サイトの暗号化、SSL化について今もお問い合わせが多いので、一般のサイト運営者がどう考えるべきかを簡単にまとめてみます。常時コストをかけて運営されている方にとっては今更な感もあると思いますが、通常のショップオーナーさんやコーポレートサイトを運用されている方にはやはりハードルは高いと思います。
SSL暗号化が必要な理由
暗号化が必要な理由は主に3点です。
- 通信の安全性
- 検索エンジン(SEO)に対して有利
- ブラウザから警告が出ない
SSL本来の意味は「1」だけですが、それだけでは見た目に変化がないため、一般の方にはメリットとして受け入れづらいと思います。
「2」と「3」はネットの安全性のためにGoogleなどが意図して作ったメリットです。何よりショップサイトなどで「安全ではありません」という表示は閲覧者をかなり不安にさせます。
SSLの選択肢
SSLは以前は有料のものしかありませんでしたが、今は「Let’s Encrypt」というサービスにより無料で暗号化できるようになりました。このサービスはFacebookなど大手企業に支えられた非営利団体によって運営されています。怪しいものではありません。
有料のものを選ぶメリットとしては、銀行のようにサイト自体の信頼性が必要な場合や、会社の存在証明など付加価値が必要な場合と考えてよいと思います。
通常のサイトを暗号化したい、あるいは単にブラウザからの警告を消したいという目的であれば、無料もしくは安価なもので十分です。
実際に何が変わるのか
サイトが暗号化されると、下記2つの変化があります。
- サイトへの通信方法が暗号化される
- 暗号化されたサイトは、URLが「http://」から「https://」に変わる
このうち、暗号化そのものは目で見ても変化がわかりませんが、URLの変化が思いのほかネックとなります。
少し難しくなりますが、構造上の問題と他への影響について知っておいてほしい点を簡単にまとめます。
1、暗号化していないサイトも残ります
暗号化の設定をした後も、これまでの「http://」にてサイト表示が可能です。
実際にはサイトそのものを暗号化している訳ではなく、暗号化した通信方法を増やしただけなので、今までの通信方法でもアクセスできます。
これまでの外部からのリンクは全て「http://」のままになっているため、そのままにしてはせっかく暗号化した意味がありません。暗号化したサイトへ転送する仕組み(=通信方法を変更する仕組み)が必要になります。カラーミーショップなど、サービスによっては自動で暗号化サイトへ転送されるものもあります。
2、読み込みファイルも暗号化が必要
ウェブページはHTML単体で成り立っていることは少なく、画像やCSSなど読み込みファイルが多くあります。
ページの暗号化の条件として、そうした全ての読み込みファイルも暗号化が必要です。特に外部のサーバから読み込んでいる場合は、その外部サーバも暗号化していなくてはいけません。
3、外部でのURL変更
外部からの「リンク」に対しては、暗号化サイトへの転送の仕組みで対処できますが、例えば、関連会社のサイトなどにはURLの書き換えをお願いするなどした方が良いと思います。またアクセス解析サービスやGoogle Consoleなどへの登録方法も再設定が必要な場合があります。
4、紙媒体などへの影響
URLが変わるため、名刺などの記載も変更が必要かもしれません。ただ転送設定などがあれば「http://」のままでも実害はありません。
具体的な設定方法
暗号化の設定はサーバー側で行います。ドメイン管理画面での操作は不要です。
サーバの管理画面(「独自SSL」「無料SSL」など)で操作することになります。
ただし、事前に準備も必要です。
サイト内全体の修正が必要なため、一度サイト全体のバックアップをおすすめします。
- サイト内に記述された「http://」で始まる読み込みファイルを全て修正。
作業としては単純に「https://」に書き換えるだけですが、外部サイトから読み込んでいる場合は、そのサーバも暗号化しておく必要があります。SNS関連の古いコードに「http://」が含まれている場合もあります。
また全て自動で文字列置換をすると、通常のリンク先なども書き換えてしまうため、注意が必要です。 - 転送の設定なども事前に準備しておきます。サーバのマニュアルやFAQなどご確認ください。
- 準備が終わり次第、サーバの管理画面より暗号化します。
「CSR情報(SSL証明書申請情報)」を編集できる場合もありますが、デフォルトのままでも構いません。 - 設定変更後、反映には1時間ほどかかる場合があります。
ただ暗号化していないサイトには影響はないため、サイトが停止するということはありません。 - ブラウザにて「https://」でアクセスできるようになったら、転送設定やGoogle Consoleなどを修正します。
WordPressの場合
WordPressの構造をあまり把握していないという方は、専門の方に依頼された方が良いと思います。設定を間違えるとサイトや管理画面へのアクセスもできなくなる可能性があります。
またサーバによってはWordPress内の書き換えなども全て対応してくれるものもあります。マニュアルなど確認してみてください。
カラーミーショップでの設定
カラーミーショップではSSL暗号化は有料です。Let’s Encryptではなく有料の証明書が使われているようです。無料のものを使って欲しいところですが、現在は基本料金の一部と考えた方が良さそうです。
設定方法はとてもわかりやすくなっています。
まず導入の際、自動でサイト内(テンプレートや商品データなど)の事前チェックが行われます。画像などが暗号化されているかをチェックし、問題があればエラー表示されます。エラーを全てなくすと暗号化できるようになります。
エラーの対処方法は様々だと思いますが、下記のようなページが用意されています。
マニュアル「常時SSL化チェックでのエラー対応方法」
記事「常時SSL化(https化)のつまずきポイントと対処方法まとめ」
参考にしてみてください。