

何でもかんでも金をかければいいわけではないのですが、少なくとも安心して利用できる程度には整備したサイトを用意してお待ちしておきたいですね。

スポンサーリンク
スポンサーリンク
WordPress
スポンサーリンク

スポンサーリンク
ジャム君をフォローする
アニメティップ情報館 アニメ解説&考察&感想フロア

コメント

  1. アバター 匿名 より:

    補足です

    HTTPS 通信がされていること自体は確認可能です。
    Tlsモジュールを複合化という事です。

    サイト改ざんとhttpsモジュールは関係ありません。
    あくまで暗号化方式なだけです。
    なのて、サイト改ざんのリスクは接続元の環境によるのです。
    偽装電波などをキャッチしてしまうと影響を受けやすいのです。

スポンサーリンク
タイトルとURLをコピーしました