本ページはプロモーションが含まれています
共有SSLとは?
共有SSLとは独自SSLとは違い、レンタルサーバーが代行して取得しているSSLのことです。ほとんどのレンタルサーバーでは、無料で手軽に利用することができるようになっているため、誰でも簡単にSSL化したWebサイトを実装できるのが特徴です。
ただ、ドメインの所有権や組織の身元の証明がレンタルサーバー会社に発行されているため、自分の独自ドメインで常時SSLを実装することはできません。その場合は独自SSLを使用する必要があります。
共有SSL導入の注意点
共有SSLは証明書の発行手続きなど、SSL実装の手間が省ける一方で、デメリットや制限される点もあります。
ページのURLが変更される
独自ドメインで運用しているWebサイトで、個人情報やクレジットカードを扱う一部のページのみ共有SSLを使用してSSL化している場合、そのページにアクセスした際にレンタルサーバーのURLに変わります。
独自ドメイン:http://xxx.com
↓個人情報やクレジットカードを扱うページにアクセス
レンタルサーバーのドメイン:https://xxx-yyy-zzz.lolipop.jp
SSL化されているため、安全なページに変わりはないのですが、ユーザーにとってはURLが変わったことに対してフィッシングサイトかな?と不信感を抱くかもしれません。
共有SSLを使用できないプラグインがある
WordPressでプラグインを使用してWebサイトに機能を追加している方が多いと思います。しかし、プラグインに中には、共有SSLを使用できないものも多数あります。
冒頭でも述べた通り、共有SSLは独自ドメインで使用することはできません。共有SSLを使用したページのみ、レンタルサーバーのドメインに変更されます。
そのため、プラグインも異なるドメイン上でSSL化に対応させなくてはならず、ほとんど無理やりプラグインのシステムを変えることになります。
プラグインのバグにつながる恐れがあるため、プラグインの製作者は共有SSLの使用を推奨していない方がほとんどです。
問い合わせフォームのWordPressプラグインとして有名な「Contact Form 7」の製作者さんも共有SSLではなく独自SSLの使用を公式に発表しています。
Takayuki Miyoshi (@takayukister)
Contact Form 7 プラグインは「共有SSL」環境下では動作しません。おそらく他の問い合わせフォームプラグインでも同様と思います。「共有SSL」ではなく本来の真っ当な SSL の使用を推奨します。
#
「共有SSL」で Contact Form 7 を使用する「ハック」だの「修正」だのといったいい加減なブログ記事をよく見かけますので、この機会に(読んでいる皆さんにも)忠告させてもらいますが、どれも内容は単にプラグインの動作処理を毀損しているだけのことで、その結果重大なセキュリティ上の欠陥を招く恐れもあります。通信を保護するために SSL を導入しているはずが結果的には脆弱にしてしまっています。そこまでして「共有SSL」を使う意味があるのか考えてみてください。
共有SSLのサブミット先のURLの書換について | WordPress.org 日本語
共有SSLは、あまり複雑なシステムを使用していないブログ等のWebサイトや自分だけが利用するWebサイトに対して使用するのがおすすめです。
ロリポップ!で共有SSLが利用できるプラン
| エコノミー | ライト | スタンダード | ハイスピード | エンタープライズ | |
| 共有SSLの利用 | × | ○ | ○ | ○ | ○ |
|---|
共有SSLはエコノミープランでは使用できません。エコノミープランを利用していて共有SSLを実装したい場合はプラン変更を行いましょう。
各プランの詳しい内容や契約条件は公式サイトをご参照ください。
ロリポップの共有SSLサーバ証明書の認証局
ロリポップ!の共有SSLはDigiCertという認証局が発行しています。世界でも多くのシェアを持つ安心できる認証局です。
2017年9月11日にGoogle社が、業界標準の監査プロセスを経ず不正に証明書を発行していたとして、Symantec社のSSL証明書を無効化すると発表し、多数の企業が対応に追われました。
Google社による公式発表はこちら
DigiCert社はそのSymantec社を後に買収しています。
どこの認証局が発行しているか気にしていなかった方も、こういった事例がありますので、実装を検討しているSSL証明書はどこが発行しているのか確認してみると良いでしょう。
すでにWebサイトをSSL化している方は、ブラウザのURL欄にある鍵のアイコンがついた「保護された通信」をクリックし、「証明書」→「有効」のリンクをクリックすることで確認することができます。
ロリポップ!の共有SSLを設定する方法
前置きが長くなりましたが、ここからロリポップ!の共有SSLの設定方法を紹介していきます。
とても簡単なので、実装はすぐに終わるかと思います。
共有SSLのURLを確認
トップページよりユーザー専用ページにログインしてください。
「ユーザー設定」→「アカウント情報」をクリックしてください。「共有SSL」の欄に共有SSLのURLが記載されています。
このドメインに共有SSLを利用したいファイルをアップロードするだけです。
共有SSLを利用したいファイルをアップロード
通常通り、ファイルを共有SSLのドメインにアップロードします。ロリポップ!FTPでもCyber dackなどのFTPソフトでもどちらでも構いません。
サブドメインを使用している場合
サブドメインを使用し、複数のサイトを運用している場合、共有SSLのドメインの直下に公開ディレクトリとして指定しているフォルダをいれてアクセスします。
「共有SSLのURL/サブドメインのフォルダ名/アップロードしたファイル」
ロリポップ!の共有SSLでWordPressを使用する方法
冒頭で解説した通り、WordPressなどCMSを共有SSL上で運用させるには、いくつか注意点があります。
それでも、自分だけが運用するサイトやプラグインをほとんど使用しないシンプルなブログサイトなどでは手軽にSSLできて便利です。
共有SSL上にWordPressを構築する方法は下記の記事がとてもわかりやすいのでそちらを参考にしてみてください。
ロリポップ!の共有SSLでwelcartを使用する方法
WelcartなどEC構築ツールを共有SSLを使用することはあまりおすすめできません。セキュリティ担保の面でも独自SSLを使用することをおすすめします。
どうしても共有SSLを使用したい方は下記の記事が参考になると思います。
ロリポップ!の共有SSLの使い方まとめ
共有SSLは便利な反面、使い方を選ぶ必要があります。今回の記事を自分のWebサイトで共有SSLを使用しても問題はないかの判断材料にしてください。
デメリットもありますが、きちんと活用すれば安全なSSLサイトを実装できるのでよく考えてみてください。
