SSL It! で接続を保護する拡張
ビデオチュートリアルを再生
SSL It! 拡張は、Let's Encrypt や DigiCert(Symantec、GeoTrust、RapidSSL ブランド)などの信頼できる認証局(CA)が提供する SSL/TLS 証明書やその他の SSL/TLS 証明書でウェブサイトを保護するための単一のインターフェイスを提供します。以下が可能です。
- HTTP から HTTPS へのリダイレクト経由でウェブサイト訪問者のセキュリティを強化する。
- 安全でない HTTP 接続経由のウェブサイトアクセスをブラウザが拒否するようにして、ウェブサイト訪問者を保護する。
- ウェブサイト訪問者のプライバシーを保護し、OCSP Stapling でウェブサイトのパフォーマンスを向上する。
SSL It! の利用を開始する
ドメインの SSL/TLS 証明書を管理するには、[ウェブサイトとドメイン]でドメインを選択します。[SSL/TLS 証明書]で、ドメインの現在のセキュリティステータスを確認できます。
SSL/TLS 証明書でウェブサイトを保護する
SSL It! 拡張により、無料または有料の SSL/TLS 証明書でウェブサイトを保護できます(現時点では DigiCert のもののみ)、また、既に所有している SSL/TLS 証明書を使用することもできます。
Let’s Encrypt の SSL/TLS 証明書でウェブサイトを保護するには:
- [ウェブサイトとドメイン] > ドメイン > [SSL/TLS 証明書]に移動します。
- 「Entry-level protection」の下で[無料で取得]をクリックします。
- 緊急時の通知とキーの紛失時の復元に使用するメールアドレスを指定します。
- メインドメインに加えて保護したいものを選択します。
- www サブドメインやドメインエイリアスがある場合、[ドメインおよび選択された各エイリアスに「www」サブドメインを含める]チェックボックスをオンにします。
- ウェブメールを使用する場合、[このドメインでウェブメールを保護]チェックボックスをオンにします。
- 上記のすべてに加え、他のサブドメインがある場合、[ワイルドカードドメインを保護(www とウェブメールを含む)]ラジオボタンをオンにします。
- [無料で取得]をクリックします。
Let’s Encrypt の SSL/TLS 証明書が発行され、自動でインストールされます。
注釈: Let’s Encrypt の SSL/TLS 証明書でドメインを保護した場合、後で契約に新しいドメイン、サブドメイン、ドメインエイリアス、ウェブメールを追加すると、SSL It! によって Let’s Encrypt の SSL/TLS 証明書が再発行され、自動で保護されます。これには、[ウェブサイトとドメイン] > ドメイン > [SSL/TLS 証明書]に移動し、[ウェブサイトを保護]オプションをオンにします。
有料の SSL/TLS 証明書を取得するには:
-
[ウェブサイトとドメイン] > ドメイン > [SSL/TLS 証明書]に移動します。
-
購入する SSL/TLS 証明書を見つけます。証明書について詳しくは、[詳細を表示]をクリックしてください(有効期限、検証タイプなど)。選択が完了したら、[今すぐ購入]をクリックします。Plesk オンラインストアに自動でリダイレクトされます。
-
住所、支払い情報を入力してから証明書を購入します。
-
Plesk に戻ります(ブラウザの[戻る]ボタンを使ってください)。
-
支払いの処理にはしばらく時間がかかります。支払いステータスを更新するには、[再読み込み]をクリックします。Plesk は 1 時間に一度、支払いステータスを自動更新します。
-
支払いが処理されたら、[必要なデータを入力]をクリックします。
-
必要な連絡先情報を入力し、[OK]をクリックします。
-
Plesk が証明書署名リクエスト(CSR)を自動作成し、SSL/TLS 証明書を受け取ってインストールします。SSL/TLS 証明書のタイプに応じてしばらく時間がかかります。[再読み込み]をクリックして SSL/TLS 証明書を手動で更新することも、Plesk によって自動更新されるまで待つこともできます(Plesk による SSL/TLS 証明書のチェックは 1 時間に一度行われます)。
注釈: 一部の SSL/TLS 証明書(EV 証明書など)では、ユーザによる追加のアクションが必要です。CA が申請書を確認できるように、電話またはメールに応答し、必要書類を提出する必要があります。
SSL/TLS 証明書がインストールされると、[ウェブサイトとドメイン > ドメイン > [SSL/TLS 証明書]画面に、インストールされた SSL/TLS 証明書に関する情報(名前、認証局、メールアドレスなど)、保護されているコンポーネント、その他のオプション([http から https へのリダイレクト]、[HSTS]など)が表示されます。
SSL/TLS 証明書をアップロードする
SSL/TLS 証明書をアップロードする必要があるのは、次のような場合です。
- ドメインの保護に使用したい証明書が既に手元にある。
- SSL It! 経由で取得できない証明書をインストールしたい。
SSL/TLS 証明書をアップロードするには:
-
[ウェブサイトとドメイン] > ドメイン > [SSL/TLS 証明書]に移動し、[アップロード]をクリックします。
-
アップロードする SSL/TLS 証明書の
.pem
ファイルを見つけて[開く]をクリックします。
ドメインに SSL/TLS 証明書が自動的にインストールされます。
インストールされた SSL/TLS 証明書を更新する
ウェブサイトを継続的に保護するためには、インストールされた SSL/TLS 証明書をタイムリーに更新する必要があります。SSL It! 拡張がこれをサポートします。
SSL It! は Let’s Encrypt と DigiCert の無料 SSL/TLS 証明書を有効期限の 30 日前までに更新します。
SSL It! では有料 SSL/TLS 証明書を自動更新することはできません。ただし、次のことが可能です。
- 手動で再発行する。
- 期限が切れた SSL/TLS 証明書から無料の Let’s Encrypt 証明書への切り替えを SSL It! に自動で実行させる。
有料の SSL/TLS 証明書を再発行するには:
-
[ウェブサイトとドメイン] > 有料 SSL/TLS 証明書で保護しており、期限切れが迫るドメイン > [SSL/TLS 証明書]に進みます。
-
[証明書を再発行]をクリックします。Plesk オンラインストアに自動でリダイレクトされます。
-
住所、支払い情報を入力してから証明書を購入します。
-
Plesk に戻ります(ブラウザの[戻る]ボタンを使ってください)。
-
支払いの処理にはしばらく時間がかかります。支払いステータスを更新するには、[再読み込み]をクリックします。Plesk は 1 時間に一度、支払いステータスを自動更新します。
-
支払いが処理されたら、[必要なデータを入力]をクリックします。
-
必要な連絡先情報を入力し、[OK]をクリックします。
-
Plesk が証明書署名リクエスト(CSR)を自動作成し、SSL/TLS 証明書を受け取ってインストールします。SSL/TLS 証明書のタイプに応じてしばらく時間がかかります。[再読み込み]をクリックして SSL/TLS 証明書を手動で更新することも、Plesk によって自動更新されるまで待つこともできます(Plesk による SSL/TLS 証明書のチェックは 1 時間に一度行われます)。
期限が切れた SSL/TLS 証明書を Let’s Encrypt 無料証明書に自動で切り替えるには:
- [ウェブサイトとドメイン] > 有料 SSL/TLS 証明書で保護しており、期限切れが迫るドメイン > [SSL/TLS 証明書]に進みます。
- [ウェブサイトを保護]をオンにします。
これで、有料 SSL/TLS 証明書の期限が切れたときに、SSL It! が自動で Let’s Encrypt の無料 SSL/TLS 証明書に切り替えて、契約に属するドメイン、サブドメイン、ドメインエイリアス、ウェブメールを保護するようになります。切り替えは SSL/TLS 証明書の期限が切れた 1 時間以内に行われます。
SSL/TLS 証明書の割当を解除する
- [ウェブサイトとドメイン] > SSL/TLS 証明書の割当を解除するドメイン > [SSL/TLS 証明書]に進みます。
- [証明書を割り当て解除]をクリックして[OK]をクリックします。
ウェブサイトのセキュリティを強化する
信頼できる CA の有効な SSL/TLS 証明書でウェブサイトを保護するだけでは、全方位的な保護には十分ではありません。SSL は複雑なテクノロジーで、さまざまな機能(鍵暗号化アルゴリズム、OSCP Stapling、HSTS など)を備えており、ウェブサイトの訪問者のセキュリティを強化し、ウェブサイトパフォーマンスを向上します。
これらの機能を有効にすると、ウェブサイトの検索エンジンランキングが向上します。
- [http から https へのリダイレクト]により、ウェブサイトやウェブメールを安全ではない HTTP から安全な HTTPS バージョンへ転送する SEO 対応の恒久的な 301 リダイレクトをセットアップできます。
- HSTS により、安全でない HTTP 接続経由のウェブサイトアクセスをブラウザに拒否させることができます。
- OSCP により、ウェブサイトの CA 証明書のステータス(良好、無効、不明)のリクエストを、訪問者のブラウザではなくウェブサーバに実行させることができます。
ご用心: これらの機能をオンにする前に、ウェブサイトが問題なく HTTPS 経由でアクセスできることを確認してください。問題がある場合、訪問者がウェブサイトにアクセスできなくなる可能性があります。
ウェブサイトのセキュリティを強化するには:
-
信頼できる CA の有効な SSL/TLS 証明書でウェブサイトを保護します。
-
[ウェブサイトとドメイン] > ドメイン > [SSL/TLS 証明書]に移動します。
-
[http から https へのリダイレクト]がオンになっていなければ、オンにします。[http から https へのリダイレクト]は、ウェブサイトとウェブメールの両方に適用されます。
注釈: ウェブメールを有効な SSL/TLS 証明書で保護しない場合や、ウェブメールを使用していない場合は、[ウェブメールを含む]チェックボックスをオフにしてください。
-
HSTS を有効にする:
-
HSTS をオンにします。
-
ウェブサイトを保護している SSL/TLS 証明書が[Max-age]の期間を通して有効であることを確認してください。サブドメインとウェブメールのサブドメインでも同じことを確認します。[Max-age]期間の終了前に SSL/TLS 証明書の期限が切れる場合、HSTS をオンにしていると、訪問者はウェブサイトにアクセスできなくなります。
-
サブドメインを有効な SSL/TLS 証明書で保護しない場合や、サブドメインを使用していない場合は、[サブドメインを含む]チェックボックスをオフにしてください。
-
ウェブメールサブドメインを有効な SSL/TLS 証明書で保護しない場合や、ウェブメールを使用していない場合は、[ウェブメールを含む]チェックボックスをオフにしてください。
-
[HSTS を有効にする]をクリックします。
注釈: [Max-age]期間の終了前に SSL/TLS 証明書の期限が切れるが、HSTS を使用したい場合には、[ウェブサイトを保護]をオンにすることをお勧めします。これで、SSL/TLS 証明書の期限が切れたときに、SSL It! が自動で Let’s Encrypt の証明書に切り替え、契約に属するドメイン、サブドメイン、ドメインエイリアス、ウェブメールを保護するようになります。ウェブサイトは引き続き保護され、HSTS は機能を続けます。
-
-
[OCSP Stapling]をオンにします。
ウェブサイトの SSL セキュリティを強化すると、SSL セキュリティを評価できるようになります。
既知の問題と制約事項
- OCSP Stapling は、nginx と Apache または nginx のみを利用するウェブサイトでのみ機能します。ウェブサイトで Apache のみを利用している場合、[OCSP Stapling]をオンにする必要はありません。
- 完全な信頼チェーンが確立していない場合、一部のベンダーの SSL/TLS 証明書(DigiCert の無料証明書など)では OCSP Stapling が機能しません。証明書が OCSP Stapling に対応しているかどうかを確認するには、SSL 構成で SSL Labs Test を実行します。
ウェブサイトの SSL セキュリティを評価する
Google などの人気検索エンジンでは、SSL 保護レベルが高いウェブサイトがより上位にランクされます。SSL It! 拡張では、人気のテストサービス Qualys SSL Labs を使用して以下を行えます。
- ウェブサイトの SSL 保護の強度をチェックする
- 改善点を確認する
- 最高スコアの「A+」を獲得する(必要に応じて SSL 保護を強化した後で)
ウェブサイトの SSL セキュリティを評価するには:
- [ウェブサイトとドメイン] > ドメイン > [SSL/TLS 証明書]に移動します。
- [SSL Labs Test を実行]をクリックします。
新しいタブに Qualys SSL Labs のウェブサイトが開き、テストが自動的に開始されます。テストが終了すると、成績が表示されます。これには数分かかる可能性があります。
信頼できる CA の有効な SSL/TLS 証明書でウェブサイトを保護し、SSL It! のセキュリティ強化機能をすべてオンにすると、「A+」を獲得できる可能性が高くなります。