サイバーセキュリティ サーバー

常時SSL化の手順と注意点

サイト全体に暗号化通信を導入する「常時SSL化」がWebサイトの標準となりつつあります。特に2018年は常時SSL化がトレンドであったといえるくらい、導入を進める企業が増えました。しかし常時SSL化の作業にあたってはいくつかの注意が必要で、見落とすとトラブルが発生することがあります。ここではそんなトラブルの事例と対策をまとめました。

常時SSL化の手順と注意点

目次

常時SSL化とは

SSLをWebサイト全体に導入することを「常時SSL」といいます。Webサイトの一部だけにSSLを導入するのは常時SSLとは呼びません。2018年は常時SSLサイトが一気に増えた年でしたが、これは、Googleが夏頃にリリースする新バージョンのChromeブラウザで警告表示を出すらしいという懸念から、対応を迫られたというのが正直なところです。

結局、Chromeの警告表示強化は見送られましたので、とりたてて大きく騒がれるような事態にはなりませんでしたが、セキュリティ対策の強化はインターネット全体の流れでもありますので、なるべく早期に対応することは企業Webサイトの責務であるともいえます。

常時SSL化に伴って起こりやすいミスとは

ケース1:旧httpサイトも閲覧可能になっている

これまで一部にしかSSLを導入していなかった企業Webサイトを、httpsの常時SSLサイトにしたとき、よくあるのが、httpsでもhttpでもどちらでも見えてしまっているという状態です。どちらで見てもよいというのでは常時SSLの効果が半減してしまいます。必ずhttps〜のアドレス以外は見られないような設定にしておくことが必要です。

対処法:リダイレクトを設定する

この場合、もとのhttpのページを削除してなくしてしまうと、あちこちでリンク切れを起こしてしまうことになります。ユーザーのブックマークからや、Googleの検索エンジンからの流入など、古いhttpのアドレスにも長くアクセスされ続ける可能性があるので、対策としてはリダイレクトを設定し、http〜にアクセスしてきたユーザーを正しく誘導することが大切です。リダイレクトとは「http〜のページにアクセスされたらhttps〜のページに飛ばす」ということです。常時SSL化を済ませた後に自分でhttp〜と入力してみて、Webサイトが正しくリダイレクトされるかどうかをチェックしてみましょう。

【Web管理者あるある】ドメイン変更時のリダイレクトにも注意が必要

サイトのドメインを変更した場合も、古いドメインから新しいドメインにリダイレクトをかけるということを通常行いますが、このとき、新しいドメインと古いドメインの両方にSSLサーバー証明書が正しく設定されていないと、リダイレクトがエラーになってしまうので注意が必要です。特に旧ドメインの方は普段存在を気にしなくなるため、SSLサーバー証明書の更新を忘れてしまい、有効期限が切れていたというケースが見受けられます。

ケース2:混在コンテンツに注意

常時SSL化しているはずなのに、「セキュリティで保護されていない」とか「このページの一部が安全でないためブロックしました」等の警告が出てしまう場合、その原因はページで読み込んでいるコンテンツにhttpのコンテンツが含まれていたことにあります。

混在コンテンツ(mixed content)と呼ばれ、よくあるのが画像を読み込む際の記述がhttpから始まる記述のままになっているケースです。その記述がCSSやJavaScriptの中に書かれていると気づきにくいため発生しがちです。これは最も厄介な常時SSL化の落とし穴で、この警告を完璧に回避するには、全ページの確認を行わなくてはいけません。

対処法:事前に混在状態を解消する

常時SSLサイトに読み込まれるコンテンツはすべてhttpsで指定されている必要があります。膨大なソースのなかからエラーになったhttpのコンテンツをFirefoxやGoogle Chromeなどの開発者ツール等でひとつひとつ確認し、ソースを修正するという羽目になるよりも、あらかじめ、リンクは相対パスやルートパスで記述し、httpなどの記述は含まないようなつくりにしておくことが重要です。

混在コンテンツに注意

ケース3:複数サブドメインを運用している場合

もうひとつは、サブドメインを使って複数のWebサイトを運営している場合に起こるコストの問題です。SSLサーバー証明書は原則としてドメイン単位、つまり1ドメインに対して1つの証明書の発行となります。このため、運用しているサブドメインの数だけSSLの契約が必要になり、ライセンスコストもかさみます。たとえば、www.xxxx.co.jpでお客様向けサイト、corp.xxxx.co.jpでIR向けサイトを運営しているというような場合、SSLサーバー証明書は2つ分の契約が必要となります。

対処法:ワイルドカードSSLやマルチドメインSSLを検討

このような、サイトの常時SSL化に伴う手間やコストを削減するため、サブドメインサイトを多数運用している企業にお勧めしたいのが「ワイルドカードSSL」です。

ワイルドカードSSLとは、サブドメインを *(アスタリスク)で指定できる証明書です。このためサブドメインサイトがいくつあっても、1通の証明書で常時SSLを適用できます。 有効期限の管理や更新手続きの手間も1度ですみますし、トータルにコストを抑えられます。また証明書導入後に、サブドメインを追加することも自由です。

もしも運営しているサブドメインサイトが1〜3つ程度なら、「マルチドメインSSL」の導入を検討してみるのもよいでしょう。マルチドメインSSLはSANs(Subject Alternative Names)証明書とも呼ばれ、一通で複数のドメインに適用することができる証明書です。

ワイルドカードSSLとマルチドメインSSLは、CA(認証局)によって取り扱いがなかったり、商品としての仕様は少しずつ異なっていたりします。またレンタルサーバーによっては、通常のSSL証明書以外設置不可という場合もあるので、事前にWeb制作会社にご相談ください。

常時SSLの今後

いまのところ、各ブラウザでは、非SSLのhttpサイトに対して真っ赤な警告表示というような強い排除は行われていませんが、常時SSL対応済みのhttpsサイトがすでに標準であるという認識は変わりありません。常時SSL対応済みでも、自社Webサイトに混在コンテンツがまぎれこんでいないか、常に気にしていくといった対応が必要となります。

関連記事

この記事の著者

itra
ITRA

Web制作・システム開発など多くの実績を持つITRAならではの様々な情報を発信していきます。

初めて使う人にも使いやすく、セキュリティレベルの高いCMSパッケージ「iCMS」

詳しくはこちら
itra