知らなかった!さくらレンタルサーバを使っていれば、「共有SSL」でSSLサーバ証明書が無料で使えるなんて。

使い方は、コントロールパネルにログインして、「共有SSLを利用する」を選択し「送信」を押せば、「https://〜」のセキュアな接続を利用することができるようになり、SSLサーバ証明書を使えるようになります。
さくらサポートページ:http://support.sakura.ad.jp/manual/rs/web/ssl_shared.html

さくらインターネット管理画面SSL設定

ただし、これは初期ドメインに限ります。初期ドメインというのは、さくらレンタルサーバと契約した際に、最初に付与された「○○○.sakura.ne.jp」というドメインです。初期ドメインのまま使っているひとはラッキーですね。

 

SSLサーバ証明書とは?

SSLサーバ証明書

SSLサーバ証明書とは「認証局」と呼ばれる組織が、サーバ管理者の申請情報からそのサーバが信頼できることを認めた証として発行する証明書です。
http://www.ssl.ph/compare/ssl/datalibrary/contents01.html より引用

サーバを運営する組織名、証明書を発行した認証局の組織名、証明書の有効期限、サーバの公開鍵などの情報が表記されていて、認証局の秘密鍵で暗号化された電子署名が付いています。

SSLサーバ証明書を導入することで、偽物ではない、正規のWebサイトであることが証明され、信頼性・安全性の向上につながります。

 

SSLサーバ証明書を導入するメリットは?

たとえば、個人情報を入力するお問い合わせフォームや、ECサイトで決済する際に、入力内容が暗号化されますので、攻撃者に傍受されづらくなります。ユーザが安心してWebサイトを利用できるようになりますね。

また、最近の傾向として、GoogleやYahoo!の検索サイトやGmailが「常時SSL化」をすすめており、「Googleが、SSL化されたWebサイトを検索結果に優位に表示させるのでは」といった話題が出ており、もしかしたらSEOに優位にはたらくのでは、といった見方が出ています。

※常時SSLとは、ログインページや決済ページなど通常暗号化が必要とされているページだけではなく、全てのページをSSLで暗号化する手法です。

 

SEOを意識したSSL化は本末転倒

しかし、そういう話が出てくると、SEO対策として「SSL化すると良いですよ」なんて言うコンサルタントやSSLサーバ証明書の代理店が現れるのは、目に見えています。

なぜGoogleがSSL化したWebサイトを評価しようとしているのかというと、「信頼性・安全性に配慮しているWebサイト」ということで「良いWebサイト」と見ているのです。

「SSL化すればSEOに有利」なんて本末転倒なことになりそうだとすると、SSL化したWebサイトを上位表示させるというアルゴリズムは実現しづらいかもしれませんね。

 

独自ドメインのWebサイトをSSL化する方法

さくらレンタルサーバの例で言うと、有料でSSLサーバ証明書を発行してもらって、それをインストールすることになります。証明書は、2千円程度のものもあれば、17万円くらいするもの(EVSSL)もあります。

さらに、サーバは「さくらのレンタルサーバ ビジネスプロ」か「さくらのマネージドサーバ」である必要があります。

 

515円のスタンダードプランの独自ドメインでは、SSLを導入することができないのか

非推奨の共有SSLなら導入できます。しかし、同じホスト名を複数のユーザで共有するため、セキュリティ的に「導入前より危険な状態になる」とのこと。また、「https://〜」ではアクセスできません。導入のメリットはほぼないのが実情です。

ですので、先に書いたように、有料でSSLサーバ証明書を発行してもらって、それをインストールするということになりますが、「さくらのレンタルサーバ ビジネスプロ」か「さくらのマネージドサーバ」にプランを変更して、サーバ内のデータを、新しく契約したサーバに移行すればよいです。WordPressの場合は、データベースも移行しなくてはなりませんので、ちょっと大変ですが。

尚、さくらのクイックインストールでWordPressを使っている場合は、サーバ情報などが変わってしまうので、情報を書き換えないと正常に動作しない可能性がありますので、ご注意ください。

「証明書発行の料金」と、「サーバの料金」とでコストアップにはなってしまいますね。

 

常時SSL化の注意点

ページ内に「https://〜」と「http://〜」が混在していると、警告表示などが出て面倒なことがあるようです。

ですので、画像リンクURLなども、絶対パスではなく、相対パスで書く必要がでてきます。そうなると、WordPressのように、全ての画像リンクを絶対パスで書いてある場合は…大変そうですね。

また、「http://〜」と「https://〜」は別のWebサイトとみなされるとのことですので、301リダイレクトの処置をきちんとしないと、重複コンテンツになってしまう心配があります。また、一時的に検索順位が落ちることもあるとの情報もあります。

 

ついでに、話題のOpenSSLとは

OpenSSLとは、これらのSSLサーバ証明書をインストールして機能させるのに使うソフトです。

さくらのレンタルサーバ ビジネスプロでは
Apache1.3x系+mod_ssl+OpenSSL、

さくらのマネージドサーバでは
Apache2.x系+mod_ssl+OpenSSL

が使われています。

 

「さくら」さんから面白い提案をいただきました

そんなこんなで、色々丁寧に、さくらインターネットの電話窓口のかたに教えていただいたのですが、最後に面白い提案をいただきました。

「今のままで、お問い合わせフォームなど、一部のページにだけSSL化を施すことはできますよ」

えっ、どういうことですか?と尋ねると、

①まずコントロールパネルで「共有SSLを利用する」を選択し「https://初期ドメイン」を使えるようにして
②お問い合わせフォームだけを「初期ドメイン」のURLにする。

これで、お問い合わせフォームだけ、SSL化されたページにすることができるということです。なるほど!これなら、お問い合わせをくださったユーザの情報は守られますね。

 

最後に

色々気になる、WebサイトのSSL化。やっぱりすぐに導入は難しいですが、いちおう検討課題のひとつとして、頭においておこうかなと思います。

くれぐれも、便乗業者にだまされたりしませんように!