HTTPS化ってなに ~ドメイン認証型のポイント~
Googleさんが、https化していないサイトには警告文を出すっていう。エンジニアさんにいろいろ教えてもらったので備忘録。
Googleさんがいうhttps化(=常時SSL化)は、通信を暗号化する必要があるサイトだけでなく、すべてのサイトが対象。つまり、入力フォームがなくっても、対象。お問い合せフォームないし、関係ないやと思ってたけどそうは問屋が卸さなかった。
HTTPS化しないと、どうなるの?
▼お名前.comのメールニュースより
本日(2018年7月25日)、Google Chrome 最新バージョン「68.0.3440.75」が正式リリースされました。
これにより、SSLサーバー証明書が"未設定"のサイトにアクセスした場合、
「保護されていません」(=安全ではないページ)といった
警告文がURL欄に表示されます。
現バージョンでは"黒文字"での表記ですが、
10月リリース予定のバージョンアップでは"赤字表記"で
警告文が表示されるようになるため、
運用中のサイトにアクセスしたユーザからの
信頼性を失墜させる事態となりえます。
有料と無料のSSL証明書
サイトのURLをhttpからhttpsにするためには、サイトの安全を保障するSSL証明書が必要。クレジットカード情報などの入力がないサイトで利用するので、できるだけコストをかけなくてすむSSL証明書を検討した。
SSL証明書は、レンタルサーバーによって用意しているサービスが異なるので、利用しているサーバーのサイトをつぶさにご覧ください。ここでは、さくらインターネットを使う。
●Let's Encrypt
無料のSSL証明書。利用しているレンタルサーバーに自動更新のサービスがあるなら、おすすめ。手動の更新はめんどくさい(エンジニアさんでも手続きがめんどくさいそう。)
無料SSLサーバー証明書 Let's Encrypt(さくらインターネットより。以下、参照URLは同社)※サブドメインには適応できない。
●ドメイン認証型
ドメイン認証型という名称だが、認証するのは「www.abc.com」といったURLで、ドメインそのものではないので、注意。
wwwの扱い
・www.abc.com
・abc.com
「www」のありなし、両方にドメイン認証が必要。
ただし、「SANs自動登録」が使える場合は、これを使えばOK。
サブドメインの扱い
・nnn.adc.com
サブドメインごとに、認証が必要。
※testは「SANs自動登録」で使える場合がある。
参考:Webサイト全体HTTPS化(常時SSL)の流れはもう止まらない
常時SSL化は世界的な流れ。
この記事が気に入ったらサポートをしてみませんか?