Google検索とSSL

Googleが検索エンジンの上位に表示される条件の一つとしてSSLがサイトに適用されている、という項目を挙げています。

SSLが適用されているページはWebサイト上でhttps://というアドレスで表示され、またブラウザによって鍵のマークが出るなど、何らかSSLを利用したサイトであることが表示されます。

SSLは個人情報の入力や、クレジットカード、オンラインバンキングの利用などでは必須となっています。

それを一般のWebサイトにも適用しているサイトをGoogleは信頼性のあるサイトとして判断するということです。

SSLを利用する大きなメリットは、Webサーバーとブラウザの間の通信が暗号化されていて、解読が極めて難しいことと、そのアドレスが正しいサーバーに接続されていることが証明されることです。

暗号化は秘密鍵を明らかにされていなければ二者間の通信の途中に入り込んでも解読のリスクはほぼありません。

通常の運用では秘密鍵はサーバ内に格納されており漏洩することはありえません。

公共Wi-Fiなどで不正な中継や盗聴があったとしても中の情報は一切取ることができません。

アドレスバーに入力したアドレスが正しいサーバーに接続されていること、これは当たり前のことのように感じますが、その当たり前をついた攻撃が行われやすい部分でもあります。

アドレスのドメイン名からサーバのIPアドレスに変換(解決と呼びます)されるためにはDNSサーバーに問い合わせをするのですが、そのDNSサーバーが不正に設置されたものであったり、脆弱性を抱えている場合は、IPアドレスの解決を誤ったサーバーに変更してしまうことができます。

銀行のサイトのURLを正しく入力したとしても、フィッシングサイトに接続されてしまっている、という状況です。

公的認証局でのSSLの登録はドメイン名とサーバのIPアドレスは偽造できなくなっています。

ドメイン名を解決するために一度認証局に問い合わせをして、サーバーの証明書が正しいものかを判断するためです。

公的認証局で証明された証明書以外を持つサーバーは危険なサイトとしてブラウザが判断する仕組みができています。

ユーザーが正しいサイトに接続されている、という保証をWebサイト側で提供していることになりますので、Googleはこれを重んじているものと思われます。