古いSSL証明書をHTTPSページで使っていてもペナルティにはならない

[レベル: 上級]

GoogleはHTTPSをランキングシグナルとして利用しています。
しかし安全性に問題がある古いサーバー証明書(SSL証明書)をHTTPSページで使用していたとしても、ペナルティを与えられることはありません。

サーバー証明書の内容は問われない

HTTPSアルゴリズムを提案しそのアルゴリズムを作ったGary Illyes(ゲイリー・イリーズ)氏が、次のようなやり取りをTwitterでフォロワーと交わしていました。

(フォロワー) ゲイリー、あなたはhttpsについていくどとなく話していますが、httpsのウェブページで古いバージョンのSSLプロトコルを使っていたらどうなりますか? ペナルティを受けてしまいますか?

(ゲイリー)いや、そんなことは全然ない。

(フォロワー)それじゃあ、SSLプロトコルのバージョンをGoogleは確認しているんですか?

(ゲイリー)ああ、確かに確認している。だけど確認した結果がどうであれ、ペナルティを与られるということはない。もっとはっきり言えば、SSL/TLSを見るペナルティなんていうものはない。

HTTPSの実装に使うサーバー証明書の種類強度・鍵長などの内容は加味されません。
多少乱暴に言えば、HTTPSでありさえすれば評価の対象になります。
まして、古い証明書を使っているからといってペナルティの対象になってしまうことなどないということです。

古い証明書のHTTPSページにはChromeではアクセスできず

検索においてはサーバー証明書の中身は問われず、ペナルティを受けることもありません。
ところが、最新のChrome 45からは、古い技術を用いているサーバー証明書のHTTPSページにはアクセスが禁止されるようになりました。
具体的には、署名にSHA-1を使っている場合です。

有名なサイトが影響を受けています。
たとえばヤマト運輸のクロネコメンバーズのサイトです。

Chrome 45でアクセスしようすると次のようなメッセージが出現し、クロネコのページを表示できません。

SSLサーバーが古い可能性があります。

クロネコメンバーズサイトのサーバー証明書の情報を見ると、署名アルゴリズムにはSHA-1が使われています。

署名アルゴリズムにはSHA-1

ヤマト運輸のサイトにはお詫びのお知らせが掲載されています。

署名アルゴリズムにはSHA-1

2015年9月1日にリリースされた「Google Chrome」Ver.45.0.2454以上をご利用のお客様が、弊社ホームページの一部ページにアクセスすると「SSLサーバーが古い可能性があります。」と表示され、閲覧ができない事象が発生しております。ご迷惑をおかけし、誠に申し訳ございません。

ユーザーのセキュリティとプライバシーを守るために提供しているHTTPSが、利用そのものを妨害してしまっては元も子もありませんね。

なお、「SHA-1って何?」「何が問題なの?」という方はこちらの記事が詳しく解説しているので参照してください。

証明書の内容がGoogle検索にも影響するかも

SHA-1のように脆弱性が指摘されているTLS/SSLの古い技術を使っていても、Google検索では現状では問題視されません。
しかしGoogleのブラウザは問題視し始めました。

将来的には、サーバー証明書の種類や強度がHTTPSアルゴリズムの評価要因として加えられる可能性は否定できません。
安全性に問題がある証明書は評価の対象から外れるか、ひょっとしたら「このページはSSLサーバーが古い可能性があります。」のような警告メッセージを検索結果に表示するなんていうことさえあるかもしれませんね。

とはいえ、今から新たにHTTPSを導入することを決めて新規にサーバー証明書を取得すれば、古いものを与えられることはまずありえないので安心していいでしょう(もちろん、きちんとした業者から入手することが前提)。
以前からHTTPSを導入しているなら、今使っているサーバー証明書に問題がないかどうかを検証しておきましょう。