【運用しているブログが表示されなくなるかも?】初心者でも分かる、ウェブサイトのSSLについての説明とWordPressでの設定方法概要

雑記
2022.01.03

こんにちは、しゅうです。

このブログの読者の方の中には、ブログやウェブサイトを運用されている方も多いかと思います。

最近ではサーバー契約すれば、WordPressで比較的簡単にウェブページが作成できるようになりました。

そういった背景もあり、サイトのセキュリティについて対策しないままウェブサイトの運用を始めてしまった方も多いのではないでしょうか?

この記事では、現代のウェブサイト運用には必須となったSSLについて、なぜSSLが必要なのかを説明すると共に、すでにウェブサイトの運用を始めているが、SSL設定がまだ出来てないという方向けに、SSLの設定方法について概要を解説していきます。

SSL(TLS)とは?

SSLとは、ウェブページが安全であることを証明する証明書です。

現在では実質SSLはほとんど利用されておらず、TLSという技術に置き換わっているのですが、SSLという名前が一般的に浸透しているため、本記事でもSSLと表記します。

SSLの役割は大きく分けて二つあります。

インターネット通信のデータを暗号化する

SSLを設定することで、ユーザーがウェブサイトを閲覧する際のデータは暗号化されてやりとりされます。

SSLが設定されるとドメインがhttpからhttpsに変更されます。

ウェブサイトの所有者情報を保証する証明書を発行

SSLを設定すると、認証局と呼ばれるサーバーに、ドメイン単位で証明書が発行されます。

ユーザーは、この証明書を元に暗号化されたデータを元に戻さなければ、ウェブサイトを見ることができません。

もちろん、ブラウザが勝手にデータを元に戻してくれるので、意識せずにウェブサイトを見ることはできます。

shulog.netで発行された証明書。ブラウザのドメインが表示されている鍵マークから確認ができる

SSLの役割

SSLには大きく分けて三つの役割があります。

なりすまし、かいざん、盗聴などインターネットでよく起こる犯罪を防止できる

インターネットでおこなわれる代表的な犯罪行為として、なりすまし、かいざん、盗聴がよく挙げられます。

なりすましは、サイト運営者になりすまして、クレジットカード番号など、ユーザーの情報を聞き出すことです。よく問題として挙げられる、フィッシング詐欺もなりすましに当てはまります。

盗聴はユーザーが送ってきた情報を盗み見される行為です。メールアドレス、住所などの個人情報が漏洩することなどは良くニュースで目にする方も多いと思います。

かいざんは、ユーザーが送ってきた情報を変更して、サイト運営者に渡してしまう行為です。クレジットカードの番号を犯罪者の口座に変更してしまえば、簡単にお金が騙し取られてしまいます。

通信時の暗号化によって、こういった犯罪の防衛策をおこなうことが可能です。

ウェブブラウザに安全なウェブサイトと評価してもらえる

SSLが設定されていない場合、ウェブブラウザで「このサイトへの接続は保護されていません」と表示される

SSLが設定されていない場合、最近の主要ウェブブラウザでは上記の図のようなアラートが表示されます。

こんな表示が出ているウェブサイトを利用して買い物はしたくないですよね笑

SSL証明書が有効な場合は、以下のような表示になります。

SSL証明書が有効な場合のブラウザ表示(Google Chorome)

なんと、過去にはGoogle Chromeのアップデートでhttps通信設定されていないウェブサイトが表示されなくなったことがありました

検索エンジンで優先的に上位に表示される

最近の検索エンジンの順位評価はSSLが設定されているかで影響があると言われています。

例えば、GoogleではSEOをおこなう際はHTTPSでの通信を推奨しているため、影響があることは間違いないです。

参考URL:https://developers.google.com/search/docs/advanced/security/https?hl=ja

サーバー証明書の設定方法

SSLサーバー証明書はドメインを契約しているサーバーで申し込むことが多いです。運用しているウェブサーバー業者によって異なりますが、大半のサーバーではドメイン毎にSSLの申し込みが可能です。

SSLは有料サービスのほか、無料のサービスもあります。

代表的な無料SSLサービスは「Let’s Encrypt」というサービスです。

無料SSLサービスの特徴は以下の通りです。

  • 費用がかからない
  • 無料で取得できるためフィッシングサイトなどで悪用されることが多い
  • 運営基盤の資金が寄付で支えられている場合、通常の認証局よりサービス提供終了のリスクが高い

一方、有料の場合は、以下の通りです。

  • 手厚いサポートを受けられるものが多い
  • 費用がかかる

最低限、ブラウザや検索エンジンに評価されるだけの目的なら無料で良いかと思います。

有料の場合はドメイン認証型、企業認証型、EV認証型に分かれます。

ドメイン→企業→EVの順に認証の審査が厳しくなるイメージを持ってもらえればと思います。

例えば仕事の取引をする際に、山田太郎と名前だけを言われるより、〇〇株式会社の山田太郎と企業名まで教えてもらった方がより信頼できますよね。そういうイメージでOKです。

WordPressで既にウェブサイトの運用が始まっている場合の注意点

WordPressで、すでにウェブサイトの運用が開始されている場合、様々な設定を変更する必要があります。

例えば、WordPressに保存してある画像やリンクのURLなど、システム内の多くの箇所でhttpで設定されている箇所をhttpsに変更する必要があります。

こういった変更は、プラグインで解決しましょう。

Really SimpleSSLを利用すると、以下の設定をおこなうことが可能です。

  • リンクや画像URLなど、httpで記述されている箇所を全てhttps化
  • httpのページはすべてhttpsページにリダイレクトされるように設定

SSLを設定するとhttpsのページとhttpのページ両方が存在することになります。

例えばGoogle検索してあなたのブログが表示されても、Googleでhttpのページが登録されていると、httpのページが表示されてしまいます。

これを防ぐためにhttpのページからhttpsのページへ自動的に遷移する設定がリダイレクトとなります。

Google AnalyticsやGoogleサーチコンソールの設定はReally SimpleSSLでは変更できないため、別途設定をおこなう必要がある

まとめ

この記事では、まず、SSLの機能について以下の2点を説明しました。

  • インターネット通信のデータを暗号化する
  • ウェブサイトの所有者情報を保証する証明書を発行

また、SSLの役割について、以下の3点を説明しました。

  • なりすまし、かいざん、盗聴などインターネットでよく起こる犯罪を防止できる
  • ウェブブラウザに安全なウェブサイトと評価してもらえる
  • 検索エンジンで優先的に上位に表示される

その上で、サーバー証明書の設定方法を説明し、無料の証明書であればLet’s Encryptが良いということもお伝えしました。

また、Really SimpleSSLを利用することでWordPressの設定も変更できることをお伝えしました。

セキュリティ対策は初心者の内はクリエイティブな作業ではないので、後回しにしがちですが、本記事でその重要性がわかっていただけたかと思います。

是非参考にしてみてください、ではまた!

↑Premiere Proの申し込みはこちらから
雑記
シェアする
しゅう
シュウログ

コメント

タイトルとURLをコピーしました