年が明けてからクライアントのサイトリニューアルでバタバタしていて、自社サイトのHTTPS化が全然進んでおりません・・
Googleのアナウンスもあるから早く対応しないとまずい。
一番の問題は、今使っているwpXのレンタルサーバーがHTTPSに対応していないということ。wpXはWorepressの管理画面はHTTPS化されてるのに、サーバー証明書が導入できないのは謎です・・
年末からずっと待っているのですが全然対応しないので、レンタルサーバーを切り替える準備をしています。
wpXの気に入っている点は、クラウドサーバーなのでアクセス数に応じた料金設定がある点と、キャッシュ系のプラグインを使っているのでサイトの読み込みが早い点。でも、プラグインとの相性問題は結構あります。AMPのプラグインを入れるとエラーがでますから。
移行するならXserverがいいかなと思っています。
というのも、Xserverを使って他に管理しているサイトがいくつかあって、AMPのプラグインも問題なく動作するし、HTTPSも問題なく動いています。3/31までに申しこめばSSLのサイト証明書もキャンペーンで格安というのも嬉しいですよね。
サーバー証明書はどれがいい?
レンタルサーバーの移行が決まったら、サーバー証明書をどれにするかという話になってきます。
年間数千円のものから、年間10万円近くのものまで多様です。
サーバー証明書に掛けられるコストは、かけても年間3万円程度ですよね。できれば1万円以下に抑えたいでしょう。
年間数千円程度の安価なサーバー証明書でもきちんと役割をはたすことができるのか見てみましょう。
サーバー証明書の役割は、大きく分けて2つあります。
- 「通信データの暗号化」
- 「通信相手の認証」
「通信データの暗号化」だけでいいのなら、一番安価な、ドメイン認証SSLを利用します。
「通信相手の認証」も必要になると、EV SSL(強化認証SSL)か 企業認証SSLを利用します。費用が高くなるので注意してください。
GeoTrustのサイトの画像が分かりやすいので拝借します。
「通信データの暗号化」
EV SSL(強化認証SSL)、企業認証SSL、ドメイン認証SSLも、セキュリティーの強さはどれも同じです。
Googleが見ているのは、「通信データの暗号化」だけなので、サーバー証明書の種類は関係ないようです。
手っ取り早くHTTPS化を行うのであれば、ドメイン認証の一番安いもので大丈夫ということになります。
「通信相手の認証」
「通信相手の認証」の強度はサーバー証明書によって変わってきます。
EV SSL(強化認証SSL) > 企業認証SSL > ドメイン認証SSL
- EV SSL(強化認証SSL)は、アドレスバーが緑色になるやつです。企業の実在を厳格に認証するため、暗証強度が一番強く、個人が取得することはできません。費用は最も高くて年間10万円以上かかります。
- 企業認証SSLは、企業の実在を認証します。大手企業が採用するケースが多いですが、EV SSLと較べると厳格ではないので、費用も若干抑えられます。といっても安いものでも6万円〜となります。
- ドメイン認証SSLは、ドメインの所有名義を確認するだけです。ドメインを所有していれば機械的に発行されるので安価で運用できる反面、ウェブサイト組織の実在を認証しないので、ECサイトでクレジットカードを入力するようなケースでは使えません。個人のブログや中小企業のサイトで使うなら問題ないです。
「SecureCore」と「CoreSSL」と「ラピッドSSL」の選び方
「通信データの暗号化」をするのであれば、安価なドメイン認証のサイト証明書で大丈夫ということが分かりました。実際にどのようなサーバー証明書があるのか見てみます。
Xserverのサイトを見ると、「SecureCore」が年間9000円。「CoreSSL」が1000円となっています。どちらも、セキュアコア株式会社が発行するサーバー証明書なのに、一体何が違うのでしょうか?
ちなみに「ラピッドSSL」は年間1500円です。
このくらいの金額であれば、躊躇せずに導入できますよね?
セキュリティー強度に違いはなし
サーバー証明書の種類は、3つともドメイン認証SSLで、セキュリティーの強度は全く同じです。
一体何が違うのかというと、「SecureCore」にはサイトシールに対応している点。
「ラピッドSSL」はサイトにロゴを貼ることができます。
「CoreSSL」はどちらにも対応していません。
セキュリティー強度に変わりはないので、「通信データの暗号化」を図るという目的であれば、金額の安い「CoreSSL」でいいと思います。
ECサイトでクレジットカード決済をするという用途で使うなら、最低でも企業認証SSLにしないとダメですよ。
SNI SSL(ネームベース)とIPアドレスベースの違い
専用のIPアドレスが不要ならば、SNI SSLで十分です。どちらにするかで費用が変わってきます。
Xserverでの運用ならSNI SSLの運用で不具合が出ることはなさそうですが、さくらインターネットで運用する方は、301リダイレクトに注意してください。
さくらインターネットで、SNI SSL(ネームベース)を使う場合、301リダイレクトをすると無限ループしてしまいます。要するにリダイレクトできません。これは、レンタルサーバーの環境変数に制限を設けているために発生する問題です。IPアドレスベースなら、301リダイレクトが可能なのですが、ビジネスプロ以上のプランでないと導入できません。月額4628円と高いんですよね。Xserverなら毎月1080円なので、断然お得です。
SNI SSL(ネームベース)
SSL専用のIPアドレスが必要ないので安い。
一部の古いブラウザ(ガラケーのブラウザ)に対応していないのですが、あまり気にしなくても大丈夫です。
IPアドレスベース
専用のIPアドレスが必要になるので、費用が少しかかります。
古い証明書には要注意
Googleはサーバー証明書の中身は問わないというアルゴリズムになっていますが、今後、古い技術を使っている「SHA-1」のSSL証明書だと、ペナルティーを受けるようになるかもしれません。
Xserverで用意しているサイト証明書は、全て「SHA-2」のSSL証明書なので安心して使えます。
独自SSLにおけるSSL証明書の暗号化方式「SHA-2」への変更について
HTTPS化はどのくらい進んでる?
「SSLサーバー証明書」でググると、10件中5件がhttpsのサイトがインデックスされています。
今のところGoogleのアナウンスでは、HTTPS化がもたらす検索ランキングのアルゴリズムへの影響は小さいとされていますが、今度、影響を受けるようになることは間違いないです。
なるべく早く対応した方がいいですね。
ナレッジ