WEB業界で働く人や興味がある人に役立つ情報サイト“qam（カム）”

投稿者： コロ
カテゴリー： マーケティング >ディレクション

『httpからhttpsへの移行が本格化へ』というエントリーを前回アップしましたが、これについて具体的にどう動けばいいのか？という問い合わせをいただきました。今回は2つの方法をご紹介します。

これまで行われてきた従来のSSL（全体https）化

これまで行われてきた従来のSSLの実装とは、信頼できるプロバイダーからSSL証明書を購入し、それをさらにサイト全体に実装する方法です。
※googleは、Symantec発行の証明書は今後、信頼しないと発表を行いました。
会社はいくつかありますが、VeriSign、GeoTrust、RapidSSLといったブランドが比較的有名とされています。

<メリット>

• 完全なセキュリティ
• ブラウザのアドレスバーに緑色の南京錠と社名がはいる
• サブドメインでも対応可能

とメリットは多くのありますが、
大きな欠点としては、『費用が高い』ことが挙げられます。

では、それ以外には方法は全くないのか？というとそうでもありません。
Let’s Encryptによる常時SSL（全体https）化があります。

Let’s EncryptによるSSL化

Let’s Encryptは、無料のSSL証明書を提供している無料サービスです。証明書の入手は無料ですが、先述にてお伝えしたhttpsの実装に非常に似ています。

• 費用は無料
• 実装が簡単
• セキュリティに関して、有名どころのサービスと大きく代わることがない。

しかし、こういう話にデメリットは必ずつきものです。
もし今お使いのサーバーが共用サーバの場合、Let’s Encrypt自体に対応しているサーバでないといけません。
※2017年11月現在対応しているサーバーとしてはエックスサーバーとZenlogicが発表しています。
ここをクリアにしようと思うとサーバーの乗り換えが発生します。

上記手法はたくさんあるうちの1つでしかなく、「一概にこれがおすすめです。」「これが絶対です。」というものは存在しません。
そもそも常時SSL（全体https）化しないでサイトを閉じることも1手だとgoogle側は発言しています。
運営者側の状況や予算、リテラシーの総合で判断して常時SSL（全体https）化を推し進めていかなければいけません。「まずどこから手をつけたらいいか分からないけど、上司に言われたんだ」という問い合わせからでも結構です。お気軽にご相談ください。