シマンテック傘下SSLをChromeが失効

米Googleは現地時間9月11日、シマンテックのSSL/TLS証明書に関して、今後Chromeでは徐々に失効させる(=要はHTTPS扱いしない)意向を明らかにしました。…ということは今後SEO上はどうなってしまうのでしょう…?

SSLについて

ふわふわ

失効の背景と方向性

シマンテックといえば、「VeriSign」を始め「GeoTrust」「RapidSSL」といった傘下ブランドで展開しSSL/TLS証明書を発行していましたが、今年に入って、そのPKI(Public Key Infrastructure:公開鍵暗号基盤)が業界標準の監査をクリアしていないまま発行を行っていたとのことです。それによって、GoogleではChromeにおけるシマンテックのSSL/TLS証明書を今後段階的に失効させていくとのことでした。

ChromeチームとPKI事業は7月末に、ウェブ閲覧ユーザーの保安とプライバシーを守るため、シマンテックのインフラ(証明書)の信用性を少しずつ削除し、最終的に完全失効することを合意しました。

引用)Google Security Blogより意訳

ただ、その後の8月3日にプロバイダ会社であるDigiCertがシマンテックのPKI事業を買収したこともあり、Googleは段階的に失効させていくとのことです。

まず、「Google Chrome 66」から2016年6月1日より前に発行された証明書への信頼を取り除く。「Google Chrome 66」はベータ版が来年3月15日に、安定版が4月17日にリリースされる予定。2016年6月1日より前にSymantecによって発行された証明書を利用している場合は、それまでに既存の証明書を新しいものへ取り換える必要がある。

一方、Symantecは今年の12月1日までにDigiCertへのインフラストラクチャー移行を完了させる。それ以降にSymantecのインフラストラクチャーから発行された証明書は、「Google Chrome」では信頼されない。

引用)窓の杜

2018年9月13日にベータ版が、2018年10月23日に安定版がリリースされる予定のChrome 70では、シマンテックCAが発行したすべての証明書は信頼できないものとして取り扱われます。

引用)GIGAZINE

とりあえず分かっている事実はここまでです。

ふわふわ

HTTPSとSEO

さて、こうなると「VeriSign」「GeoTrust」「RapidSSL」「Thawte」等でSSL化してきたサイトはどうなっていくのでしょう。他にもさくらサーバーはRapidSSLを使用していたり、レンタルサーバーも提携する証明書を見直さなければなりません。いっそのこと、全部Let’s Encryptで良いんじゃないか的な考えも沸き起こってきますよね。

もちろんユーザーのことを考え、CAブラウザフォーラムの世界標準をクリアしていることを条件にすることが大前提ですが、SEO上の期待値も考えますと、Google Chromeが失効する以上、少なくともChromeでの検索順位はある程度下落すると推察されます。

しかしながら、実際にSEOだけを考えると、HTTPSとHTTPでの検索順位(における優位性)は極々僅かとGoogleは言っていますので、もしかしたら目に見えてシマンテックによるSSL化したサイトが順位下落するとは限らないかもしれません。

いずれにしても、HTTPだと今後かなり不信要素を煽る表示が出てきそうですし(個人情報入力箇所や各種フォームページは特に)、シマンテック傘下の認証局によるSSL/TLS証明書を使用しているサイトは見直していくことをオススメします。