ホーム> あなたのホームページをSSL化すべき理由と方法。一部の「https://」SSL証明書が安全ではない問題。
IMGD9835.jpg


2018年夏からChromeはSSL未対応サイトに警告表示。大企業や役所のサイトでも無関係に適応されるのか?

具体的に言うとGoogleはChrome 68(2018年7月リリース予定)からHTTPサイトというだけでホームページを見ると警告表示されるそうです。

誰のデメリットになるのか?

  1. 自分のウェブサイトが安全ではないと一方的に警告されるのは体裁が悪い。
  2. 純粋に技術的問題(サイトの作り方)なのでホームページの内容や信頼性とは関係が無い
  3. 信頼性のある企業や個人のサイトでも一律に警告される恐れ。(政府や役所などの公共サービスのHPはどうなるのか?)

この変更は純粋にセキュリティ上の問題が理由。

今年2018年のChromeブラウザのバージョンアップで以下のように表示される予定。
  1. 7月から灰色のアイコンと文字でHTTPページに対して「保護されていない通信」の警告表示。
  2. 9月からHTTPSページは緑の鍵マークが灰色に変更。 「保護された通信」の文字も表示されなくなる。
  3. 10月から、HTTPサイトに対して赤い文字と赤い三角形のアイコンで警告を出す。

そもそも「SSL化」とは何か? それは「http://」と「https://」の違い。

技術的には【SSL(Secure Sockets Layer)】と呼ばれます。
当サイトは個人ブログですが、大手企業の「Yahoo!」よりも早くSSL化しました。
つまり、利用するだけならそれほど高度でも高価でもない技術です。
インターネットのセキュリティのために簡単な部分から対応しているものと思われます。

さらに面倒な事例:SSLなら全てOKではない事実。

少し以前にIT系ニュースで話題になってましたが、一部のSymantec・Thawte・GeoTrust・RapidSSLにより発行されたSSL/TLS サーバ証明書はブラウザにより信頼されなくなります。
Chromeの利用者は、問題のある証明書が入ったウェブサイトにアクセスすると「ウェブサイトが信頼されていない」「このウェブサイトは安全ではない」などといった警告を目にすることになります。
上記の問題に心当たりのあるユーザーのドメインをチェックするシマンテックの公式サイトはこちら「Google Chromeにより警告がでるウェブサイトかチェックする」です。


あなたのSSLサーバーをテスト(評価するサイト)

私は「Qualys SSL Labs」の無料サービスでチェックしました。(英語環境)
ランクはAでした。A+が最高ランクです。
私のサイトはただのホームページと外部リンクの構成なのでこれで問題は無いです。
ただしウェブサイトが専門的にSNSのAPIサービスなどを使う場合などはSSLのランクを厳しく見られるそうです。
この理由は当然ですがSNSとホームページを動的に繋ぐとセキュリティ問題が起きた場合に世界に拡散するからです。


どうしたら良い? 対応オプションは?

レンタルサーバで運用している場合、SSLサービスが提供されていれば利用する。
このサービスには有償、無償の両方が在り得る。

SSL移行する時のありがちな問題点は?

  1. サイト内のリンク切れ(対応オプション:リンクをhttps://に統一するかサイト内リダイレクト設定)
  2. 証明書の更新漏れ(対応オプション:手動で更新するか、自動更新サービスなど利用)
  3. サイト外の非SSLサイトリンクの問題【非SSL外部リンクがあるSSLページは警告される。】(対応オプション:リンク削除しかないだろう。)
  4. 例えばページ内リンクにたった1枚でも貼ってある画像ファイルが「http」の時はアウト。発リンクは良いらしい?(どうせクリックするときに警告されるから同じか。)
  5. 例えばページ内に埋め込まれたコード(iframe、javascript、cssなど)に1個でも「http」があるとそのページはアウト

レンタルサーバーで解決を検討する場合

サーバー解約(乗り換え)を繰り返した理由は「ホームページの安定性」と「独自SSL証明書」の料金体系の違いでした。

上記で紹介したようにSSLにも内容によってランキングがあります。

2018年、これからホームページの独自SSL証明書が一気に重要になります。
GoogleがSSLに対応しないウェブサイトを明快に区別することを宣言しているからです。

もう一つはサーバー応答速度の安定です。Googleで観察するとこういった不安定要因が見えてきます。

私はYahoo!がSSL化する前から自分のサイトをSSL化していました。
過去に2年間使った「ヘテムル」で1年間は有料SSLサービスを使ったのですが、アクセスが少ない小さなサイトなので過剰品質で金銭的に負担でした。
安いので試しに年間契約した「さくらインターネット」でも無料SSL証明書を使って様子を見ました。
結局「ヘテムル」も「さくら」も解約しました。(それぞれ2年間以上は契約継続しました。)




2018年現在は当サイトは契約2年目の「エックスサーバー」を使っています。
結論から言うとこの10年間で一番満足で2年目も先払い年間契約しました。

エックスサーバーでは「独自SSL証明書」は何件使っても無料です。
SSLは最初から独自SSLしか使っていません。
共用SSLでは意味が無いと思ったからです。
実際、Googleも同じSSLでも品質を見て判定区別しています。
設定の手続きも過去に二つのサーバー会社で経験済みでしたが、3件目の「エックスサーバー」が一番分かりやすいです。

前の「ヘテムル」サーバー契約の更新時期になって、他社の無料SSLで自分に合うサービスがあるのか確認しました。
結局「エックスサーバー」を試用期間中に乗換えを決心して年間契約しました。


┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━[PR]━┓
高速・多機能・高安定レンタルサーバー『エックスサーバー』
─────────────────────────────────
・月額900円(税抜)から、大容量200GBからの高コストパフォーマンス
・安定のサーバー稼働率99.99%以上
・高速性を重視し、最新20コアCPU(Xeon E5シリーズ)+192GBメモリ
+RAID10を採用!
・幅広いバージョンのPHPやSSHに対応!
・初心者でも安心の24時間365日メールサポート!
─────────────────────────────────
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛



私が過去に使ったレンタルサーバーホスティングサービス

最初に利用したホスティングサービスは90年代のニフティサーブとかでした。
その他にももう思い出せないほど懐かしい社名のレンタルサーバーを借りてきました。

この数年間ですが、
「さくらインターネット」は2回契約して結局2回とも解約しました。
(2回とも先払いの年間契約で2回目は半年使わずに解約)
値段が手ごろで有名な会社なので決めたのですが、毎月速度が極端に低下することがありました。
変な利用をしているユーザーと同じユニットにされていたのか、私はホスティング会社の無料メールアドレスは使わないのですが、テストで自分に送信するとGoogleの「迷惑フォルダ」に入るのです。
これはサーバー会社のドメインを利用してスパムを使うユーザーが多いのではと思いました。


ほかには米国の「Bluehost」も2回契約したことがあります。
先払いの年間契約ですが、こちらも2回目は中途で解約しました。
日本語環境は無い時期で使った感触は好きだったのですが、
日本が対象のホームページはサーバーも日本に置いた方が良いのかな?と思ったのが解約の理由です。


その他には「ロリポップ」も少し使っていました。
大してアクセスも無いので十分だったのですが、同時に複数アクセスがあると遅くなるそうです。
これは知り合いから指摘されて同じ会社の「ヘテムル」に乗り換えました。
「ヘテムル」は2~3年ほど継続して契約していましたが、これも解約しました。

相性があるので手抜きはできません。

レンタルサーバーは試用期間も用意してくれてるのでこれも利用します。 私の場合は試用から入った4社のサーバーは全て年間契約しました。

そうして使い心地を調べるしか方法はありません。



写真は福岡県にあるヒルトン・シーホークホテルの内観です。
このフロアの中華レストランでランチの予定だったのですが、忙しくて席に着くタイミングを逃しました。
私が海外ビジネスのカンファレンスでフォトセッション企画の責任者だったので、皆といっしょに座って食事は無理でした。
結局食べる暇は無かったです。せっかく用意していただいたのに、残念、、。
前に友人と行ったことあるのですが、またの機会にします。