公開サイトの全ページを対象にSSLを設定することを、常時SSL化と呼んでいます。この記事では、未実施の場合に起こりうる問題をまとめました。SSL証明書には種類があるため、目的と予算に応じた賢い選び方を紹介しています。また、SSL証明書をWebサーバーに設定する際のポイントも整理しています。
目次
常時SSL化とは?
常時SSLの「常時」とは24時間というより、Webサイト内のどのページを利用しても、常にSSL化されて安心という意味で使われています。以前は大切なデータを入力するフォームだけに適用すれば良く、また相当高価な手法でした。最近では関連技術が進化して、SSL証明書のコストも下がっています。その結果、常時 SSL 化の導入が進み、インターネット上で個人情報など大切なデータを扱うサービスが、安心して利用できるようになりました。
こちらの統計によれば、常時SSL化対応の比率は国内上場企業で80%に達しています(2020年8月時点)。どうしてここまで導入されてきたのでしょうか。常時SSL化が「非」対応の場合に発生するさまざまな問題から、この理由を次章で説明していきます。
常時SSL化していないと起こりうる問題
SSL化されていないページには、現状ではブラウザに注意喚起の仕組みが施されている場合があります。そのためせっかくWebサイトに来たのに、利用者は警戒してページを閉じてしまいます。安心してWebサイトの利用ができないと考えるのが要因です。
一例として、Googleが提供しているブラウザChromeの場合では、バージョン68(2018年7月)よりSSLで暗号化されていないページを開くと、以下の警告が表示されています。
こちらのChromeの施策について、以下のページで詳しく解説しています。
【SSL化必須】Chrome「全HTTPサイトに警告表示」でどうなる?2018年7月開始
2018年7月リリースのGoogle Chrome 68から、SSLで暗号化されていない(URLが「http://」で始まる)全てのホームページを閲覧した際に、アドレスバーに「保護されていません」と警告が表示されるようになります。ここでは、これによってどんなことが起こるのか、サイトのSSL化に関するGoogleの考え方、今後のSSL事情をわかりやすくまとめました。 今回実装の新仕様「非SSLページ…
そのためWebサイト上でサービスを提供している事業者は、常時SSL化が必要になりました。仕事が成り立たず、収益が落ちる可能性があったからです。これらの施策を、Googleはむやみに実施した訳ではありません。常時SSL化を進める必要があると考えたからです。その理由は次の章でまとめています。
常時SSL化にする理由
以下3点に絞りポイントを整理しています。
セキュリティ向上
インターネットに公開されているWebサイトは、誰でも自由に公開し、いつでもどこからでもアクセスされるのが原則です。そこで悪意をもったユーザーには、防御し損害を食い止める対策を継続的に実施しなければなりません。主な対象は、盗聴や改ざん、なりすましなどの行為です。
常時SSL化により、ドメインを所有していることが証明されます。例えば、同じドメインで第三者が偽のWebサイトを公開する不正行為を防ぐことができます。
Webサイト表示の高速化
常時SSL化によりHTTP/2という通信方式が利用でき、Webサイトを高速に表示することが可能です。HTTP/2は非SSLページでは動作しないため、まずは常時SSL化していきましょう。HTTP/2について、以下の記事で詳しく解説しています。
【図解】HTTP/2って?HTTP/1.1との違いと導入メリット・課題まとめ
HTTP/2とは、ウェブページのデータをウェブサーバーから取得する際の新しい通信方法(プロトコル)です。前のバージョンのHTTP/1.1は1999年に公開されましたが、HTTP/2はそれから約16年後の2015年に公開されました。 HTTP/2とは?HTTP/1.1との違い ここでは、ウェブサーバーからウェブページのデータを取得するためのプロトコルとして現在よく使われているHTTP/1.1とHTT…
その結果検索順位が改善される!
Webサイトの内容はもちろんですが、さらに安全で表示速度が優れていると、Googleなどの検索エンジンで検索結果が上位に表示される可能性が広がります。その結果、Webサイトへのアクセスが増え、事業などの目標達成につながります。
以前になりますがGoogleでは以下のような情報を公開し、検索順位の考え方を公表しました。
【リンク】
HTTPS をランキング シグナルに使用します(Googleウェブマスター向け公式ブログ)
導入方法
それでは、常時SSL化実現のために何をどう進めればいいのでしょうか。こちらの章では、より安心できる有料のSSL証明書について概要や取得、設定方法などを説明しています。
カゴヤのサーバー研究室では、SSLの概要や無料のLet’s Encryptについて別の記事も公開しています。必要に応じてご参照ください。
【図解】SSLとは?SSL/TLSの仕組みについてわかりやすく解説します
インターネット上で各種のサービスを利用する際、行き来している大切な情報が書かれているデータは、どのようにして守られているのでしょうか。その実現にはSSL/TLSという技術が役立っています。まさに今ご覧になっているこちらのページでも、この安心できる仕掛けが動いています。現在は導入が楽になり、多くのWebサイトで使われるようになりました。こちらの記事ではSSL/TLSの仕組みと導入方法について、2回に…
【無料SSL入門】「Let's Encrypt」とは?設定で挫折しない!使い方解説
「Let's Encrypt」では、無料でSSL証明書を発行できます。無料のため不安に感じてしまう安全性や、ややわかりづらい設定方法、そしてサイトのリダイレクト方法をご紹介しています。それでは早速見てみましょう。 ※上記はInternet Security Research Groupの商標です。すべての権利はInternet Security Research Groupが保有しています。 「L…
(1)有料のSSL証明書を選ぶ!
より信頼性の高いSSL証明書を導入する必要があるのは、特に以下のような場合と考えます。
(1)Webサイトでの事業規模が大きい
(2)提供商品やサービスのブランドイメージを維持する
無料のLet’s Encryptなどを利用しても、ブラウザ上部には鍵マークは表示されます。ドメインさえあれば簡素な手続きで誰でも取得でき、「本人確認」は必要ありません。「本人確認」がないと、なりすましなどのリスクがどうしても残ります。
一方、有料のSSL証明書を利用すれば「本人確認」の審査があるため、ドメインと事業者名やブランド名を結び付けることができます。これにより、Webサイト利用の信頼度が向上します。さらに、なりすましなどの被害を防止する効果もあります。
(2)SSL証明書を購入する!
選択方法
実は、有料のSSL証明書が数多く提供されています。予算や目的、手続きの煩雑さなどを比較し、ちょうどいいものを選択していきましょう。カゴヤ・ジャパンの例では、「企業用」「個人用」「テスト用」の3つの基準で、おすすめのSSL証明書が案内されています。詳しくは以下のページをご覧ください。
SSLサーバー証明書の料金プランに関するページです。
申し込み方法
カゴヤ・ジャパンの場合では、以下のページに概要や手続き方法などがまとめられています。SSL証明書の種類により、「審査」のため書類提出などの手続きのため、4週間程度発行まで時間がかかる場合があります。カゴヤ・ジャパンのコントロールパネルから申込みすれば、数日で発行される種類もあります。電話による本人確認に時間がかかる場合があるため、時間に余裕を持った手続きを推奨します。
申込はレンタルサーバー会社のコントロールパネル上で、ほとんどの手続きができます。必要な書類がある場合は、コントロールパネル画面上またはメールで案内があります。
(3)設定のポイント!
これまでhttpでアクセスされていたページを自動的にhttpsで表示する方法!
非SSLのWebサイトを常時SSL対応にしても、httpでアクセスされるとそのままhttpで表示されるだけで、常時SSL化の恩恵を受けることができません。そのためhttpからhttpsに自動的に転送する設定をおすすめします。方法は、「.htaccess」というWebサーバーを制御するファイルを用い、以下の例のうちいずれかを書き込みます。
【記述例1】
RewriteEngine on
RewriteCond %{HTTP:X-Forwarded-Proto} !https
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]
【記述例2】
RewriteEngine on
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
【ここに注意!】
(1).htaccessは重要なファイルで、書き方を間違えるとWebサイトが表示できなくなるので、注意して作業しましょう。
(2)書く内容は、Webサーバーにより異なります。契約しているレンタルサーバー会社のマニュアルをよく確認し、適切な内容を選択しましょう。
上記のコマンド例は、いずれもカゴヤ・ジャパンのマニュアルの項目「■常時SSLを有効にする( https リダイレクト )」に記載されています。詳しい内容は以下の記事でもご紹介しています。
ホームページを作成したことがある方なら、.htaccess(ドットエイチティアクセス)という言葉を聞いたことがあるでしょう。一方で、何か便利なことができるようだけれど専門用語が難しくて一体どんなものなのか分からないという方も多いのではないでしょうか。この記事では、そもそも.htaccessとは何かといった基本から設定方法まで簡単に解説しています。 .htaccessとはそもそも何? .htacce…
セキュリティを向上する対策例
以下の内容を記述すると安全性が高まります。
【記述例】
Header add Strict-Transport-Security "max-age=31536000"
上記のコマンド例は、カゴヤ・ジャパンのマニュアルの項目「■常時SSLを有効にする( HSTS 有効化 )」に記載されています。
(4)WordPress対策
ここまでの設定が、WordPressで管理するWebサイトでは動作しない場合があります。たとえ問題点がわかっても、修復方法がわからない場合も少なくありません。その場合は、SSL化に特化したWordPressの専用プラグインを検討されてみてはいかがでしょうか。
代表的なプラグインは「Really Simple SSL」で、全世界で4百万以上インストールされ、更新も頻繁に行われています。
【リンク】
Really Simple SSL
(5)それでもブラウザの鍵マークが出ない場合
Webサイト上の画像を表示(リンク)する場合に、httpで指定している場合などに発生します。こちらの場合は、指定方法をhttpからhttpsに修正すると解消し、無事に鍵マークは表示される可能性があります。こちらの修正方法はいくつかあり、詳しくは「ミックスコンテンツ(混合コンテンツ)」対策などの情報を確認することを推奨します。
【リンク】
混合コンテンツとは
(6)連携しているサービスの設定変更
httpから始まるURLで申し込みをしているサービスは、httpsに変更しましょう。一例としてアクセス解析サービスGoogle Analyticsや、診断ツールSearch Consoleなどがあります。
SSL証明書更新時の注意点
2020年9月1日より、Apple社はブラウザ「Safari」についてSSL証明書の最長有効期間を398日にしました。その対応としてカゴヤ・ジャパンでは、これから新規にSSL証明書を購入する場合、有効期間「1年」を選択するように告知しています。
まとめ
ここまでいかがでしたか。常時SSL導入の必要性、特に有料のSSL証明書がなぜおすすめなのかをまとめました。カゴヤ・ジャパンでは、様々な証明書が利用できます。ぜひ導入し、事業などの目標達成にお役立てください。
「WordPressを導入したい」「色々な用途に使いたい」という人に!
なんでもできるKAGOYAのレンタルサーバー
法人利用率80%、多数の導入実績。
自社国内データセンターで25年以上の実績。障害に強いサーバー構成で、多くの法人様から選ばれています。
サーバー移転に伴う作業も専門スタッフにおまかせ下さい。