常時SSL Lab.編集部[目次]
今から新しくWebサイトを作る場合は、最初から「常時SSL」に対応しておくのが当たり前の時代になってきました。
ただ、すでに公開しているサイトを「常時SSL」化するにあたり、「実施のタイミング」や「作業工程」に不安がある方も多いのではないでしょうか。
本記事では、私の実体験をもとに『公開済みのWebサイトを常時SSL化する』ための作業の流れと概要をまとめました。
まずは、全体像を把握して計画を立てましょう。
それぞれの項目についてのより具体的な作業手順は別記事として随時公開していきますのでお楽しみに。
まずは、情報収集をしよう
常時SSL化の作業を行うにあたり、一番気を付けるべき点は何でしょうか。
それは、「誰もがこれまでと同じようにWebサイトを利用できること」です。
例えば、運営しているWebサイトがブックマークされていると、URLが"http://"から"https://"に変わるだけでもアクセスできなくなります。
インターネットにあまり詳しくないユーザーなら、それだけで"Webサイトが閉鎖された"と勘違いしてしまうかもしれません。
また、Googleなどの検索エンジンも、これまでの情報をもとにWebサイトにアクセスして情報を収集します。
URLが"https://"に変わったことが伝わらなければ、正しい検索結果が表示されなくなる恐れもあります。
できるだけシームレスに常時SSL化するためには、作業前の情報収集が重要です。
まずは常時SSL化するタイミングを検討しましょう。
これから新しくWebサイトをつくる場合は、もちろん最初から常時SSL化するとスムーズです。
すでにWebサイトを公開している場合は、作業工数を想定して実現可能なスケジュールを立てましょう。
さらに、公開しているWebサイトについて、どのような構成で運営しているのか確認しましょう。
例えば、外部サービス(バナー、動画など)を利用しているか、CMS(WordPress、Movable Type)を利用しているかなどです。
利用しているサービスが"https://"に対応しているかを確認しましょう。
必要物の確認と準備をしよう
「常時SSL」化に必要不可欠なものは「サーバー」と「SSLサーバー証明書」です。
まずこの2つについて確認しましょう。
1. サーバーをチェックしよう
すでにWebサイトを公開しているからには、サーバーを利用しているはずです。
そのサーバーは自社サーバーですか?レンタルサーバーですか?
サーバーで常時SSLをするために以下について事前に確認しましょう。
- サーバーはどこにあるのか?(自社サーバー/レンタルサーバー)
- SSLサーバー証明書に対応しているか?
- HTTPSで公開するWebサイトの設置場所は?(ディレクトリ構成、ドキュメントルートの設定)
- テストサーバーも同様の設定が行えるか?
Webサイトの常時SSL化前に確認しておきたい7つのポイント
2. "SSLサーバー証明書"をチェックしよう
サーバーによって取得・設定できるSSLサーバー証明書の種類が異なります。
また取得までに時間がかかるものもありますので余裕をもって準備しましょう。
- 証明書は持っているか?
- 証明書の種類は適切か?
実際にソースコードを修正しよう
いよいよ実際にHTML/CSSのソースコードの修正を行います。
ここでは全体の作業の流れを簡単に紹介します。
1. HTTPSで公開するデータを準備
現在HTTPで公開しているデータをもとに、HTTPS用のデータを準備します。
必要に応じて重複ファイルの内容のマージや整理などを行います。
2. ソースコードの記述を修正
HTML/CSSのソースコードのリンクやパスなどの記述を、常時SSL化後のWebサイトの構成に合わせて修正します。
3. サーバーで表示確認
作業を行ったファイルをHTTPSに対応したサーバー上に設置して、Webブラウザでアクセスします。
HTTPSでページが正しく表示されているか、エラーなどが出ていないかを確認します。
4. エラーを修正
もしHTTPSのアクセス時にエラーが出ていれば、修正して再度サーバーで確認します。
このエラーが出なくなるまで、繰り返し作業を行います。
※ こちらの記事もあわせて確認してみてください。
CMSも常時SSLに対応しよう
近年、Webサイトの構築はWordPressをはじめとしたCMSが多く利用されています。
中でも一番よく利用されているのが「WordPress」です。
まず作業に入る前に、必ずファイル/データベースのバックアップを取っておきましょう。
何かあったときに、データを戻せるように準備しておくことは重要です。
作業としては、WordPress関連のファイルの移動やテーマ/プラグインの設定見直しなどが必要になります。
いよいよ総仕上げ!「常時SSL」サイトの完成です。
最後に常時SSL化を成功させるための作業をいくつかご紹介します。
本記事の最初の方で書いた「誰もがこれまでと同じようにWebサイトを利用できること」を実現するための作業です。
ここでは2つの作業を行います。
Google系のツールの対応
Webディレクターの方は、おそらく何らかのGoogle系のツールを利用していると思います。「Google Analytics」「カスタム検索」「Search Console」など、便利な機能が多くありますよね。
これらの機能を利用している場合、Googleの管理画面での設定変更が必要です。設定変更を忘れると、いままで使っていた機能が使えなくなってしまうので忘れずに設定変更しましょう。
『"https://"に一本化する』ための設定
Webサイトを常時SSL化しても、"http://"と"https://"の両方を並存して運用することは可能です。
でもこの場合、ユーザーが"http://"にアクセスしてしまうと常時SSLにはなりません。
せっかく常時SSL化するのだから『"https://"に一本化する』ことをおすすめします。
とはいえ、ユーザーがどちらのURLにアクセスするかわからないから不安に思っている方もいらっしゃるでしょう。
でも安心してください。ちゃんと対策はあります。
それは、"http://"にアクセスがあったら、すべて"https://"に転送してしまう。というやり方です。
転送の方法は「301転送」や「HSTS(HTTP Strict Transport Security)」などがあります。
運用方法にあわせて設定してください。
最後に・・・体験談からの感想を
いろいろ必要な作業を列挙してみると、かなりのボリュームです。
これ以外にも、Webサイト固有の作業は山ほどあるはずです。
私も複数のWebサイトを常時SSL化しましたが、予想外のトラブルもあったりして結構面倒だったな、というのが正直な感想です。
なので、新しく作るWebサイトは最初から常時SSLにしています。
今後、Webサイトの常時SSL化は避けては通れないものになるでしょう。
近い将来に慌てることがないように、今から計画的に常時SSL化を進めておくことが必要です。
きちんと対応すれば、Webサイトの利用者にはさまざまなメリットがあります。
Webサイトの運営者も、制作/運用のスキルも確実に上がりますし、管理効率も向上します。
本来の目的をしっかりと理解した上で、恐れず焦らず丁寧に、常時SSL化を進めていきましょう!
この記事のポイント
- 作業する上で一番重要なのは「誰もがこれまでと同じようにWebサイトを利用できること」
- ユーザーにもWebサイト運営者にもメリットがあるので、計画的に常時SSL化をすすめましょう。
株式会社IDCフロンティア
