HTTPS化ってなに ～ドメイン認証型のポイント～

Googleさんが、https化していないサイトには警告文を出すっていう。エンジニアさんにいろいろ教えてもらったので備忘録。

Googleさんがいうhttps化（＝常時SSL化）は、通信を暗号化する必要があるサイトだけでなく、すべてのサイトが対象。つまり、入力フォームがなくっても、対象。お問い合せフォームないし、関係ないやと思ってたけどそうは問屋が卸さなかった。

HTTPS化しないと、どうなるの？

▼お名前.comのメールニュースより

本日（2018年7月25日）、Google Chrome 最新バージョン「68.0.3440.75」が正式リリースされました。
これにより、SSLサーバー証明書が"未設定"のサイトにアクセスした場合、
「保護されていません」（＝安全ではないページ）といった
警告文がURL欄に表示されます。
現バージョンでは"黒文字"での表記ですが、
10月リリース予定のバージョンアップでは"赤字表記"で
警告文が表示されるようになるため、
運用中のサイトにアクセスしたユーザからの
信頼性を失墜させる事態となりえます。

有料と無料のSSL証明書

サイトのURLをhttpからhttpsにするためには、サイトの安全を保障するSSL証明書が必要。クレジットカード情報などの入力がないサイトで利用するので、できるだけコストをかけなくてすむSSL証明書を検討した。
SSL証明書は、レンタルサーバーによって用意しているサービスが異なるので、利用しているサーバーのサイトをつぶさにご覧ください。ここでは、さくらインターネットを使う。

●Let's Encrypt

無料のSSL証明書。利用しているレンタルサーバーに自動更新のサービスがあるなら、おすすめ。手動の更新はめんどくさい（エンジニアさんでも手続きがめんどくさいそう。）

無料SSLサーバー証明書 Let's Encrypt（さくらインターネットより。以下、参照URLは同社）※サブドメインには適応できない。

●ドメイン認証型

ドメイン認証型という名称だが、認証するのは「www.abc.com」といったURLで、ドメインそのものではないので、注意。

wwwの扱い
・www.abc.com
・abc.com
「www」のありなし、両方にドメイン認証が必要。
ただし、「SANs自動登録」が使える場合は、これを使えばＯＫ。

サブドメインの扱い
・nnn.adc.com
サブドメインごとに、認証が必要。
※testは「SANs自動登録」で使える場合がある。

ドメイン認証型

参考：Webサイト全体HTTPS化（常時SSL）の流れはもう止まらない
常時SSL化は世界的な流れ。