ウェブサイトとブログを常時SSL化するための準備

セキュリティイメージ

今回はBloggerとは関係ない、運営している会社のウェブサイトと、オフィシャルブログについてである。

これらのサイトは、同じ独自ドメインの法人向けホスティングサービスで管理している。

ある日、使用できる容量の確認しておこうとコントロールパネルを開いたら、「独自ドメインSSL証明書のご提供と、Webディスク増量について」というお知らせが来ていた。

これは、かねてより懸案の常時SSL化が実現可能になったのでは?と思い、いろいろ調べてみた。

ちなみに、Bloggerさんのおかげで、このブログは最初から常時SSLである。

各ブラウザーが常時SSL化を推奨

2017年、Googleが「httpサイトとhttpsサイトで同じ条件の場合、httpsサイトのほうを上位にランクキングさせる」という常時SSL化推奨を発表した。以来、Firefoxやその他のブラウザーも追随して、同じように常時SSL化を推奨するようになった。

さらに、なりすましサイト防止や、あるいは個人情報入力やウェブ決済の際に、ユーザーが安心してそのサイトを利用できるかどうか確認できるよう、アドレスバーに「保護された通信」や、カギマークが表示されるようになった。

これは、そのサイトが信用できるかどうかの判断基準のひとつにもなるため、SEOにおいても重要な取り組みだ。

今年の1月、新年の新しい取り組みとして、一度この常時SSL化を検討したのだが、以下理由により一度保留になっていた。

  • 当社のようなSOHOの会社には、費用的負担が大きい
  • 費用面がクリアできたとしても、自分たちのウェブ知識では対応や管理が難しそう

しかし、冒頭に記述の通り、コントロールパネルにあったお知らせを見る限りでは、どうも基本ホスティング料金内で、常時SSL化が出来るような記述である。

コントロールパネルのメニューの一番下に、今まではなかった「SSL証明書の設定」というボタンがあったので、さっそくクリック。その画面には、

「独自ドメインSSL機能がご利用になれます。このオプションサービスのご利用には、お申し込みが必要です。」

と書いてあった。

その下のボタンが「申し込み」ではなく「設定する」だったので、もう少し内容を見てみようとクリックしたら、

「独自ドメインSSL機能の申し込みが完了しました。」

と表示されてしまった。

「おっと、ワンクリック詐欺か?」

軽い気持ちでクリックしたのだが、“オプション”と書いてあったこともあり、「余計な経費がかかってしまうのでは?」と、心配になって調べ始めたことが、この件の始まりである。

情勢を見ての判断なのか?

あらためて、契約しているホスティングサービスのウェブサイトを確認すると、「無料SSLサーバー証明書」というページがあり、その最初に大きな文字で

「ベーシックホスティングのサーバーに、ドメイン認証型 SSLサーバー証明書(認証局 Let’s Encrypt)を無料で適用するサービスです。お客様のサイトを、簡単に無料でSSL化することが可能です。」

と書いてあった。

なんだ、基本料金内のサービスではないか。

おそらくだが、Googleをはじめ各ブラウザーサービスが、こぞって常時SSL化を推奨してのホスティングサービスの判断なのだろう。それならこれを利用して、一度保留になっていた、常時SSL化に取り組んでみようということになった。

現時点で利用できるサービスの仕様は、以下の通り。

  • 認証局:Let’s Encrypt
  • 有効期限:発効日を含む90日間
  • 更新頻度:自動更新
  • 認証レベル:ドメイン認証型(DV認証)
  • サイトシール:なし
  • 発行時間:通常 数分~数時間
  • ドメイン名・文字数:最大64文字(「www.」を含む)
  • 必要書類:不要
  • 取得/登録方法:コントロールパネル
  • (ホスティングサービスのウェブサイトより)

認証局は、日本のものではないが無料で利用できる、自動化されていてオープンな認証局とのこと(Let’s Encryptのサイトより)。公共の利益を図る目的で、Internet Security Research Group(ISRG)が運営している。

自動更新なのはありがたい限りだが、認証レベルの「ドメイン認証型(DV認証)」というのは、3タイプあるセキュリティレベルでは、一番下のレベルらしい。その上は、企業自体の認証もカバーするため、よりセキュリティが強化されるということだ。

現在、当社ウェブサイトおよびこのブログでは、ウェブ決済を行っていないので、その辺は問題ないだろう。

常時SSL化のための準備

ここから先は、自社で行うべき作業のために、何から準備し行っていくかの覚え書である。

SSL証明書の作成とアップロード

コントロールパネルで行ったことは、まだ無料SSLサーバー証明書サービスの申し込みをしただけで、まったくその後の設定をしていない。

まずは証明書の発行とアップロードだ。

「導入ガイド」に沿って、ここまでしておかなければ、話が始まらない。

htmlファイルの確認

次に、アップロードしている全てのファイル内に記載されている、自社の絶対パスの「http」を「https」に書き換えなければならない。

そして、各外部アプリケーション(jquery、チャットサービスのようなjavascript関連)が、常時SSL化サイトに対応しているかどうかを全てチェック。特に、オフィシャルブログに掲載している広告については、各広告配信サービスが常時SSL化に対応しているか、確認する必要がある。

.htaccessファイルでのリダイレクト設定

ユーザーがhttpサイトを訪問したとき、自動的にhttpsサイトにリダイレクトされるように.htaccessファイルに書いておくことがある。

これは、「導入ガイド」に書いてあることをそのまま追記すればよいだけのようなので、問題ないだろう。

その他

常時SSL化については、より専門的なブログを書いている人がたくさんいるので、それらを参考にしたい。

特にデメリットについて。常時SSL化によって、何が障害となるかを確認しておく必要がある。

業務上、通常のウェブサイト運営については、ある程度の知識は得たつもりだ。しかし、独自ドメインとはいえ、ホスティングサービス会社にまかせっきりで、こういったサーバーに関することについてはまるで知識がない。

なので、SOHOの会社ならではの「自分たちで出来ることは自分たちで」の精神で、利用できるサービスは最大限利用させてもらい、どうにか常時SSL化を実現させるつもりだ。

とりあえず、週末はこの作業にかかりっきりになりそうである。

コメント

タイトルとURLをコピーしました