Webサイトの常時SSL化前に確認しておきたい7つのポイント

常時SSL Lab.編集部 更新日 公開日 CSS,Google,HTML,HTTPS,暗号化通信,独自SSL,転送,

[目次]

これまで常時SSL Lab.の『実践編』では、公開中のWebサイトの常時SSL化にあたって必要な作業を具体的に説明してきました。

順番は前後しますが、今回は常時SSL化の作業前に、Webサイトやそれを公開しているサーバーなどで事前に確認、準備しておきたい7つのポイントをまとめています。

実際の作業に入った後に「こんなはずじゃなかった!」と思わずに済むように、さまざまな情報を集めながら心の準備をしておきましょう。

Webサイトの設置/公開に関する確認のポイント

Point 1. Webサイトをどこで公開していますか?

常時SSL化を検討しているWebサイトは、どこのサーバーで公開していますか?

一般的にはレンタルサーバーを利用していると思いますが、もしかすると社内の情報システム部門が用意した自社のサーバーの場合もあります。
まずはWebサイトを公開しているサーバーの情報を集めましょう。

レンタルサーバーなら、この時点では業者やコース名などの情報が分かるだけで充分です。
自社のサーバーなら、社内でパソコンに詳しい人に聞いてみましょう。

Point 2. サーバーはHTTPS(暗号化通信)に対応していますか?

まだHTTPSを利用していない場合、そもそもサーバーが対応しているでしょうか。

コンシューマー向けの安い価格帯や古いレンタルサーバーなどでは、SSLサーバー証明書が導入できず、HTTPS(暗号化通信)に対応していないケースがごくまれにあります。
業者やコース名をもとに公式サイトをチェックすれば、サーバーの仕様などとして掲載されているはずです。

自社のサーバーの場合でも同様で、HTTPSが導入できるかを事前に確認しておきましょう。

対応していない場合は、サーバーへの乗り換えが必要になります。
最新のレンタルサーバーでは、HTTPSにほぼ100%対応していると思いますので、予算に合わせて最適なサービスを選択してください。

Point 3. HTTPSはWebサイトのドメイン名で利用できますか?

HTTPSに対応可能といっても、サーバーによっては「共用SSL(※)」だけが提供されている場合があります。
共用SSLは無料で手軽ですが、Webサイトの一部を限定的にHTTPSにするためのものであり、指定されたドメイン名(URL)以外は利用できないケースがほとんどです。

フォームやカートなど、公開中のWebサイトの一部ですでにHTTPSを利用していても注意が必要です。
HTTPSを利用するページのURL"https://○○○"の「○○○」部分が、Webサイトのドメイン名と異なれば共用SSLの可能性がありますので、サーバーの仕様を確認してみましょう。

目指すべきゴールは、公開中のWebサイト独自のドメイン名でHTTPSに対応することなので、共用SSLは利用しません。
Webサイトのドメイン名でSSLサーバー証明書を取得する独自SSL(※)で、常時SSL化の準備をしましょう。

※ レンタルサーバーによって異なるかもしれませんが、一般的にはこのような呼び方が多いようです。

【PICK UP】 独自ドメイン対応のSSL証明書が0円で使えるレンタルサーバ「Zenlogic」とは

Point 4. HTTPSで公開するWebサイトの設置場所は?

サーバーがHTTPSに対応していることが確認できたら、Webサイトの設置場所を確認しましょう。
「設置場所」とは、サーバー上でWebサイトを構成するHTMLや画像、CSS、Javascriptなどのデータを保存する場所(ドキュメントルート)のことを指します。

Webサイトを公開するには、どのディレクトリにデータを設置するのかを確認してください。

サーバーによっては、HTTPS(暗号化通信)/HTTP(暗号化なし)で設置場所が異なる場合もありますので、作業をスムーズに進めるために必ず仕様を確認しておきましょう。

Webサイトで利用するサービスに関する確認のポイント

Point 5. Webサイトでプログラムを利用していますか?

現在公開しているWebサイトで、PHPやPerlのCGIなどで構成されるプログラムなどを利用していますか?

例えばWordPressやMovable TypeなどのCMSは、常時SSL化にあたって設定変更などの作業が必要です。
また、プログラム本体だけでなく、組み合わせて利用するテーマ(テンプレート)やプラグインなどの利用状況も確認しておきましょう。

レアなケースではありますが、テーマ(テンプレート)やプラグインがHTTPSに対応していないこともあるため、注意が必要です。

Point 6. Webサイトに組み込んでいる外部サービスはありますか?

常時SSL化を検討しているWebサイトに、外部サービスによるバナーや地図、動画などを組み込んでいる場合は、それらのサービスのHTTPSへの対応状況を確認しましょう。

例えば、GoogleマップやYouTubeは、HTTPSに対応した埋め込み用のコードが発行されますので、そのまま常時SSL化されたサイトに組み込んでも問題ありません。
ただ、HTTPSに非対応のサービスが組み込まれていた場合、Webブラウザが該当サービスの表示をブロックし、安全でないWebサイトと判断してしまいます。

このような失敗が起きないよう、HTTPSに非対応のサービスは、同等の機能を提供するHTTPS対応サービスへの乗り換えを検討しましょう。

Point 7. WebサイトにSNSのシェアボタンを組み込んでいますか?

"http://"から"https://"への変更だけとはいえ、URLが変わってしまうので、SNSでのシェア数はゼロからのリスタートになります。
Webサイトに外部サービスでシェアボタンなどを設置している場合は、カウント数もリセットされてしまいます。

とはいえ、正しい手順で常時SSL化が実施できれば、シェアされた"http://"のURLからのアクセスは"https://"に転送されます。
また、常時SSL化で検索サイトでの評価は上がることはあっても下がることはありませんので、Webサイトの利用者にとっては不都合を感じる場面はないはずです。

人気ページがあればシェア数のリセットは少々もったいないですが、現状では対応が難しいので、セキュリティを高めるためと割り切って考えましょう。

この記事のポイント

  • Webサイトを設置しているサーバーや使用しているサービス/プログラムがすべてHTTPSに対応しているか事前に確認しておきましょう

関連記事

2017/09/27
そのサイト、本当に安全ですか?SSLの安全性評価
2017/08/21
プラグインで簡単!WordPressの常時SSL対応
2016/10/19
常時SSL対応の準備~作業~仕上げまでの流れを把握する実践編
2016/10/19
常時SSL化に必要なHTMLソースコード編集のコツ