あなたのサイトはもうSSL化・HTTPS化が済んでいますか？

無料または年数百円という低コストでSSL化を実現する3つの方法を紹介します。

• AWS Certicate Manager
• Let's Encrypt
• 年間数百円の格安SSL/TLS証明書

必須になりつつあるSSL化

以前はSSL化(HTTPS化・通信の暗号化)が必要なのは「ユーザーの情報をフォームで送信する場合」とされていましたが、ここ数年「すべてのサイトが全体をSSL化すべし！」というAOSSLの運気がどんどん高まっています。

以前からSEOにも影響すると言われてきましたが、Google Chromeは2018年7月のバージョンアップから、SSL化されていないサイトを閲覧しているときアドレスバーに「保護されていない通信」「保護されていません」と本格的に表示するようになりました。

Chromeの強制的な警告表示が2018年7月から開始

PWA(Progressive Web App)対応でもSSL化が大前提となっています。本ブログで度々紹介しているWebサイトの監査を行うLighthouseも、SSL対応は重要な採点項目のひとつです。

SSL化を求める理由

誰でも見ることのできるコンテンツを配信しているだけなのに、なぜそこまで神経質になるのでしょうか。

理由のひとつにCookieの保護があります。

Cookieによる閲覧者の識別は、目に見えないところでますます活用が進んでいますが、SSL化されていないサイトではCookieが平文で通信されてしまいます。

SSL化された領域とそうでない領域が混在するサイトが最も危険で、せっかく暗号化された通信で開始されたセッションが、その識別情報を暗号化されていない通信で乗っ取られることも起こりやすくなります。

理想を言えば企業の実存も証明するOVタイプやEVタイプの証明書が欲しいところですが、もちろん高価でもあります。そこまで予算をかけられないサイトもあるでしょう。

今日はサイトシールのないDVタイプの証明書ですが、無料または年数百円という低コストでSSL化を実現する方法を紹介します。

AWS Certificate Manager (ACM)

クラウドコンピューティングで世界をリードし続けるAmazonが2016年1月、ついにAWS上でのSSL/TLS証明書利用を無償にしました。

AWS Certificate Manager

具体的な使い方は多くのブログなどで紹介されているため割愛しますが、簡単な特徴は以下の通りです。

メリット

• 取得も更新も無料
• ドメイン認証はドメイン管理者へのメール送信またはDNSへの特定レコード登録でスピーディーに実現
• 更新が自動で行われるので楽ちん(ワイルドカードSSLの場合は年に1回メールで更新の確認が来ます)

デメリットや制約

• AWS上の特定サービスでしか使えない(ELB/ALB、CloudFront、API Gatewayなど。EC2単体での利用は不可)
• 秘密鍵と証明書をエクスポートして自分のサーバで使うことはもちろん不可

証明書取得というよりはレンタル(ただしAWSのゲートウェイタイプのサービスに限る)という言い方の方が

このブログもMovable Type for AWSで運用していますが、ACMで証明書をレンタルしたCloudFrontを経由してご覧いただいており、無料でSSL化を実現しています。

Let's Encrypt

奇しくもACM登場の3ヶ月後、2016年4月に任意のサーバでのSSL/TLS証明書の取得を無償化するLet's Encryptがサービスインしました。

メリット

• Webサーバー上でコマンドを実行するだけでSSL/TLS証明書が取得できる
• ApacheとnginxであればWebサーバの設定まで自動で行ってくれる
• cronで定期的にコマンドを実行すれば証明書の更新も自動で行ってくれる

デメリットや制約

• UNIXのサーバー管理スキルとroot権限が必要
• シェルコマンドの実行やroot権限が必要なのでマネージド型のレンタルサーバでは利用不可
• 証明書の有効期間が90日間と短い(プログラムによる自動更新を前提としている)

こちらも従来のSSL/TLS証明書設定のプロセスを考えると魔法のようなサービスですが、エンジニアでなければ使い方を見て目眩を覚えることでしょう...

Let's Encryptの使い方

格安SSLリセラー

上記の無料証明書を利用できない場合も、1年あたり数ドル(数百円〜千円強)のコストでSSL証明書を取得することができます。個人的に使うことが多いのは次のサイトです。

SSLストア

GoGetSSL

数年前に調べたときに価格が安く、実際に利用してみてレスポンスもよかったことが理由ですが、Comodoなどの格安証明書の再販サイトは他にも多数あります。お気に入りのサイトを探してみてください！

メリット

• マネージド型のレンタルサーバやCDNで自由に使うことができる
• コストが安い
• 大抵の場合、CSR申請から数十分でSSL/TLS証明書の取得が完了する

デメリット

• 数ドルのSSL/TLS証明書には組織の実存証明やサイトシールがない
• 秘密鍵やCSRの生成は自分でしなくてはならない
• Webサーバへの設置は自分でしなくてはならない
• 年に1回更新が必要(数年分まとめて購入することも可能)

SSL/TLS証明書取得の最初のステップである秘密鍵とCSRの生成も、初心者やエンジニア以外の人が行うにはハードルが高いものです。

最近はその作業をWeb上のフォームで簡単に行うためのツールも登場しています。

Online CSR Generator (GoGetSSL)

CSR Generator

とっても便利ですが、暗号化されているとはいえ秘密鍵をWeb経由ダウンロードすることになります。ご利用は自己責任で！