最近、ウェブサイトを常時SSL(https化)にするのがトレンドのようなので、うちのサイトもやってみようかと思って、ちょっと調べてみました。
そもそもの話ですがSSLサーバ証明書を購入しなければいけない。
一番安いドメイン認証型証明書(ワイルドカード証明書なし)でも、格安の業者でも年間1200円くらい。
ドメインが1個買えるお値段なのがなぁ…
またLet's Encryptを使うと無料だそうですが、このサイトは共有型レンタルサーバで動いているため、公式に提供されている有効期限の自動更新プログラムが使えないのがネック。
そのため90日ごとに、手動で更新作業を行わなければならない。
更新をうっかり忘れるとサイトにつながらなくなってしまうし。
自宅にある実験用サーバに自動更新だけを任せる手もあるけど、実験用という名目なので安定稼働は期待できないし。
ちなみにこのサイトはサブドメインを使って複数サイトを運営しているので、普通にやるとサブドメインごとに証明書を買わなければならず、金銭的に辛い。
ワイルドカード証明書か、SAN(Subject Alternative Names 要はエイリアスみたいなもの)対応の証明書を使うと、証明書が1つで済むそうですがお値段のほうが…
またhttpsのページの中で、httpのコンテンツを使用してはいけないっていうのもちょっと厄介。
当サイトの場合、埋め込みで使ってる外部のウェブサービスの一部がhttps未対応です。
内容的には大したものではないので、未対応の埋め込みコンテンツを一掃してしまうか、この際単純なリンクに書き換えるというのも手ですかね。
しょせん、ここは個人サイトだし、改竄されて困るコンテンツやセンシティブな情報を扱ってはいないので、手間と金をかけて常時SSL化するメリットはないという結論に至りました。
このままでもいいか。
※8/14追記
つい先日、レンタルサーバ会社からLet's Encryptに対応したという発表があったのですが、コンテンツの修正に手間がかかるのでそのままhttpで運用しています。
2017年04月
常時SSL化について検討してみたけど…
インターネット / サイト管理 / 技術
[ 秋野よう | この記事のURL ]