【わかりやすい】 常時 SSL 化とは?未導入の問題点、有料のSSL証明書選択と導入方法

公開サイトの全ページを対象にSSLを設定することを、常時SSL化と呼んでいます。この記事では、未実施の場合に起こりうる問題をまとめました。SSL証明書には種類があるため、目的と予算に応じた賢い選び方を紹介しています。また、SSL証明書をWebサーバーに設定する際のポイントも整理しています。

常時SSL化とは?

常時SSLの「常時」とは24時間というより、Webサイト内のどのページを利用しても、常にSSL化されて安心という意味で使われています。以前は大切なデータを入力するフォームだけに適用すれば良く、また相当高価な手法でした。最近では関連技術が進化して、SSL証明書のコストも下がっています。その結果、常時 SSL 化の導入が進み、インターネット上で個人情報など大切なデータを扱うサービスが、安心して利用できるようになりました。

こちらの統計によれば、常時SSL化対応の比率は国内上場企業で80%に達しています(2020年8月時点)。どうしてここまで導入されてきたのでしょうか。常時SSL化が「非」対応の場合に発生するさまざまな問題から、この理由を次章で説明していきます。

常時SSL化していないと起こりうる問題

SSL化されていないページには、現状ではブラウザに注意喚起の仕組みが施されている場合があります。そのためせっかくWebサイトに来たのに、利用者は警戒してページを閉じてしまいます。安心してWebサイトの利用ができないと考えるのが要因です。

一例として、Googleが提供しているブラウザChromeの場合では、バージョン68(2018年7月)よりSSLで暗号化されていないページを開くと、以下の警告が表示されています。

こちらのChromeの施策について、以下のページで詳しく解説しています。

【リンク】
【SSL化必須】Chrome「全HTTPサイトに警告表示」でどうなる?2018年7月開始

そのためWebサイト上でサービスを提供している事業者は、常時SSL化が必要になりました。仕事が成り立たず、収益が落ちる可能性があったからです。これらの施策を、Googleはむやみに実施した訳ではありません。常時SSL化を進める必要があると考えたからです。その理由は次の章でまとめています。

常時SSL化にする理由

以下3点に絞りポイントを整理しています。

セキュリティ向上

インターネットに公開されているWebサイトは、誰でも自由に公開し、いつでもどこからでもアクセスされるのが原則です。そこで悪意をもったユーザーには、防御し損害を食い止める対策を継続的に実施しなければなりません。主な対象は、盗聴や改ざん、なりすましなどの行為です。

常時SSL化により、ドメインを所有していることが証明されます。例えば、同じドメインで第三者が偽のWebサイトを公開する不正行為を防ぐことができます。

Webサイト表示の高速化

常時SSL化によりHTTP/2という通信方式が利用でき、Webサイトを高速に表示することが可能です。HTTP/2は非SSLページでは動作しないため、まずは常時SSL化していきましょう。HTTP/2について、以下の記事で詳しく解説しています。

【リンク】
【図解】HTTP/2って?HTTP/1.1との違いと導入メリット・課題まとめ

その結果検索順位が改善される!

Webサイトの内容はもちろんですが、さらに安全で表示速度が優れていると、Googleなどの検索エンジンで検索結果が上位に表示される可能性が広がります。その結果、Webサイトへのアクセスが増え、事業などの目標達成につながります。

以前になりますがGoogleでは以下のような情報を公開し、検索順位の考え方を公表しました。

【リンク】
HTTPS をランキング シグナルに使用します(Googleウェブマスター向け公式ブログ)

導入方法

それでは、常時SSL化実現のために何をどう進めればいいのでしょうか。こちらの章では、より安心できる有料のSSL証明書について概要や取得、設定方法などを説明しています。

カゴヤのサーバー研究室では、SSLの概要や無料のLet’s Encryptについて別の記事も公開しています。必要に応じてご参照ください。

【リンク】
【図解】SSL/TLSとは何か?仕組みや導入方法をわかりやすく解説します
【無料SSL入門】「Let’s Encrypt」とは?設定で挫折しない!使い方解説

(1)有料のSSL証明書を選ぶ!

より信頼性の高いSSL証明書を導入する必要があるのは、特に以下のような場合と考えます。

(1)Webサイトでの事業規模が大きい
(2)提供商品やサービスのブランドイメージを維持する

無料のLet’s Encryptなどを利用しても、ブラウザ上部には鍵マークは表示されます。ドメインさえあれば簡素な手続きで誰でも取得でき、「本人確認」は必要ありません。「本人確認」がないと、なりすましなどのリスクがどうしても残ります。

一方、有料のSSL証明書を利用すれば「本人確認」の審査があるため、ドメインと事業者名やブランド名を結び付けることができます。これにより、Webサイト利用の信頼度が向上します。さらに、なりすましなどの被害を防止する効果もあります。

(2)SSL証明書を購入する!

選択方法

実は、有料のSSL証明書が数多く提供されています。予算や目的、手続きの煩雑さなどを比較し、ちょうどいいものを選択していきましょう。カゴヤ・ジャパンの例では、「企業用」「個人用」「テスト用」の3つの基準で、おすすめのSSL証明書が案内されています。詳しくは以下のページをご覧ください。

【リンク】
SSLサーバー証明書 選び方

申し込み方法

カゴヤ・ジャパンの場合では、以下のページに概要や手続き方法などがまとめられています。SSL証明書の種類により、「審査」のため書類提出などの手続きのため、4週間程度発行まで時間がかかる場合があります。カゴヤ・ジャパンのコントロールパネルから申込みすれば、数日で発行される種類もあります。電話による本人確認に時間がかかる場合があるため、時間に余裕を持った手続きを推奨します。

【リンク】
SSLサーバー証明書の新規取得

申込はレンタルサーバー会社のコントロールパネル上で、ほとんどの手続きができます。必要な書類がある場合は、コントロールパネル画面上またはメールで案内があります。

(3)設定のポイント!

これまでhttpでアクセスされていたページを自動的にhttpsで表示する方法!

非SSLのWebサイトを常時SSL対応にしても、httpでアクセスされるとそのままhttpで表示されるだけで、常時SSL化の恩恵を受けることができません。そのためhttpからhttpsに自動的に転送する設定をおすすめします。方法は、「.htaccess」というWebサーバーを制御するファイルを用い、以下の例のうちいずれかを書き込みます。

【記述例1】

【記述例2】

【ここに注意!】
(1).htaccessは重要なファイルで、書き方を間違えるとWebサイトが表示できなくなるので、注意して作業しましょう。
(2)書く内容は、Webサーバーにより異なります。契約しているレンタルサーバー会社のマニュアルをよく確認し、適切な内容を選択しましょう。

上記のコマンド例は、いずれもカゴヤ・ジャパンのマニュアルの項目「■常時SSLを有効にする( https リダイレクト )」に記載されています。詳しい内容は以下の記事でもご紹介しています。

【リンク】
【基本】.htaccessとは?何ができるの?書き方は?

セキュリティを向上する対策例

以下の内容を記述すると安全性が高まります。

【記述例】

上記のコマンド例は、カゴヤ・ジャパンのマニュアルの項目「■常時SSLを有効にする( HSTS 有効化 )」に記載されています。

(4)WordPress対策

ここまでの設定が、WordPressで管理するWebサイトでは動作しない場合があります。たとえ問題点がわかっても、修復方法がわからない場合も少なくありません。その場合は、SSL化に特化したWordPressの専用プラグインを検討されてみてはいかがでしょうか。

代表的なプラグインは「Really Simple SSL」で、全世界で4百万以上インストールされ、更新も頻繁に行われています。

【リンク】
Really Simple SSL

(5)それでもブラウザの鍵マークが出ない場合

Webサイト上の画像を表示(リンク)する場合に、httpで指定している場合などに発生します。こちらの場合は、指定方法をhttpからhttpsに修正すると解消し、無事に鍵マークは表示される可能性があります。こちらの修正方法はいくつかあり、詳しくは「ミックスコンテンツ(混合コンテンツ)」対策などの情報を確認することを推奨します。

【リンク】
混合コンテンツとは

(6)連携しているサービスの設定変更

httpから始まるURLで申し込みをしているサービスは、httpsに変更しましょう。一例としてアクセス解析サービスGoogle Analyticsや、診断ツールSearch Consoleなどがあります。

SSL証明書更新時の注意点

2020年9月1日より、Apple社はブラウザ「Safari」についてSSL証明書の最長有効期間を398日にしました。その対応としてカゴヤ・ジャパンでは、これから新規にSSL証明書を購入する場合、有効期間「1年」を選択するように告知しています。

まとめ

ここまでいかがでしたか。常時SSL導入の必要性、特に有料のSSL証明書がなぜおすすめなのかをまとめました。カゴヤ・ジャパンでは、様々な証明書が利用できます。ぜひ導入し、事業などの目標達成にお役立てください。

安心で選ぶならカゴヤサーバー

人気記事ランキングトップ10

共用レンタルサーバー

高速でセキュアな環境で運用できるWordpressユーザー向けに特化したWordPress専用サーバー

カテゴリ一覧

新着記事Pick Up!