こんにちはTERUです。
フリーランスでホームページやECサイト制作を仕事にしています。
読者の悩み
- SSL化対応ってどうやればいいの?
- そもそもSSL化ってなんなの?
WEBサイトを公開する際に、SSL化対応は必ず実施する必要があります。
本記事では、SSL化対応の設定方法やよくある疑問について詳しく解説します。
今回は、エックスサーバー(XServer) でレンタルサーバー契約していることを前提に解説していきます。
エックスサーバーでできることやメリットデメリットついては下記の記事で詳しく解説していますので、ぜひ参考にしてください。
サーバー契約がまだの方は、以下の記事を参考にレンタルサーバー契約を先に進めてください。
レンタルサーバーの選び方については、下記の記事が参考になります。
この記事を読んで分かること
- エックスサーバーでSSL化の設定方法が分かる。
- SSL化するメリットが分かる。
本記事の信頼性
- フリーランスとしてWordPress案件を中心としたWeb制作をメインに仕事をしている。
- Web制作会社にてディレクターの経験もあり。
- 普段からエックスサーバー(XServer)を利用している。
まずはWebサイト公開の流れを理解
ここで、一般的なWebサイト公開までのステップを整理します。
- サーバー契約
- ドメイン取得
- ドメイン設定
- SSL化(http→https)設定
- ファイルアップロード
今回解説するSSL化は、ステップ4の「SSL化(http→https)設定」になります。
そもそもSSL化って何?
SSL化とは、インターネット上でデータを暗号化してやり取りする仕組み(SSL)を実装することです。
実装するとWebサイトのURLが「https~」になります。
ブラウザのアドレスバー左に鍵マークが表示されます。
SSLについては、総務省のHPに詳しく記載されていました。
SSL(Secure Socket Layer)とは、インターネット上でデータを暗号化して送受信する仕組みのひとつです。クレジットカード番号や、一般に秘匿すべきとされる個人に関する情報を取り扱うWebサイトで、これらの情報が盗み取られるのを防止するため、広く利用されています。また、SSLは暗号化に加え、電子証明書により通信相手の本人性を証明し、なりすましを防止するなど、今日のインターネットの安心・安全を支えています。
SSLの仕組み|情報セキュリティ関連の技術|基礎知識|国民のための情報セキュリティサイト
SSL化することで、利用者にWebサイトを安全に利用してもらうことができます。
SSL化の設定方法【XServer】
ここからは、具体的にSSL化の設定方法を解説します。
SSL化の設定方法は下記2つのステップが必要になります。
- エックスサーバー(XServer)でSSL化の設定
- 常時SSL化の対応(http→httpsへリダイレクト)
エックスサーバー(XServer)でSSL化の設定
手順①:XServerアカウントから①「メールアドレス or XServerアカウントID」と②「パスワード」を入力してログインします。
手順②:管理画面から、「サーバー管理」を選択します。
手順③:サーバーパネルから「SSL設定」を選択します。
手順④:SSL設定画面-「独自SSL設定追加」タブから、「確認画面へ進む」を選択します。
手順⑤:確認画面で設定対象ドメインに間違いないことを確認し、「追加する」を選択します。
完了メッセージが表示されます
以上でSSL設定完了です。
常時SSL化の対応(http→httpsへリダイレクト)
次に常時SSL化するための対応方法を解説します。
常時SSL化とは?
常時SSL化とは、Webサイト全体をHTTPS対応にすることを指します。
Webサイトの一部のみをHTTPS化するのではなく、Webサイト全体をHTTPS化することは常時SSL化(常時HTTPS化)と呼ばれています。
従来はログインページやクレジットカード決済ページなど、Webサイト上でパスワードや個人情報等を入力するページのみをHTTPS化して通信を保護することが一般的でした。
しかし近年、インターネットにおけるセキュリティ意識の高まりやGoogle Chromeなどの主要なブラウザーでの対応を受け、Webサイト全体をHTTPS化することが求められています。
常時SSL化について | JPRS
常時SSL化されたWebサイトは、HTTPでアクセスされた際に、HTTPSに全てリダイレクトされます。
常時SSL化の対応手順は、下記になります。
手順①:サーバーパネルで、「.htaccess編集」を選択します。
FTPソフトの使い方に関しては下記の記事で解説しています。
手順②:ドメイン選択画面で対象ドメインを選択します。
※今回は「teru1213.online」を対象にします。
手順③:「.htaccess編集」タブを選択し下記の文言を追記し、「確認画面へ進む」を選択します。
## Always On SSL
RewriteEngine On
RewriteCond %{HTTPS} !on
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]
手順④:確認画面が表示されるので、「実行する」を選択します。
手順⑤:完了メッセージが表示されるので、「戻る」を選択します。
以上で、常時SSL化対応は完了です。
SSL化の確認【XServer】
SSL化が正常に設定できたか、下記の2ステップで確認します。
- ブラウザから直接アクセスして確認
- リダイレクトチェックサイトで確認
STEP1:ブラウザから直接アクセスして確認
まずは、ブラウザから直接Webサイトにアクセスして確認します。
ブラウザ(Google Chrome)に「https~」で始まるWebサイトのURLを入力してアクセスするだけです。
STEP2:リダイレクトチェックサイトで確認
常時SSL化対応が正常に機能しているか確認します。
手順①:リダイレクトチェックサイトにアクセスします
手順②:確認したいURLを入力し、「チェックする」を選択します。
手順③:「https〜」のURLに301リダイレクトされていれば、正常に機能しています。
SSL化設定のよくある質問【XServer】
SSL化設定に関するよくある質問について、いくつかまとめてみました。
- SSL化しないと具体的にどんなデメリットがあるの?
- 有料SSLと無料SSLで何が違うの?
- 無料独自SSLを削除するには?
SSL化しないと具体的にどんなデメリットがあるの?
SSL化しないと下記のデメリットがあります。
- セキュリティーが脆弱になる。
- 利用者の不信感につながる。
- Googleの評価(SEO)に影響がある。
セキュリティーが脆弱になる。
SSL化しないといけない、一番の理由です。
SSL化しないと通信するデーターが暗号化されていないので、悪意を持ったユーザー(ハッカー)からは、データーが盗み放題になってしまいます。
利用者の不信感につながる。
Google Chromeでは、アクセスした際にSSL化していないWebサイトだと「保護されていない通信」とメッセージが表示されます。
クリックすると詳細が表示される
このようにGoogle Chromeでは、2018年ごろからSSL化(https)されていない全てのサイトに対して強制的に警告が表示されるようになっています。
利用者からすると警告表示は、サイトを利用する上での不信感につながってしまいます。
Googleの評価(SEO)に影響がある。
Googleでは、早くからSSL化(https)の対応を推奨しています。
さらに2014年には、公式ブログにてSEO評価にSSL化(https)が影響することを明示しています。
Google は過去数か月にわたり、暗号化された安全な接続をサイトで使用していることを検索のランキング アルゴリズムのシグナルとして考慮するテストを実施してきました。このテストで十分な結果が得られたため、Google はランキング シグナルとして HTTPS を使用することにしました。
ランキング シグナルとしての HTTPS | Google 検索セントラル ブログ | Google Developers
SSL化(https)することでサイト評価が劇的に上がることはないですが、SSL化(https)していないことでサイト評価が下がることは、十分に考えられます。
SEOの観点からもSSL化(https)しておきましょう。
有料SSLと無料SSLで何が違うの?
結論から言うと、暗号化の強度や機能的な違いはありません。
有料SSLでは、下記の2点が無料SSLと違います。
- サポートの有無
- 証明書の取得方法
サポートの有無
有料SSLでは、無料SSLと違い困った時に相談できるサポート窓口があります。
※無料SSLは、基本的に公益法人(ISRG)が提供しているLet’s Encrypt(全て自動化された認証局)を使用します。
エックスサーバーのSSLもLet’s Encryptを使用しています。
証明書の取得方法
有料SSLでは、証明書の取得方法として下記3パターンあります。
- ドメイン認証型SSL
- 企業実在認証型SSL
- EV証型SSL
※無料SSLでは、「ドメイン認証型SSL」のみ
「企業実在認証型SSL」や「EV証型SSL」は、認証局から厳格な審査(運営している組織が実際に存在しているかの確認など)を受けて証明書が発行されます。
暗号化の強度は変わらないので、中小企業や個人事業主の場合、無料SSLで問題ないと思います。
無料独自SSLを削除するには?
無料独自SSLの削除方法は、下記の通りです。
手順①:SSL設定のドメイン選択画面から対象ドメインを選択します。
手順②:無料独自SSL一覧から「削除」を選択します。
手順③:確認画面が表示されるので、「削除する」を選択します。
手順④:削除完了のメッセージが表示されていることを確認し、「戻る」を選択します。
以上で無料独自SSLの削除は完了です。
Webサイト公開の関連記事
まとめ
今回は、エックスサーバー(XServer)でのSSL化(http→https)設定について解説しました。
- サーバー契約
- ドメイン取得
- ドメイン設定
- SSL化(http→https)設定←今回はここを解説しました
- ファイルアップロード
Webサイトを公開する際には、必須の作業なのでマスターしましょう!
以上です。