サイトSSL化！サーバー証明書はどれがいい？

GoogleよりHTTPSが優先的にインデックス登録されるというアナウンスが流れてから、大慌てでクライアントのSSL化を進めております。

新規でサイト制作するならSSL化は簡単にできますが、何百ページもあるサイトだと結構大変です。

移行の手順は前回のエントリーにあります。

サイトのHTTPSへの移行を早くやらないと！

Googleより HTTPS に関するリリースがありました。 この流れの一環として、Google は、より多くの HTTPS ページを探すよう、インデックス システムを調整していることをお知らせします。具体的には、HTTP ページに対応する...

ischool.co.jp

2015.12.19

今回のインデックスアルゴリズムの変更では、Googleのbotは、たとえHTTPSへのリンクがなかったとしても、最初にhttpsのURLに接続を試みます。

HTTPSでアクセスでき、下記の条件を満たすと、httpsのURLをインデックスして検索結果に反映するのです。

1. セキュアでない依存関係が含まれていない。
2. robots.txt によってクロールがブロックされていない。
3. セキュアでない HTTP ページに（または HTTP ページを経由して）ユーザーをリダイレクトしていない。
4. HTTP ページへの rel=”canonical” リンクが含まれていない。
5. noindex robots メタタグが含まれていない。
6. 同一ホスト上の HTTP ページヘのリンクが含まれていない。
7. サイトマップに HTTPS URL が掲載されている（または URL の HTTP バージョンが掲載されていない）。
8. サーバーに有効な TLS 証明書がある。

サーバ証明書の役割

「通信データの暗号化」と「通信相手の認証」の2つの役割があります。

「通信データの暗号化」のみを目的にするなら、最近登場した格安のサイト証明書でも大丈夫です。

「通信相手の認証」もやるとなると、かなりのコストがかかることは頭に入れておいたほうが良いです。

「通信データの暗号化」

データの盗聴や改ざんを防止します。

ショッピングサイトでSSL化されていないと、フォームに入力したクレジットカードや住所などの個人情報が丸見えですから。まあ今時そんなページはないですが。

お問い合わせページが暗号化されてないと、お問い合わせの送信フォーム内容も丸見えですからね。

「通信相手の認証」

企業のサイトなら、その会社が実際に存在する会社なのかどうかの実在認証をします。

悪意のある第3者のなりすましを防止できます。

サーバー証明書の取得

これを購入しないことには始まりません。

通常の証明書とEV SSLとでは、値段に大きな開きがありますが、Googleのアルゴリズムではサーバー証明書の種類は関係ないようです。

証明機関や種類もたくさんありますが、比較的安価なドメイン認証SSLでも大丈夫そうです。

企業認証SSL

大手企業では、企業認証SSLを導入しますが、結構高い。シマンテックで一番安いので年間87,480円～。ジオトラストで年間59,400円～。

EV SSL（強化認証SSL）

企業の実在を確認した認証のため、厳格な認証をクリアした企業にのみ発行されます。当然費用も一番高いです。導入したサイトはアドレスバーが緑色になり、サイトの運営組織が表示されるのです。

シマンテックで年間174,960円～。ジオトラストで年間124,416円～。めちゃ高い・・

ドメイン認証SSL

このあたりが現実的な金額にあります。年間数千円～3万円程度。企業でも使えますが、実在証明はありません。

CoreSSL、SecureCore、RapidSSLなど。

どの証明書も「通信データの暗号化」の強度に差はありませんので、オススメはこの辺りではないでしょうか。

サイトシールがあるのは、SecureCoreのみ。

SNI SSL(ネームベース)とIPアドレスベースの違い

従来はIPアドレスベースで利用することが多かったのですが、最近は安価なSNI SSL(ネームベース)が登場しました。

どちらを利用しても、データを置く場所は変わらないので、FTPソフトの設定に変更はありません。

SNI SSL(ネームベース)

SSL証明書はホスト名に紐付きます。

SSL専用のIPアドレスが不要なので、より安価に利用できる。

マルチドメインで複数サイトを運用しているクライアントでも、ドメイン毎に導入することが可能です。IPアドレスも今までのままです。

デメリットとしては、一部の古いブラウザに対応していないこと。

IPアドレスベース

SSL証明書はIPアドレスに紐付きます。

専用IPアドレス利用料が発生するなど、SNI SSL(ネームベース)よりもコストがかかります。

マルチドメインで複数サイトを運用する場合、IPアドレスはドメインごとに変わります。

優れている点は、ガラケーなどの幅広いブラウザに対応してます。これはそんなに需要があると思えないけどね。

レンタルサーバーによって

レンタルサーバーによっては外部で購入したサイト証明書を持ち込めるところと持ち込めないところがあります。

SSL証明書のコモンネーム

必ず「www.ドメイン名」で申し込みをしてください。この場合のみ、wwwありとwwwなしの両方ドメインで有効なサーバー証明書として利用できます。

「ドメイン名」のみで申し込んでしまうと、wwwなしのドメインでしか使えなくなりますのでご注意を。

既存サイトをSSL化する

Googleは安全なページを検索結果で上位表示させることによって、ユーザーに安全なサイトを届けることを目的にしています。今回は検索結果のアルゴリズムの変更ではありません。

とはいえ、SSL化を進めないかぎり、Googleから安全なページとみなされることはないので、検索で上位に表示されない。→ 必然的にサイトのSSL化は進んでいくはずです。

手間もコストもかかりますが、やるなら早いほうがいいです。

ウェブサイトをhttpからhttpsに変更する手順 (SSL化)

この記事では、ウェブサイトをhttpからhttpsに変更する手順 (SSL化) について詳しくお伝えします。 サイトをHTTPS化すると次のようなメリットがあります。 盗聴・なりすましといった通信の改ざんを防止できるので、サイトのセキュリテ...

ischool.co.jp

2016.04.05