SSL対応によるホームページのHTTPS化

ホームページにSSL(Secure Sockets Layer)を導入することで、ブラウザとサーバー間の通信が暗号化され、第三者による盗聴やなりすまし、改ざんといった行為を防ぐことができます。仮に、第三者に通信が盗聴されても暗号化されているため、内容を解読することができなくなります。

現在ではこのSSLがバージョンアップしたTLS(Transport Layer Security)という技術が採用されていますが、昔からなじみのあるSSLの名称が広く普及しているため、今でもそのままSSLと呼ばれているのが一般的です。あるいはSSL/TLSなどと呼ばれることもあります。

このSSL通信による暗号化に対応している場合、URLは通常の「http」にセキュアの「s」が付いた「https」で表示されます。

また、ブラウザ上では、このような鍵マークをクリックすることでも確認することができます。

(例:Firefoxの場合)

ブラウザの鍵マーク

このSSLに対応しているサイトは、以前まではお金を扱う金融機関やクレジット決済のショッピングサイト、あるいはメールフォームで個人情報を送信する企業サイトぐらいしかありませんでした。

けれども、2014年にグーグルがhttps対応を検索順位のランキング要素にすると発表したことで、個人サイトでもSEO対策で導入する人が多くなってきています。

SSL対応のメリット・デメリット

メリット

SSL対応は、個人情報を扱う企業サイトやクレジット決済が必要なショッピングサイトなどでは必須といえます。個人情報やクレジット情報が盗聴されたり、あるいは注文情報が改ざんされて大量の注文がされるなどのリスクがあるため、ユーザーとの通信を暗号化して安全性を確立しておくことが必要です。

このSSLに対応していることで安心して購入することができるため、購入されやすくなるメリットが期待できるでしょう。

また、2014年にグーグルが「HTTPS をランキング シグナルに使用します」と発表したことで、企業のみならず、個人でもSEO対策上の理由でhttpsに対応するホームページが増えてきました。

現在のところ、このhttpsページ対応による検索順位への影響は1%未満にすぎず、SEO効果のメリットはほんのわずかですが、今後は長い時間をかけて強化されていくとのことです。

デメリット

ページで読み込むリソースもhttpsに対応している必要があるため、サイト上で表示する画像のURLをhttpsに修正したり、外部プラグインについてもhttpsに対応したものを使用するなど、適切なサイトの修正がなされていないとブラウザ上で安全性が確立されていないと出てしまいます。

この接続は安全ではありません

せっかくSSLを導入しても、このような黄色い警告が表示されてしまうとかえって逆効果になってしまう可能性があります。この場合の具体的な修正方法については、こちらのページをご参照ください。

サイトにSSLを導入する際の実際の手順

特に、アフィリエイト広告の場合、アクセス数の計測で小さな画像がASPのサーバーから読み込まれる仕様になっているのが一般的です。ASPによってはこの小さな画像がhttpsに対応していないことが多く、現時点ではバナー画像なども非対応のケースが多いです。

テキスト広告のみで掲載することも可能ですが、アクセス数の計測はできなくなりますし、画像タグを削除するとASPの規約に違反してしまう可能性がありますので、広告の掲載はしずらくなるかもしれません。

加えて、SSLブランドや認証レベルによっては、数万円~数十万円程度の高額な費用がかかってしまうこともデメリットといえるでしょう。基本的に、ひとつのIPアドレスにひとつのSSL証明書しか発行されないため、レンタルサーバー側からSSL専用のIPアドレスが渡されますが、これが元で費用が高額になる傾向があります。

最近では、SNIと呼ばれるネームベースの格安SSLも利用できるようになってきましたので、年額数千円程度の格安で利用できる独自SSLもありますが、レンタルサーバーによってはこれら格安SSLを利用できないケースも多いです。

さらに、スマートフォンへの対応率はよいものの、フィーチャーホン(いわゆるガラケー)への対応率が低いブランドもあり、ガラケー対応の携帯サイトを作成している運営者にとっては、アクセス数が減少してしまう可能性もあります。

また、SSLはブラウザとサーバー間の通信を暗号化するものなので、sendmailによるメールフォーム送信など、サーバー内部のやり取りまで安全性を確立するには、また別の対応が必要になります。

上記のようなメリットとデメリットがあるため、外部ツールの対応状況なども踏まえて十分に検討してからはじめることをおすすめします。

共有SSLと独自SSLの違い

レンタルサーバーによっては、デフォルトで「共有SSL」機能を利用できることも多いですが、こちらは自分のドメインによるhttpsページではなく、レンタルサーバー会社提供によるURLになるため、その信頼性はいまいちといえます。

一方、この共有SSLに対して、自分のドメインでSSLに対応することは「独自SSL」などと呼ばれています。この自分のドメインをhttpsに対応する場合、具体的には認証された「SSLサーバー証明書」をサーバーにインストールして利用します。

サーバー証明書なので、基本的にはドメインの取得事業者ではなく、お使いのレンタルサーバーにて取り扱いしているブランドのSSLを申込みをするのが一般的です。この利用料金には非常に幅があり、SSLブランドや認証の難易度によって年額で数千円~数十万円程度の違いがあります。

有名なブランドには、シマンテック(旧ベリサイン)やグローバルサイン、あるいはジオトラストといったものがありますが、知名度の高いブランドは簡単なメール認証によるものであっても利用料金は高額になります。

  • シマンテック(旧ベリサイン)
  • グローバルサイン
  • ジオトラスト
  • セコム
  • サイバートラスト

一方、格安SSLにはRapidSSLやCoreSSLなどがあり、年間数千円程度でも利用することができます。格安ではあっても、暗号化に関する技術的な面ではそれほど違いはありません。

  • RapidSSL
  • CoreSSL
  • Let's Encrypt(無償)

ただし、一般的なSSLはひとつのIPアドレスにひとつの証明書しか発行されませんが、格安SSLはSNIと呼ばれるネームベースでのSSLとなっており、他のユーザーも同じIPアドレスを使うことになるため、このあたりに違いがあります。

料金の違いについては、専用IPアドレスの有無やサイトシールの有無、携帯サイトへの対応率、ブランドイメージ、あるいは認証レベルの違いによるものと思われます。

個人サイトの場合は、SNIなどの格安SSLを利用するとよいでしょう。

独自SSLを利用しやすいレンタルサーバーはこちら

SSLサーバ証明書の認証方法の違い

SSLブランドによって名称の違いはありますが、一般にSSL証明書の認証レベルには「ドメイン認証」と「企業認証」、そして「EV認証」の3種類があります。

  • ドメイン認証
    wohis情報にメールを送信するなどして、ドメインの所有権を認証するものです。個人でも利用可能な格安SSLなどでの簡易的な認証方法になります。

  • 企業認証
    企業情報データベースや電話などで企業の法的実在性を確認する認証方法です。

  • EV認証
    大企業の場合など、実際の組織内の担当者レベルまで調べるため、非常に信頼性が高い認証方法になります。

このうち、「企業認証」と「EV認証」については法人でしか利用できないため、個人ユーザーの場合は簡易的な「ドメイン認証」を利用するのが一般的です。

簡易的なドメイン認証の場合、悪意のある人でもSSLを利用できてしまいますので、認証レベルによっては信頼性の違いが生じてきてしまいます。たとえ暗号化されて安全に通信できたとしても、そもそも、その通信する相手が悪意のあるユーザーである可能性は否定できません。

けれども、https対応で通信が暗号化されることにより、少なくとも第三者によるなりすましや改ざん、盗聴といった行為は防ぐことができます。

CSRの作成とプライバシー

実際に申込みをする際、サイト運営主体に関するCSRなどの作成が必要になります。

ドメイン認証のCSR

ドメイン認証の場合、発行された証明書にはドメイン名などで登録したコモンネームのみが表示されるケースが多く、個人のプライバシーについては確保されています。一方、「企業認証」や「EV認証」などでは組織名や住所なども証明書に表示されるケースもありますので、お使いのSSLブランドにてご確認されることをおすすめします。

申込みの際に注意すべき点としましては、コモンネームの選択時に、「wwwのあり・なし」をよく確認しておかないと「www付き」で利用できなくなることがあります。

レンタルサーバーへのドメイン設定などでは、「wwwなし」のドメイン名で登録すれば、ほぼ「wwwあり」のURLも利用できますが、このSSL申込みについては「wwwなし」でコモンネームを登録すると、「wwwあり」を利用できなくなるケースが多いです。

かといって、「www付き」で申し込みをしてwwwなしへ301リダイレクトしましても、携帯サイト(フィーチャーホン)へ非対応なこともあります。申込み時のコモンネームの選択については、よく確認してから申し込むようにしましょう。

加えて、レンタルサーバーによっては、ドメイン名ではなく、IPアドレスに付与される証明書しか対応していないこともあり、別途にIPアドレスのオプションが必要になることもあります。できるだけ、SNI SSL(ネームベース)の独自SSLに対応したレンタルサーバーを選択するとよいでしょう。