こんにちは
web担当の吉村です。

毎朝5時半に起きて朝活をしているのですが…
起きても真っ暗なので冬だなあ…と感じる毎日です。

朝はとくに寒いので、布団から出るのが惜しいですね…怠けないように続けていかなくては！

さて、今回は前回に引き続きSSL化の話題です。

前回は「常時SSL化とは何？」「しておかないとどうなるの？」にフォーカスしてお話させていただきましたが、実際に常時SSL化するためには何が必要なのかをまとめました。

（前回の記事はこちら）

＜STEP 1＞サーバー証明書を取得しよう！

常時SSLを利用するには、まずウェブサーバーにSSLサーバー証明書を導入する必要があります。

多くのレンタルサーバーは、SSL標準設置から、オプションで20万円くらいまでの証明書が用意されている場合がありますので、まずはサーバーの情報を確認しましょう！

価格の違いによる暗号の強度の違いはとくにありませんが、SSL証明書の種類によって証明できることが異なります。

【SSL証明書の種類】
・ドメイン認証（DV）
→「ドメイン名（URL）の使用権」が正しく登録したサイトサーバーへ遷移されているかを証明します

・実在証明型（OV）
→「ドメイン名の使用権」「組織の法的実在性」を証明します。サイト運営のなりすましを防ぐことができます。

・実在証明拡張型（EV）
→「ドメイン名の使用権」「組織の法的・物理的実在性」「組織の運営」「承認者・署名者の確認」DV、OVよりも厳格な審査を受けてから発行される、より厳格な証明書です。アドレスバーに組織情報が表示されるので、大手企業がなりすましを防ぐために取得することが多い証明書です。

ユーザー（サイトの閲覧者）に対して、何を証明したいかによって、導入するSSL証明書を考えるのが良いでしょう！
通販サイトなどの個人情報を扱うサイトでは、個人情報の責任を証明するためにもOVやEVをおすすめしますが、SEO対策や今まで常時SSL化をしていなかったけど導入したいようなWEBサイトではDVでも十分と言えますね。

＜STEP 2＞サイト内のコードを見直そう！

WEBサイトのhtmlデータを見直しましょう。
ページ遷移（リンク）、画像、cssやjsのパスなど、内部リンクとよばれている箇所のURLが絶対パスの記述で、かつhttp://（=保護していない通信）記述である場合、せっかくSSL証明書を導入しても常時SSL化ができているとはいえません。

記述はすべてhttps://（=保護された通信）に変更するようにしましょう！

※注意※
他のサイト（別のドメイン）へリンクさせる場合の外部リンクは、リンク先のサイトがSSL化していないとリンクが途切れてしまいます。
外部リンクはSSL化のコード変更の範囲に触れませんので、http://のままでも構いません。

＜STEP 3＞httpから、httpsにリダイレクトさせよう！

SSL証明書も取得し、htmlコードも書き換えても「閲覧ユーザーがhttp://でアクセスしてきた場合」は意味がありません…。
とくにすでにWEBサイトを作成・運用している場合、外部のサイトや検索エンジンがhttp://をサイトのアクセス方法だと認識している可能性が高いです。

最後の作業は「閲覧ユーザーがhttp://でアクセスしてきた場合でも、強制的にhttps://に移動させてしまう」処理を行います！

1）WEBサーバーの直下に「.htaccess」ファイルを追加または、「.htaccess」ファイルを編集します。
2）htaccessファイルにリダイレクトのコードを追加します。（WEBサーバーによって適したコードが少し違う場合がありますので確認しながら作業しましょう！）
3）http://〜でアクセスしてみて、無事https://〜にリダイレクトされれば成功です！

いかがでしたでしょうか。
常時SSL化について2回にわたりご紹介でした。

WEBサイトは企業・ブランドのインターネット上の顔です。
常時SSL化することで信頼・信用の証明にもなりますので、まだ未実装の場合はぜひ参考にしてください！

弊社でも常時SSL化のご対応可能です！お気軽にご相談ください。

＜参考＞
https://cybersecurity-jp.com/security-measures/25772
https://jprs.jp/pubcert/about/aossl/