WEBサイトの常時SSL化
ホームページをお持ちの方、常時SSL化もうされましたか?
常時SSLとは、ウェブサイト内のログインページやフォームなど特定のページだけでなく全てのページを暗号化することを常時SSLといいます。
常時SSL化のメリットは、
- ウェブサイト(ホームページ)の訪問者への安心や安全の提供
- セキュリティーの強化
- 検索におけるSEOの向上
です。
Google chromeやfirefox、Safariでもアドレスバーに、SSL化されているサイトには🔒マークを表示し、「保護された通信:お客様がこのサイトに送信した情報(パスワード、クレジット カード番号など)が第三者に見られることはありません。」と鍵マークにマウスポインタを合わせると表示されるようになっています。
鍵マークがないサイトにはchromeでは○の中に「i」こんな風に表示がされます。
↓
ホームページのアドレスが表示されるところに、緑の鍵マークやただの🔒(鍵マーク)、保護された通信、などが出て入れば安全なサイトと証明されています。
またSSL化されているサイトは、
アドレスがhttp://〜〜ではなく、 https://〜〜となっています。
https://となっていても、鍵マーク🔒が表示されないサイトもあります。
例えばこのAkaimi-KitchenのサイトのPhotographyやFoodsのページです。
このページもSSL化を試みましたが、ワードプレスのプラグインがこのSSL化に対応せず、flickrの写真サイトもSSL化されているにも関わらず、http://で表示してしまうためにSSL化ができていません。(後日プラグインを変えて修正予定)
ただ、この鍵マーク🔒がないサイトも危険かといえばそんなことはなく、クレジットカード情報や個人情報を入力するようなページではなく、ただ見るだけのページであればほぼ危険はありません。逆にいうと、お買い物サイトや自分の情報を入力するときなどは、必ずこの鍵マークで保護された通信と表示されているページでなければ、入力してはいけません。
昨年Googleが、Chromeにおいての安全強化に向け、暗号化されていないページにはアドレスバーに「安全ではないサイト」というマークを表示するようになり、違和感を感じませんでしたか?(firefoxもSafariも同様)。
なにこれ?と思いながらも見ないふりでいましたが、鋭い会社の方から、この状態は困るのでSSL化をお願いしたい!というご依頼をいただきました。
ネットでの詐欺などが問題となる現在、訪れたサイト(ホームページ)が安全ではないと書かれていたら、とても心配になるでしょう。特に会社のホームページであれば信用問題ですものね。
そんなこともありホームページを持つ会社は常時SSL化を早急に!というような流れになっています。
自分のホームページを常時SSL化するにはどうすればいいの?
独自SSL(独自ドメインに対して設定するSSLサーバー証明書)の種類
- ドメイン認証:DV(Domain Validation)
- 企業認証:OV(Organization Validation)
- EV(Extended Validation)
この3つの認証、認証レベルが1から低い順で3が最強レベルの認証です。サイトの暗号化に関する機能は全く同じなのだそうです。
1.ドメイン認証
ドメインの使用権を保有していれば、比較的低価格・短時間で取得が可能です。しかし、ウェブサイト運営者(会社や団体)の実在性については審査対象ではありません。サイトには「保護された通信」と安全であることが表示されます。価格も安く、レンタルサーバーで無料で設定することも可能です。重要な個人情報などを取り扱うことのないコーポレートサイトなどが利用
2.企業認証
ドメイン使用権の有無に加えて、ウェブサイト運営者(会社や団体)の実在性を証明する証明です認証強度が強く信頼性の高い認証でフィッシング詐欺対策にも有効です。
主に支払・決済に関する情報を取得する必要のあるネットショップなどが利用
3.EV認証
ドメイン使用権の有無、サイト運営団体の実在性に加え住所の実在なども厳格に審査され認証された証明です。銀行などのサイトのアドレスバーを見ると企業名+国を表すイニシャルが緑色で表示され、間違いなく安全を確認することができます。
官公庁や銀行などが利用
これらの認証は「認証局」という組織が審査を行い認証をするのですが、その認証局(シマンテックとかグローバルサインとか・・・)にも信用度のレベルがあるそうです。
信用度の高い認証局のEVを受けると、サイトは高い信頼のある証明を得られて、とってもお金がかかる。ということになります。
レンタルサーバーの無料独自SSLを設定することでSSL化は可能ですが、より高い信頼度の認証を得るためには、認証局を選び適切な種類の認証を申し込む必要があります。
今回のSSL化作業に伴うメモ_φ(・_・
今回の作業としては、X2サーバーがXサーバーにサービスが統合されるという事態もあり、ワードプレス の5GBあるサイトをX2サーバーからXサーバーへ引っ越し、そこからSSL化という作業を行いました。
手順
- X2からXへの移行申請
- ワードプレスサイトX2からXへ引っ越し
・X2のワードプレス をエクスポート(All-in-One WP Migration,ワードプレス サイトが512MBまで。それ以上は有料のプラグインAll-in-One WP Migration Unlimited Extensionを使うべし)
・Xサーバーにワードプレスインストール(All-in-One WP MigrationとAll-in-One WP Migration Unlimited Extension(512MB以上なら))プラグインを追加有効にする
・プラグインを使ってさっきエクスポートしたやつをインポート - hostsファイルを設定して(hostsファイルにxxx.xxx.xxx.xxx example.comを追加して(xxx.xxx.xxx.xxxにはHPのIPアドレス example.comにはこれから4で設定する予定のドメインを)保存、確認後はもどす)Xサーバーでのワードプレスサイトの動作確認。
- ネームサーバー 書き換え
- SSL設定
- SearchRegexでサイト内のhttp://をhttps://にしなくてはいけないところを検索置き換え。メニューやウィジェット内も
- .htaccess内にリダイレクト文追加
参考ページ https://nelog.jp/wordpress-ssl - Google Search Consoleでhttps://化したURLを登録する。
以上でした。
ドメイン管理はX2のままで問題ないと言っていたけど、落ち着いたら移管手続きをする予定です。覚書まで。