ウェブサイトとブログを常時SSL化するための準備

セキュリティイメージ
イメージ
今回はBloggerとは関係ない、運営している会社のウェブサイトとオフィシャルブログについてである。これらのサイトは、同じ独自ドメインの法人向けホスティングサービスで管理している。
ある日、使用できる容量の確認しておこうとコントロールパネルを開いたら、「独自ドメインSSL証明書のご提供と、Webディスク増量について」というお知らせが来ていた。これはかねてより懸案の常時SSL化が実現可能になったのでは?と思い、いろいろ調べてみた。ちなみにこの「ウラの裏」ブログは、Bloggerさんのおかげで最初から常時SSLである。

各ブラウザーが常時SSL化を推奨

2017年、Googleが「httpサイトとhttpsサイトで同じ条件の場合httpsサイトのほうを上位にランクキングさせる」という常時SSL化推奨を発表して以来、Firefoxやその他のブラウザーも追随して同じように常時SSL化を推奨するようになった。さらになりすましサイト防止や、個人情報入力やウェブ決済の際にユーザーが安心してそのサイトを利用できるかどうか確認できるよう、アドレスバーに「保護された通信」やカギマークが表示されるようになった。これはそのサイトが信用できるかどうかの判断基準のひとつにもなるため、SEOにおいても重要な取り組みだ。

今年の1月、新年の新しい取り組みとしてこの常時SSL化を一度検討したのだが、以下理由により一度保留になっていた。
  • 当社のようなSOHOの会社には費用的負担が大きい
  • 費用面がクリアできたとしても、自分たちのウェブ知識では対応や管理が難しそう
しかし冒頭に記述の通り、コントロールパネルにあったお知らせを見る限りでは、どうも基本ホスティング料金内で常時SSL化が出来るような記述である。コントロールパネルのメニューの一番下に、今まではなかった「SSL証明書の設定」というボタンがあったので、さっそくクリック。その画面には

「独自ドメインSSL機能がご利用になれます。このオプションサービスのご利用にはお申し込みが必要です。」

と書いてあった。その下のボタンが「申し込み」ではなく「設定する」だったので、もう少し内容を見てみようとクリックしたら、

「独自ドメインSSL機能の申し込みが完了しました。」

と表示されてしまった。「おっと、ワンクリック詐欺か?」軽い気持ちでクリックしたのだが、“オプション”と書いてあったこともあって「余計な経費がかかってしまうのでは?」と心配になって調べ始めたことが、この件の始まりである。

情勢を見ての判断なのか?

あらためて契約しているホスティングサービスのウェブサイトを確認すると、「無料SSLサーバー証明書」というページがあり、その最初に大きな文字で

「ベーシックホスティングのサーバーにドメイン認証型 SSLサーバー証明書(認証局 Let's Encrypt)を無料で適用するサービスです。お客様のサイトを簡単に無料でSSL化することが可能です。」

と書いてあった。なんだ、基本料金内のサービスではないか。おそらくだが、Googleをはじめ各ブラウザーサービスがこぞって常時SSL化を推奨してのホスティングサービスの判断なのだろう。それならこれを利用して、一度保留になっていた常時SSL化に取り組んでみようということになった。

現時点で利用できるサービスの仕様は以下の通り。
  • 認証局:Let's Encrypt
  • 有効期限:発効日を含む90日間
  • 更新頻度:自動更新
  • 認証レベル:ドメイン認証型(DV認証)
  • サイトシール:なし
  • 発行時間:通常 数分~数時間
  • ドメイン名・文字数:最大64文字(「www.」を含む)
  • 必要書類:不要
  • 取得/登録方法:コントロールパネル
  • (ホスティングサービスのウェブサイトより)
認証局は日本のものではないが、無料で利用できる自動化されていてオープンな認証局とのこと(Let's Encryptのサイトより)。公共の利益を図る目的でInternet Security Research Group(ISRG)が運営している。ならばNortonやシマンテックと同じようなものか。
自動更新なのはありがたい限りだが、認証レベルの「ドメイン認証型(DV認証)」というのは3タイプあるセキュリティレベルでは一番下のレベルらしい。その上は企業自体の認証もカバーするため、よりセキュリティが強化されるということだ。現在当社ウェブサイトおよびこのブログでは、ウェブ決済を行っていないのでその辺は問題ないだろう。

常時SSL化のための準備

ここから先は自社で行うべき作業のために、何から準備し行っていくかの覚え書である。

1.SSL証明書の作成とアップロード

コントロールパネルで行ったことは、まだ無料SSLサーバー証明書サービスの申し込みをしただけで、まったくその後の設定をしていない。まずは証明書の発行とアップロードだ。「導入ガイド」に沿ってここまでしておかなければ、話が始まらない。

2.htmlファイルの確認

次にアップロードしている全てのファイルに記載されている自社の絶対パスのhttp部分をhttpsに書き換えなければならない。
そして各外部アプリケーション(jquery、チャットサービスのようなjavascript関連)が常時SSL化サイトに対応しているかどうかを全てチェック。特にオフィシャルブログに掲載している広告については、各広告配信サービスが常時SSL化に対応しているか確認する必要がある。

3..htaccessファイルでのリダイレクト設定

ユーザーがhttpサイトを訪問したとき、自動的にhttpsサイトにリダイレクトされるように.htaccessファイルに書いておくことがある。これは「導入ガイド」に書いてあることをそのまま追記すればよいだけのようなので問題ないだろう。

4.その他

常時SSL化については、より専門的なブログを書いている人がたくさんいるので、それらを参考にしたい。特にデメリットについて。常時SSL化によって何が障害となるかを確認しておく必要がある。

業務上、通常のウェブサイト運営についてはある程度の知識は得たつもりだが、独自ドメインとはいえホスティングサービス会社にまかせっきりで、こういったサーバーに関することについてはまるで知識がない。しかし、SOHOの会社ならではの「自分たちで出来ることは自分たちで」の精神で、利用できるサービスは最大限利用させてもらい、どうにか常時SSL化を実現させるつもりだ。

とりあえず週末はこの作業にかかりっきりになりそうである。
スポンサーリンク

コメント