常時SSL設定に関しての注意点
常時SSL設定にしたいのですが、注意点はありますか?
近年、Webサイトの閲覧をHTTPSで行うことが推奨されるようになり、各ブラウザの表示などもHTTPSでない場合にエラーなどが表示されるようになってきております。今後もその傾向は強くなっていくことが決まっております。
また、常時SSL化(全ページをHTTPS閲覧にすること)によりSEOの効果やユーザーの閲覧環境によっては盗聴、パケット改ざん防止の効果があります。
今後は、ブラウザのベンダーなどの方針により
・「SSLでないこと」が注意喚起される(今後、表示そのものが出来なくなる可能性があります)
・DV証明書を利用した常時SSLが普通の状態であるようにユーザーに見える
・EV証明書を利用した常時SSLがよりセキュアであるようにユーザーに見える(アドレスバーにおいてはEV/OV/DVの区別はなくなるようです)
という流れが想定されております。弊社としては、最低限、DV証明書で常時SSLであることをお勧めいたします。
(証明書のブランドに関して、API連携などの特定用途がなければそれほど重要ではありません。)
RCMSでも常時SSLの設定が通常であるという観点で開発が進んでいきます。
ただし、以下の注意点がありますので、よくご確認の上、設定をお願いいたします。
【注意点】
・RCMSで常時SSL設定を行っても、画像のパスやリンクなどの記述がhttp://で始まる場合には、それらの記述を修正していただく必要があります。(RCMSでは、/から始まる絶対パスでの記述を推奨しております)
(2018年4月正式版より常時SSL設定時にはContent-Security-Policy:upgrade-insecure-requestsを自動的にレスポンスヘッダーで送出するようになりました。)
・ソーシャルメディア(Facebookのいいね等)のシェア数のカウントがリセットされます。
ただし、Smartyなどを利用してでソーシャルメディアのプラグインの記述を工夫するとリセットされずに移行は可能です。
※ソーシャルメディアのプラグインの記述で、常時SSL化した日付より前のページでは、data-hrefなどをhttp://に変更するような処理になると思います。
・広告のタグや外部のサービスと連携している場合には、HTTPSに対応しているか等の確認が必要です。(Google Analyticsは問題ありません)
・常時SSL化した場合に、なんらかの理由で常時SSL化の解除を行うと1年間の間、そのサイトにアクセスできないユーザーが発生する場合があります。(2019年1月正式版で24時間から365日に変更)
理由)RCMSでは、常時SSL化の設定をするとHSTS (HTTP Strict Transport Security) というヘッダーを出力するようになります。これが24時間の有効期限になっている為です。
・SSL証明書等に不備(有効期限切れなど)が発生すると、全サイトが閲覧できない状態になってしまいます。
・TLS1.0やTLS1.1は2019年内を目処に順次停止を行っておりますので、場合によってはアクセスできないデバイスが発生します。
参考)RCMSでは、今後、順次TLS1.0/1.1の利用停止を行っていきます。
https://www.r-cms.jp/news/detail/id=605
以上、注意点はありますが、常時SSL化は是非行っていただきたい設定ですので、ご検討いただければ幸いです。
[追記(2017年7月)]
常時SSLの設定が、管理画面内の「アカウント設定」で可能になりました。
=> 管理画面内から、常時SSLへの変更が可能に