さくらのサーバで個人サイト・ブログをSSL対応しました。

Pocket

お客さんのサイトを常時SSLにするべく、練習がてら個人サイト・ブログの方をSSL対応しました。
SSLとは何かという話と、設定の流れをざっくり書いてみようと思います。

※サーバ・セキュリティ周りの専門家ではないので、一部間違いがあるかもしれません。

そもそも、SSLとは?

SSL(Secure Socket Layer)は、インターネット上の通信を暗号化して、外から盗み見られないようにすることです。
対応するとURLがhttp:// が https:// に変わり、鍵マークが表示されるようになります。

以前までは、お問い合わせなどの入力フォームがあるページのみをHTTPSにするケースが多かったのですが、最近では「常時SSL」と言って、全ページをHTTPSにするのが主流になっています。

SSLとTLSの違いは?

ときどき「TLS(Transport Layer Security)」という名前を聞きますが、これはSSLと同じ機能を指します。
SSLのバージョンが上がって、SSL3.0からTLS1.0という名前になったのですが、「SSL」という名前の方がメジャーなので、SSL/TLSと表記することが多いようです。

SSLのメリット

Googleのランキングアルゴリズムでも「HTTPSのサイトを優遇します」と言っているので、なるべく対応しておいた方がいいのかなと思います。

参考: ウェブマスター向け公式ブログ

逆にデメリットというと大げさかもですが、SSL対応する上でちょっと気になるところはというと…

  • 手続きが面倒
  • サーバ代に +費用が発生
  • (場合によっては)htmlソースの修正が必要
  • GoogleAnalyticsやSearchConsoleの修正が必要
  • 名刺やプロフィールでのURL変更が必要
  • 今までのはてブの数が0に…

はてブがいっぱいついてるブログはちょっとつらいかもしれません…。

サーバについて

Zenlogic のエバンジェリスト(※非公式)さんに猛プッシュされたので、サーバごと移行する予定…だったのですが、モタモタしている間にサーバの更新のタイミングがうっかり過ぎてました…

そのまま「さくらのレンタルサーバ」 でいくことにしましたが、Zenlogicとエックスサーバの場合は、無料でSSLサーバ証明書がついてます。

共有SSLと独自SSL

SSLには「共有SSl」と「独自SSL」があります。
ざっくり言うと、独自ドメインをそのまま使えるかどうかですね。

共有SSL

サーバ会社が所有しているドメイン名が表示されます。

〈さくらのレンタルサーバの場合〉
例:https://secure○○.sakura.ne.jp/xxxx.com

共有SSLは、ほとんどのサーバに無料でついていますが、セキュリティ的にはあまり良くないようで、WordPressのお問い合わせ系プラグインは「共有SSL」の環境では動作しないようになっています。

独自SSL

自分が取得したドメイン名を変えることなく、そのまま表示する方法で、自分で取得したSSL証明書を使います。
(※サーバによっては、外部からの持ち込みができないところもあります。)

〈さくらのレンタルサーバの場合〉
例:https://○○○.com

さらに独自ドメインには、「IPアドレスベース」と「SNI SSL」の2種類があります。

IPアドレス
1サービスにつき1つの証明書をインストール。
1ドメインに対してSSLを適用する。
※さくらレンタルサーバでIPアドレスベースにする場合は、ビジネスプロ以上のプランになります。

SNI SSL(ネームベース)
1サービスにつき、複数の証明書をインストール。
複数のドメインに対してSSLを適用する。

私の場合、URLが変わるのも、プランをあげるのもちょっと…ということで、独自ドメイン/SNI SSLでいくことに。

申し込み

さくらのサーバコントロールパネル の「オプション申込」のところに「SSLサーバ証明書」があるのでポチ。

ラビットSSL なら年間1,620円(税込)〜で簡単だよ〜」と出てきたので、これでいくことに。

SSL証明書の種類について

SSLは「通信の暗号化」以外にも、「Webサイトの認証」もできます。

例えば、さくらサーバのサイトページのアドレスバーを見てみると、鍵マークに加えどこが運営しているかを確認することができます。

誰が運営しているのかをチェックできるので、「フィッシング詐欺※」じゃないかどうかを、サイト訪問者が判断できるようになります。

※フィッシング詐欺…
ネットバンクやショッピングサイトなどサイトを本物そっくりに作ったページにアクセスさせて、個人情報や決済情報を不正に入手すること

SSL証明書にはEV、OV、DVの3段階があり、企業が運営しているサイトの場合、どのあたりのセキュリティレベルが必要かを検討する必要があります。

DV ドメイン認証
ドメインに登録されている登録者を確認して発行される。
個人のサイトや社内サーバのような特定の人しかアクセスしないサイトはこのタイプ。

OV 企業認証
ドメイン認証に加え、実在している組織が運営しているかを審査をしてから発行される。
(認証時に電話確認が必要)
個人情報の入力が必要な会員サイトや、ECサイトはこのタイプ。

EV EV認証
企業認証に加え、所在地の認証も行なって発行される。
ブラウザのアドレス欄が緑色になって、組織名が出るのが特徴。
金融機関などはこのタイプ。

信頼度順でいうと、DV < OV < EV と高くなり、その分発行までの手間や時間・お値段も変わってきます。

登録・設定の流れ

詳しい手順については、「さくらのサポート情報」に書かれていますが、だいたいこんな感じ。

  1. さくらのコントロールパネルから CSR(証明書お申し込みデータ)を作成
  2. ラピッドSSLの申し込み
  3. 入金後、「認証ファイルをアップしてね」というメールが届くので、サーバにアップ
  4. サーバにアップすると、証明書発行のメールが届くので、サーバコントロールパネルから証明書をインストール
  5. さくらのコントロールパネルからSSL設定を有効にする

参考:【ラピッドSSL】サーバコントロールパネルからの申込み・導入手順 – さくらのサポート情報

私の場合、申し込みから、認証ファイルのメールがくるまで30分くらい。
認証ファイルアップ後、証明書発行のメールがくるまで10分くらいでした。

SSL設定後にしたこと

サイトにWordPressを使っているので、WordPressの設定+他に使ってる外部サービスなどもちょっと変更を加えました。

WordPressでの設定

WordPressを適応させるには、「さくらのレンタルサーバ 簡単SSL化プラグイン」を追加するだけでOK。
(プラグインの有効化ができなかったのですが、phpのバージョンをあげたらいけました。)

参考: 【WordPress】常時SSL化プラグインの使い方 – さくらのサポート情報
参考: 【WordPress】常時SSL化プラグイン トラブルシューティング

GoogleAnalytics・SearchConsoleの設定

GoogleAnalyticsGoogle Search Consoleでは、https://〜のURLに登録しなおしました。

Webフォントの設定

FONTPLUS を契約していたので、こちらもURLを登録しなおしました。

その後の更新について

SSLの更新作業は、まだしたことがないのですが、調べて見たところ、証明書有効期限日の60日前・30日前になったら、メールが来るようです。

【ラピッドSSL】サーバコントロールパネルからの更新手続・インストール手順

ちょっと手間はかかりますが、そこまでむずかしくはないかなという印象…。

感想

コマンドを叩いて鍵を作ったりとかしなきゃいけないのかなーと思ってたのですが、そんなことせずに案外簡単にできたので、よかったです。

今回は個人サイトなので良かったですが、お客さん側でSSL証明書の取得・更新をお願いするとなると、ちょっとハードルが高そうなので、代行サービス にお願いした方がいいかなと感じました。

中の人について

matsui
大阪でwebのお仕事をしています。
ブログでは最近学んだことや、勉強会に参加したことを書いてます。