ホームページを「常時SSL」化にしましょう

以前より、お問い合わせフォームや商品購入時に、ホームページアドレスが「https」で始まる、SSL(=暗号化通信)化されたサイトが多くありました。

ところが最近では、TOPページから全てのページをSSL化した状態にして、セキュリティを高めることで、お客様に安心して閲覧してもらえる様にしようというサイトを多く見かける様になりました。

この常時SSL化の動きは、2014年8月7日にGoogleが、検索結果に「httpsサイトを優遇します」を発表してから、徐々に「常時SSL」に移行するサイトを見かける様になりました。

先週、｢Chromeセキュリティ警告「保護されていません」に対応しましょう｣ という記事を書いたところ、これを実行するにはどうしたら良いの?と多くのお問い合わせをいただきましたので、SSL化に移行する方法についてご案内させていただきます。

SSL化に移行する手順としては、大まかには次のステップで実現します。

1.サーバーにSSL機能を導入する (SSL未導入の場合)

SSLが未導入の場合は、サーバー契約しているところへ、SSLの導入依頼を行います。
その際に、サーバー業者によっては、予め決められた(導入可能な)SSLの案内がありますので、最適なSSLを選びます。このSSLですがほとんどが有料です。SSLの種類にもよりますが、年間、5万円～20万円くらいになります。

また、https://～で表示させるアドレスは、https://www.～(www付き)にするか、https://～(wwwなし)にするか決めておきます。

2.サイト内の全てのページを、https://～ でアクセスできるか確認する

サーバー側にSSL機能が導入されたら、次は、サイト内のコンテンツの確認です。
せっかく、https://～でアクセス可能な環境を作っても、ホームページ内の記述に、http://～の記述があってはダメです。表示する全ての画像や読み込むファイルがhttps://～で繋がるように、相対パス等に変更します。

3.http://～アクセスを、https://～アクセスにする

上記1はサーバーにSSLの機能を入れました。上記2では、ホームページ内の記述の確認を行いSSL環境は整いました。

次は、実際にアクセスがあった場合に、https://～で表示されるようにします。

これまでの、http://www.example.jp、または、http://example.jp　にアクセスがあった場合に、https://example.jp (wwwナシの場合)に統一して、表示させます。

4.サイト全体の確認

上記、1～3までの作業が完了しましたら、サイト全体の確認を行います。

ページによっては、http://～等の絶対パスで読み込んでんでいるファイルが有ったりして、完全にセキュアなページになっていないケースがあります。最後の確認はとても大切です。