最近、Googleが常時SSL対応しているサイトを、検索結果で優遇させると発表いたしました。
Googleの各種サービスでも常時SSL化の対応されていますし、弊社のお客様でも対応されることが多くなりました。
そんな常時SSLについて、切替の際に気を付けなければならないことがたくさんあります。
■常時SSL対策で確認しておきたいこと4点
・Cookieにsecure属性を付与しているか。
・JSやGoogleアナリティクスの設定はhttps接続に対応しているか。
・httpでサイトにアクセスした際にhttpsのURLにリダイレクトを行っているか。
・会社や名刺、Webサイト上の自社サイトURLを修正する必要があるか。
開発者の方だけでなく、会社の担当者として知っておかなければならないこともありますね。
本日は上記4点をご紹介していきます。
Cookie(クッキー)にsecure属性(セキュア属性)を付与していますか?
Cookieには「属性」というものがいくつかあります。属性では読み取りに関しての細かな設定を行うことができます。
Secure属性は、Cookieの送信をhttps接続時のみ行うことが出来るように制御する設定です。
同じドメインでもhttp接続した際に情報の読み取りが出来てしまうと、せっかく常時SSL対応した効果が薄れてしまいます。
そのためにも、secure属性の付与は忘れないようにおこなっておきましょう。
外部のサービスはhttps接続対応していますか?
最近は外部の読み込みのJavaScriptやASPサービスなどを使うことも当たり前になってきました。
そこで気をつける必要があるのは、https通信に対応したソース、設定になっているかという点です。
JavaScriptなどでhttps通信の場合、動かなくなる場合があります。
Googleアナリティクスなどは、設定画面からhttp,httpsのどちらの接続か選択できるようになっています。
自社のサイトがどのような設定になっているかを事前確認して、常時SSL切替時やサイト構築段階で対応を行いましょう。
リダイレクト設定はできていますか?
httpからhttpsに切り替えた場合、そのままにしておくとhttpから始まるURLでサイトにアクセスすると、そのままサービスを使えてしまいます。
そうすると、直接URLを打ち込んだり、ブックマークに登録しているユーザーはhttp接続のままになってしまい、あまり意味がないですね。
そのため、htaccessを使用してリダイレクト設定を行っておきましょう。
会社の名刺やパンフレットなどの対応はできていますか?
構築の際に気をつけることはたくさんあるのですが、忘れてしまいがちなのは、Webサイト以外の媒体での対応が必要だということです。
多くの企業が自社パンフレットや名刺、チラシなどにWebサイトのURLを載せています。
後々は掲載しているURLも対応しておかないといけません。
ただ、パンフレットなどの対応には時間が掛かりますので、公開前に他事業部に変更依頼をしてもなかなか対応が難しいことが多いです。
サイト構築開始時には、会社としてどのような表記方法にするのかをあらかじめ話し合っておく必要があります。
意外と見落としてしまうところですので、皆様お気をつけてください。
まとめ
皆さまいかがでしたでしょうか。
常時SSL対策が重要視されているなか、移行をすることが多くなると思います。
上記のチェックポイントを元に、問題なく移行できるように準備を進めていきましょう。
