作成したWebサイトにSSLを導入してみよう!

近年、インターネットで買い物や情報交換を行うことが当たり前になってきました。

Webサイトへアクセスし、問い合わせフォームやカートシステムを利用した際に様々な情報が送信されますが、これらのデータの送受信中に悪意のあるユーザーによって通信内容の傍受・盗聴・改ざんが行われるケースもしばしば見受けられます。最近では個人情報の漏えいがニュースで取り上げられる事も珍しくなく、Webサイトを運営するにあたりセキュリティ対策を考慮して設計することが必要になってきています。

そんな中、セキュリティ対策として「SSLの導入」が有効な手段の一つとされています。

SSLをWebサイトに導入し、より安全なWebサイトを構築しましょう。

 

 

■SSLとは

■SSL導入のメリットと注意点

■SSL導入方法

 

 

■SSLとは

SSL(Secure Socket Layer)とはインターネット上でデータ送信を行う際に暗号化して送る仕組みのことです。

Webサイトを閲覧・利用する際は必ずデータ送信が行われますが、データを暗号化し送受信することにより、送信中のデータの傍受・改ざんを防ぐことができます。また、情報が改ざんされていない証明にもなります。

SSLを組み込んだサイトのURLは「https」で始まり、ブラウザに鍵のマークが表示されます。その鍵マークをクリックすると証明書情報が開示されるので、サービス提供者が誰なのかを確認することができます。

 

 

 

■SSL導入のメリットと注意点

SSL導入にはもちろんメリットがありますが、注意しなければならない点もあります。これらを把握して導入を検討してみてください。

 

【メリット】

・データ送受信の暗号化によるサイトセキュリティ向上

SSL導入にはもちろんメリットがありますが注意しなければならない点もあります。これらを把握して導入を検討してみてください。

 

・Webサイトの信頼性を提示できる

暗号化通信を行っていますという指標になるので、Webサイトを訪れたユーザーに安心感を与えることができます。

 

・検索順位の優遇

ユーザーがより安全に多くのサイトを閲覧できるよう、2014年にGoogleは「SSL化しているサイトを検索結果において優遇する」と発表しました。

そのため全ページSSL対応(常時SSL対応)することで、検索順位が優遇されることがあります。

 

・リファラ損失の対応

リファラ情報とは、アクセスユーザーが直前まで滞在していたサイトのデータのことです。

SSL対応していなかった場合、SSL化されたサイトから遷移してきたときにこのリファラが取得できません。

常時SSL対応することにより、リファラを欠損なく取得できるためサイト分析に貢献できます。

 

・HTTP/2対応ブラウザによる通信高速化

HTTP/2 とは、データ送受信の高速化を図る通信方式です。HTTP/2対応のブラウザを利用する際には、常時SSL対応していることが必要です。

常時SSLにしておくことでWebサイト表示の高速化に貢献できます。

 

 

【注意点】

・導入費用がかかる

SSLを導入するには証明書の発行が必要です。

証明書にはいくつか種類があり、種類によって信頼度や承認を得るために必要な情報に違いがあります。

また導入するサーバーによって証明書設定手数料もかかります。

証明書は最低1年で更新する必要があるので、運用コストの増加は避けられません。

 

・一部の広告や外部システム埋め込みなどの利用ができない

SSLを導入したページでは、読み込まれるファイルは全てSSL領域に存在している必要があります。

例えば画像やCSSファイル、JavaScriptファイルや外部システムも該当します。

特に広告や動画埋め込みなどの外部システムがSSLに対応していない場合、SSLエラーが表示されるのでサイト構築時には注意が必要です。

すでに構築済みのサイトを常時SSL対応する場合も読み込んでいるファイル全てをSSL化しなければいけないので、対応できないサービスを利用している場合は利用を見直す必要があります。

 

他にも既存サイトを常時SSL対応する場合、ソーシャルアカウントのリセットやGoogle Search Console の登録し直しなど、URLの変更に伴う対処が必要になります。

 

 

 

■SSL導入方法

SuiteXでは、サイトマネージャーからSSL証明書の入手が可能です。

「独自SSL」の「証明書の取得代行」をクリックすることで取得手続きが行えます。

もし取得代行を利用せず独自で証明書を取得する場合は、「CSR・秘密鍵の作成」からCSRを作成します。

CSR(Certificate Signing Request)とはサーバー証明書発行に必要な証明書署名要求のことです。

申請する団体の組織名、所在地、URLや公開鍵等の情報を暗号化したテキストファイルです。これを作成し、認証局へ申請することで、証明書の発行が行われます。

 

CSRの作成はサイトマネージャーの「独自SSL」→「CSR・秘密鍵の作成」から行えます。

 

図1 CSR・秘密鍵の作成

図1 CSR・秘密鍵の作成

 

ここで表記するコモンネームはSSL化する対象のURLになりますので、正しく入力してください。

例えば、

 

https://www.hogehoge.com

 

をコモンネームとして申請した場合、

 

https://hogehoge.com

 

上記URLにはSSL適用はできません。

 

あくまでコモンネームで申請したURLのみに適用されます。

サブドメインも含めたワイルドカード証明書も認証局によっては対応可能なので、用途に合わせてCSRを作成してください。

 

作成が完了した後、「ダウンロード」ボタンをクリックするとCSR情報を含んだテキストファイルをダウンロードすることができます。

ファイルの中に記載されている 「 —–BEGIN CERTIFICATE REQUEST—– 」〜「 —–END CERTIFICATE REQUEST—– 」までの部分になります。

証明書申請時に、この箇所を専用フォームに貼り付けて申請を行います。

 

SuiteXでは証明書申請代行を申し込むことで、申請からサーバーに適用するまでを代行で行います。

「独自SSL」→「証明書の取得代行」から認証局を選択し申請フォームから処理代行を依頼します。

また、独自で証明書を取得していた場合は「独自SSL」→「SSL設定依頼(証明書提出)」から行うこともできます。

 

上記処理が終わればサイトにSSLを適用することができます。

しかしこの状態だとhttpでのアクセスも可能なので、.htaccessで

 

<IfModule mod_rewrite.c>

   RewriteCond %{HTTPS} off

   RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [R,L]

</IfModule>

 

と記述することで、httpからアクセスしてきたユーザーをhttpsへリダイレクトさせることができます。

 

常時SSL対応を行うことでより安全で快適なWebサイトをユーザーに提供していきましょう。

 

 

 

 

 

うちだ
サービスクリエーション本部所属        (監修:とみなが)       

オススメ記事