JPドメイン名のサービス案内、ドメイン名・DNSに関連する情報提供サイト


サーバー証明書発行サービス

常時SSL化について

「常時SSL化」とは

Webサイトの一部のみをHTTPS化するのではなく、Webサイト全体をHTTPS化することを常時SSL化(常時HTTPS化)と呼びます。
従来はログインページやクレジットカード決済ページなど、Webサイト上でパスワードや個人情報等を入力するページのみをHTTPS化して通信を保護することが一般的でした。
しかし近年、インターネットにおけるセキュリティ意識の高まりやGoogle Chromeなどの主要なブラウザーでの対応を受け、Webサイト全体をHTTPS化することが求められています。

このページでは、常時SSL化のメリットや対応までの流れ、押さえておきたい注意点などについて解説します。

常時SSL化のメリット

Webサイトを常時SSL化することにより、Webサイトのセキュリティ向上(なりすましや盗聴の防止など)やアクセス解析の精度向上(解析ツールへのリファラ情報の引き渡しなど)などの効果が見込めます。

HTTPS化されたWebサイトではブラウザーのアドレスバーに鍵(南京錠)マークを表示されるため、Webサイト訪問者に見た目で安心感を与えることができるというメリットもあります。

Webサイトの高速化

また、通信が効率化され、Webサイトの表示を高速化する次世代プロトコル「HTTP/2」を利用するには、HTTPSで通信することが事実上必須となっています。かつては、Webページをhttpsにすることは、Webサーバー、ブラウザー両方に負荷がかかり、表示が遅くなることもありましたが、HTTP/2が登場したことにより、HTTPS化、常時SSL化はWebサイトの表示を高速化させる要素となりました。

常時SSL化の広がり

常時SSL化は、Webサイト訪問者に安心してWebサイトを見てもらうために重要なことであり、昨今のWebサイト運用において非常に重要となっています。

大手サイトや政府系サイトの対応

GoogleやYahoo!JAPANといった検索ポータルサイト、TwitterやFacebook、InstagramといったSNSもユーザー保護の観点から常時SSL化されています。
日本の政府機関においても、情報セキュリティ対策を規定する「統一基準」の見直しが進んでおり、政府機関の全Webサイトの常時SSL化が義務化される見通しです。(2018年5月時点)

これらのことからもわかる通り、Webサイトの運営者・訪問者の双方にメリットをもたらす常時SSL化は、インターネット全体のトレンドになっているといえます。

常時SSL化していないとどうなるのか?

「http」のままでは警告表示も

今後、主要なWebブラウザーでは、「http」のWebサイトを表示する際、アドレスバーに警告が表示されることが発表されています。 2018年7月にリリース予定のGoogle Chrome 68では、「http」のWebサイトにアクセスした際、アドレスバーに「保護されていません」と表示されるようになります。Webサイト訪問者に不安を与える警告を表示させないためにも、Webサイト全体をHTTPS化にする常時SSL化が必要です。

各ブラウザーのアドレスバーの表示例

2018年7月以降の各ブラウザーのアドレスバー表示例

常時SSL化までの流れ

1 CSRの作成
CSRの作成方法はコチラ
2 証明書の購入
JPRSサーバー証明書を取り扱っている指定事業者はコチラ
3 発行審査
JPRSサーバー証明書の認証方法はコチラ
4 サーバー証明書のインストール
サーバー証明書のインストール手順はコチラ

常時SSL化する際の注意点

常時SSL化したのにアドレスバーに鍵(南京錠)マークが表示されないページがある場合

HTMLソースの中に「http」で記述されたリンクが残っている「mixed content」という状態になっている可能性があります。

mixed-content時の各ブラウザーのアドレスバーの表示例

mixed-contet時の各ブラウザーのアドレスバー表示例

常時SSL化した場合、URLはhttpsから始まるものに変更となります。そのため、HTMLファイル内の内部リンクやサイトマップに記載しているURLをすべてhttpsから始まるものに書き換える必要があります。特にimgタグや、cssを読み込むリンク先などでhttpから始まる絶対パスを使用し、一つのページ内でhttpsとhttpが混在する状態となった場合、「mixed content」という状態となり、ブラウザーによっては鍵マークが表示されなかったり、警告が表示されることがあります。

mixed contentを避けるために、内部リンクのURLを

  • 一律「https://」から始まる絶対パスに書き換える
  • 絶対パスではなく、相対パス(もしくはルート相対パス)で記述する

のどちらかを行う必要があります。

なお、外部リンクに関しては、httpのURLで記載していても、mixed contentとなることはありませんが、スタイルシートや画像を外部から読み込んでおり、そのURLがhttpの場合はmixed contentとなってしまいます。読込先がhttpsに対応していればhttpsに書き換え、非対応の場合には外部からの読み込みを中止するなどの対策が必要です。特に動画や広告バナーなどがhttpのURLで記載してないか、注意してください。

ブラウザーに搭載された開発者向けのツールを用いることで、ソースコード上でmixed contentの原因となっている箇所を特定することができます。

httpから始まるURLのケア

「https://example.jp」と「http://example.jp」の二つのURLはよく似ていますが、インターネット上では別のURLとして扱われます。外部のWebサイトに記載されたリンクのURLがhttpから始まるURLの場合、常時SSL化しURLがhttpsに変わった際にリンク元からアクセスできなくなるため、httpで運用されているURLのケアが必要となります。
主な対策として、httpsのWebサイトへのリダイレクトを設定することが挙げられます。

外部連携サービスの設定変更

アクセス解析ツールや、サイト内検索などで外部連携サービスを利用している場合、登録しているURLをhttpで始まるものから、httpsで始まるURLに変更する必要がある場合があります。

サブドメインで運用しているページが多数ある場合

HTTPS化のためには、ホスト名単位でサーバー証明書を設定する必要があります。そのため、複数のサブドメインで運用しているWebサイトを常時SSL化する場合、ワイルドカード証明書がお勧めです。