ノウハウ
[初心者向け]

永久保存版!常時SSLのメリットと設定方法

ノウハウ
いきを

ども、時短で働くWebディレクターのいきをです。

魚を食べている息子に、「骨があるから気をつけてね」と伝えたところ、後日みかんを食べているときに中の皮をぺっ!とはきだして、
「ほね!ほねあった!!」
と教えてくれました。
日本語って難しいですね。

常時SSLってほんとに必要?

昨年からSSL証明書の暗号化形式がSHA-1だとブラウザで警告表示がでたり、今年に入ってからはそもそもHTTPS対応していないサイトは警告表示がでたり、SSL関連はここ数年慌ただしく変化しています。
それだけ世間のセキュリティへの意識も高まっているということいだと思いますが、そもそも常時SSLってほんとに必要なの?めんどくさいんだけど。。。という方に、常時SSLのメリットと設定方法をご紹介します。

常時SSLのメリット

SSL証明書の役割
SSL証明書の主な役割は2つ、通信の暗号化とドメイン・サーバの所有者の証明です。常時SSL化することでそれらがどうメリットになるかを簡単に説明します。

暗号化通信でユーザーの情報を守る

以前は個人情報やクレジットカード決済のページだけHTTPS化し、通信を暗号化する対応のサイトが多かったのですが、サイトを常時SSL化すると、悪意のある第三者からフォーム以外の部分でもユーザーの情報を守ることができます。
サイトが常時SSL化されていない場合、Wi-Fiスポットで接続している他人のCookieに入り込むことが可能となってしまい、ユーザーのログイン情報などが盗聴され、なりすましやアカウント乗っ取りをされるケースもあります。
サイト運営者としてはユーザーの情報はきちんと守り、安心してサイトを利用してほしいですね。

なりすましサイトを防ぐ

SSL証明書にはサイトの所有者の証明をする役割があります。ブラウザ上でサイト所有者情報を確認することができるため、なりすましを防ぐことができます。
とくに企業認証やEV SSL証明書では本当に実在している会社なのかを調べるために、電話や書類での確認があり、厳格な審査のうえでSSL証明書が発行されています。
常時SSL化すれば、サイト内の全てのページで所有者の情報が確認できるようになります。
なりすましサイトではないことをユーザーに知ってもらい、安心感をもってサイト内を回遊してもらえます。

 

さらに最近ではこんなメリットも。。。

検索順位によい影響を与える

検索エンジンの最大手であるGoogleは、WebサイトがHTTPS(常時SSL)かどうかを検索順位の決定要因にすることを発表し、すべてのWebサイトオーナーに対してHTTPからHTTPSへの切り替えを推奨しています。
またGoogleからは、2015年12月18日に、常時SSL化されたWebサイトでHTTPページとHTTPSページが同じコンテンツであれば、HTTPSページを優先的にインデックスするというアナウンスがありました。
競合他社に検索順位で優位にたつためにも、常時SSL化を行っておきたいところですね。

ブラウザで「保護された通信」などプラスの表示がされる

ブラウザで「保護されていません」という文字が表示されていたら、ユーザーからしたらギョっとします。
ECサイトや個人情報やクレジットカード情報を扱うサイトであれば、ユーザーは不信感をもって離脱してしまう可能性が高くなり、企業サイトであれば会社の信用にも影響がでます。
ChromeやFirefoxでは今年の1月から常時SSL化されていないサイトでの警告表示が厳しくなり、反対に問題なく常時SSL化されているサイトについては「保護された通信」とユーザーに安心感をもってもらえる表示をしてくれるようになりました。
「Chrome」でHTTP接続サイトへの警告表示、1月に開始へ

「Firefox 51」公開、安全でないHTTPサイトに警告表示

chromeでの警告表示は現在3種類

「保護された通信」と表示される場合には、SSL証明書がちゃんと設定されており、HTTPSによる暗号化通信が行われています。

chromeの警告表示

HTTPのサイトは!マークの表示がでます

保護されていません

「保護されていません」と赤字ででる場合。これはURL上はHTTPS化されているのに、SSL証明書が正しくない場合、認証局発行のSSL証明書でない自己証明書を利用している場合には、警告表示がでるようです。

SSL証明書の状態を確認する方法

常時SSLの設定後は。デベロッパー・ツールでエラーの原因などを確認できるので、F12で開いて正しく設定できているか確認しましょう。

コンソール

常時SSL化の前の確認事項

サーバーがHTTPS化に対応しているか

安価なレンタルサーバーを利用している場合、共有SSLでの提供しかしていない場合があります。共有SSLだと独自ドメインでのHTTPS化ができないため、独自SSLで対応可能なサーバーに移行する必要があります。

参照ファイルのパスの記述を確認

参照しているファイルのパスが絶対パスになっている場合はhttp://を全てhttps://にしないといけません。参照しているファイルがhttpsとhttpで混在しているとエラーが表示されます。外部サービスとの連携時にもhttpの読み込みをしている場合にはエラーがでるので注意が必要です!
WordPressを利用している場合にはプラグインなどでパスを一括置換できるものを利用するのがオススメです。

サイトを常時SSL化する方法

  1. SSL証明書を用意する
    SSL証明書はより高度な安全性を持つ2048bitのSSL証明書を利用してください。
    SSL証明書の選び方に困ったら、こちらのサイトから探せます データホテルSSL サイトの種類から選ぶ
  2. SSL証明書をサーバにインストールする
    インストール方法は購入したSSL証明書の認証局のサイトを参照ください。
  3. HSTS(HTTP Strict Transport Security)を設定する
    HSTSを設定することで、モダンブラウザではユーザーがHTTPで接続をした場合に強制的にHTTPSへリダイレクトをしてくれます。またその後にHSTSが設定されたドメインへアクセスした場合には自動的にHTTPSで接続をしてくれます。
    ※サブドメインを利用している場合にはサブドメインにもHSTSの設定が適用されてしまう場合があるので注意が必要です。
  4. リダイレクト設定
    HSTSが未対応のブラウザに対してはHTTPでの接続が行われてしまうため、HTTPSへのリダイレクトを設定する必要があります。リダイレクトは301リダイレクトを行うとSEOにも影響が出にくいです。
  5. CookieにSecure属性を指定
    CookieにSecure属性を指定することでHTTPS通信の場合でのみCookieが送信されるため、HTTP利用時の盗聴を防ぐことができます。
  6. Googleのウェブマスターツールの設定
  7. HTTPSとHTTPのURLは別々のURLとして認識されるため、HTTPSのURLをウェブマスターツールでインデックスされるよう設定します。
    ※robots.txtなどでHTTPSのURLへのアクセス制御を行っている場合は外してください。

httpsとhttpが混ざった混在コンテンツの場合は上記に記載したようにhttp→httpsへの置換が必要となります。

 

ユーザーの情報を守る観点から常時SSLは今後もっと普及していくと考えられます。
これからサイトを立ち上げる際には、常時SSLでのサイト構築は必須です。

企業の運営するサイトであれば、ちょっと高いですがシマンテックのSSL証明書がオススメです。

  • ウィルスソフトとして知名度の高いノートンのサイトシールを利用できるのでユーザーが安心しやすい
  • Webサイトのマルウェアスキャン機能がついている
  • 万が一、暗号化技術が破られた場合には保証がつく NetSure プロテクション・プラン

ちなみに私が担当しているSSL証明書のサイト  データホテルSSLというのがありまして。。。いまならキャンペーンもやってます!

SSL証明書についてもっと知りたい方はデータホテルSSLの初めてのSSLに詳しく記載しているのでオススメです。

この記事を書いた人

いきを

時短で働くWebディレクター。 好きな食べ物は米。

この記事のタグ

オススメの記事

この記事を読んだ人にオススメのサービス

データホテルSSL

SSL証明書が最大68%OFF!国内正規代理店だから実現できる格安価格。シマンテック、ジオトラスト、サイバートラスト、グローバルサインのSSL証明書の取り扱いを行っています。

ページトップへ