SSL It! で接続を保護する拡張
ビデオチュートリアルを再生
SSL It! 拡張を使用すると、単一のインターフェイスで、Let's Encrypt や DigiCert(Symantec、GeoTrust、RapidSSL ブランド)などの信頼できる認証局(CA)が提供する SSL/TLS 証明書やその他の SSL/TLS 証明書でウェブサイトを保護することができます。その他に、次の操作を行えます。
- HTTP から HTTPS へのリダイレクト経由でウェブサイト訪問者のセキュリティを強化する。
- 安全でない HTTP 接続経由のウェブサイトアクセスをブラウザが拒否するようにして、ウェブサイト訪問者を保護する。
- ウェブサイト訪問者のプライバシーを保護し、OCSP Stapling でウェブサイトのパフォーマンスを向上する。
SSL It! の利用を開始する
ドメインの SSL/TLS 証明書を管理するには、[ウェブサイトとドメイン]でドメインを選択します。[SSL/TLS 証明書]で、ドメインの現在のセキュリティステータスを確認できます。
SSL/TLS 証明書でウェブサイトを保護する
SSL It! 拡張を使用すると、無料または有料の SSL/TLS 証明書でウェブサイトを保護できます(現時点では DigiCert の証明書のみ)。既に所有している SSL/TLS 証明書を使用することも可能です。
Let’s Encrypt の SSL/TLS 証明書でウェブサイトを保護するには:
-
[ウェブサイトとドメイン] > 貴社のドメイン > [SSL/TLS 証明書]に移動します。
-
[追加オプション]の下で、[インストール]をクリックします。
-
緊急時の通知とキーの紛失時の復元に使用するメールアドレスを指定します。
-
メインドメインに加えて保護したいものを選択します。
- メインドメイン名を保護する。メインドメインのみを保護します。ウェブメールのみを保護したい場合、このチェックボックスはオフにできます。
- ワイルドカードドメインを保護する(www とウェブメールを含む)。www サブドメインとドメインエイリアス、ウェブメールを保護します。
- ドメインと選択された各エイリアスに「www」サブドメインを含める。www サブドメインとドメインエイリアスを保護します。
- このドメインでウェブメールを保護する。ウェブメールを保護します。
- メールドメインに証明書を割り当てる。IMAP、POP、または SMTP プロトコルでメールを保護する。www サブドメインとドメインエイリアスがある場合、[ドメインにおよび選択された各エイリアスに「www」サブドメインを含める]チェックボックスをオンにします。
-
[無料で取得]をクリックします。
Let’s Encrypt の SSL/TLS 証明書が発行され、自動でインストールされます。
注釈: Let’s Encrypt の SSL/TLS 証明書でドメインを保護した場合、後で契約に新しいドメイン、サブドメイン、ドメインエイリアス、ウェブメールを追加すると、SSL It! によって Let’s Encrypt の SSL/TLS 証明書が再発行され、自動で保護されます。これには、[ウェブサイトとドメイン] > ドメイン > [SSL/TLS 証明書]に移動し、[ウェブサイトを保護]オプションをオンにします。
有料の SSL/TLS 証明書を取得するには:
-
[ウェブサイトとドメイン] > 貴社のドメイン > [SSL/TLS 証明書]に移動します。
-
使用可能な証明書のリストを取得するには、[証明書を取得する]をクリックします。
-
購入したい SSL/TLS 証明書を選択し、証明書のフォームで[購入]ボタンをクリックします。
To find an appropriate certificate, you can do the following: - Filter the available certificates. You can apply the "Recommended", "Wildcard", and "For organization use" filter sets. - Read more about a certificate (its validity period, validation type, and so on) by clicking the **Learn more** button in the certificate’s form.
-
Plesk オンラインストアのポップアップウィンドウで、アドレスと支払い情報を入力して、証明書を購入します。
-
ポップアップウィンドウを閉じます。
-
Plesk によって支払いステータスが更新されるまで待つか、[リロード]をクリックして手動で更新します。Plesk は 1 時間に 1 回、支払いステータスを自動的に更新します。
-
支払いが処理されたら、[必要なデータを入力]をクリックします。
-
必要な連絡先情報を入力し、[OK]をクリックします。
Plesk が証明書署名リクエスト(CSR)を自動作成し、SSL/TLS 証明書を受け取ってインストールします。SSL/TLS 証明書のタイプに応じてしばらく時間がかかります。[再読み込み]をクリックして SSL/TLS 証明書を手動で更新することも、Plesk によって自動更新されるまで待つこともできます(Plesk による SSL/TLS 証明書のチェックは 1 時間に一度行われます)。
注釈: 一部の SSL/TLS 証明書(EV 証明書など)では、ユーザによる追加のアクションが必要です。CA が申請書を確認できるように、電話またはメールに応答し、必要書類を提出する必要があります。
SSL/TLS 証明書がインストールされると、[ウェブサイトとドメイン > ドメイン > [SSL/TLS 証明書]画面に、インストールされた SSL/TLS 証明書に関する情報(名前、認証局、メールアドレスなど)、保護されているコンポーネント、その他のオプション([http から https へのリダイレクト]、[HSTS]など)が表示されます。
SSL/TLS 証明書をアップロードする
SSL/TLS 証明書をアップロードする必要があるのは、次のような場合です。
- ドメインの保護に使用したい証明書が既に手元にある。
- SSL It! 経由で取得できない証明書をインストールしたい。
SSL/TLS 証明書をアップロードするには:
-
[ウェブサイトとドメイン] > ドメイン > [SSL/TLS 証明書]に移動し、[アップロード]をクリックします。
-
アップロードする SSL/TLS 証明書の
.pem
ファイルを見つけて[開く]をクリックします。
ドメインに SSL/TLS 証明書が自動的にインストールされます。
インストールされた SSL/TLS 証明書を更新する
ウェブサイトを継続的に保護するためには、インストールされた SSL/TLS 証明書をタイムリーに更新する必要があります。SSL It! 拡張がこれをサポートします。
SSL It! は Let’s Encrypt と DigiCert の無料 SSL/TLS 証明書を有効期限の 30 日前までに更新します。
SSL It! では有料 SSL/TLS 証明書を自動更新することはできませんが、次のことが可能です。
- 手動で再発行する。
- 期限が切れた SSL/TLS 証明書から無料の Let’s Encrypt 証明書への切り替えを SSL It! に自動で実行させる。
有料の SSL/TLS 証明書を再発行するには:
-
[ウェブサイトとドメイン] > 有料 SSL/TLS 証明書で保護しており、期限切れが迫るドメイン > [SSL/TLS 証明書]に進みます。
-
[証明書を再発行]をクリックします。Plesk オンラインストアに自動でリダイレクトされます。
-
「Plesk オンラインストア」のポップアップウィンドウで、アドレスと支払い情報を入力して、証明書を購入します。
-
ポップアップウィンドウを閉じます。
-
Plesk によって支払いステータスが更新されるまで待つか、[リロード]をクリックして手動で更新します。Plesk は 1 時間に 1 回、支払いステータスを自動的に更新します。
-
支払いが処理されたら、[必要なデータを入力]をクリックします。
-
必要な連絡先情報を入力し、[OK]をクリックします。
Plesk が証明書署名リクエスト(CSR)を自動作成し、SSL/TLS 証明書を受け取ってインストールします。SSL/TLS 証明書のタイプに応じてしばらく時間がかかります。[再読み込み]をクリックして SSL/TLS 証明書を手動で更新することも、Plesk によって自動更新されるまで待つこともできます(Plesk による SSL/TLS 証明書のチェックは 1 時間に一度行われます)。
期限が切れた SSL/TLS 証明書を Let’s Encrypt 無料証明書に自動で切り替えるには:
- [ウェブサイトとドメイン] > 有料 SSL/TLS 証明書で保護しており、期限切れが迫るドメイン > [SSL/TLS 証明書]に進みます。
- [ウェブサイトを保護]をオンにします。
これで、有料 SSL/TLS 証明書の期限が切れたときに、SSL It! が自動で Let’s Encrypt の無料 SSL/TLS 証明書を発行して、契約に属するドメイン、サブドメイン、ドメインエイリアス、ウェブメールを保護するようになります。通常、この切り替えは SSL/TLS 証明書の失効後 1 時間以内に行われます。
SSL/TLS 証明書の割当を解除する
- [ウェブサイトとドメイン] > SSL/TLS 証明書の割当を解除するドメイン > [SSL/TLS 証明書]に進みます。
- [証明書を割り当て解除]をクリックして[OK]をクリックします。
ウェブサイトのセキュリティを強化する
信頼できる CA の有効な SSL/TLS 証明書でウェブサイトを保護するだけでは、全方位的な保護には十分ではありません。SSL は複雑なテクノロジーで、さまざまな機能(鍵暗号化アルゴリズム、OSCP Stapling、HSTS など)を備えており、ウェブサイトの訪問者のセキュリティを強化し、ウェブサイトパフォーマンスを向上します。
これらの機能を有効にすると、ウェブサイトの検索エンジンランキングが向上します。
- [http から https へのリダイレクト]により、ウェブサイトやウェブメールを安全ではない HTTP から安全な HTTPS バージョンへ転送する SEO 対応の恒久的な 301 リダイレクトをセットアップできます。
- HSTS により、安全でない HTTP 接続経由のウェブサイトアクセスをブラウザに拒否させることができます。
- OSCP により、ウェブサイトの CA 証明書のステータス(良好、無効、不明)のリクエストを、訪問者のブラウザではなくウェブサーバに実行させることができます。
ご用心: これらの機能をオンにする前に、ウェブサイトが問題なく HTTPS 経由でアクセスできることを確認してください。問題がある場合、訪問者がウェブサイトにアクセスできなくなる可能性があります。
ウェブサイトのセキュリティを強化するには:
-
信頼できる CA の有効な SSL/TLS 証明書でウェブサイトを保護します。
-
[ウェブサイトとドメイン] > 貴社のドメイン > [SSL/TLS 証明書]に移動します。
-
[http から https へのリダイレクト]がオンになっていなければ、オンにします。[http から https へのリダイレクト]は、ウェブサイトとウェブメールの両方に適用されます。
注釈: ウェブメールを有効な SSL/TLS 証明書で保護しない場合や、ウェブメールを使用していない場合は、[ウェブメールを含む]チェックボックスをオフにしてください。
-
注釈: [Max-age]期間の終了前に SSL/TLS 証明書の期限が切れるが、HSTS を使用したい場合には、[ウェブサイトを保護]をオンにすることをお勧めします。これで、SSL/TLS 証明書の期限が切れたときに、SSL It! が自動で Let’s Encrypt の証明書に切り替え、契約に属するドメイン、サブドメイン、ドメインエイリアス、ウェブメールを保護するようになります。ウェブサイトは引き続き保護され、HSTS は機能を続けます。
-
[OCSP Stapling]をオンにします。
ウェブサイトの SSL セキュリティを強化すると、SSL セキュリティを評価できるようになります。
HSTS を有効にする
- HSTS をオンにします。
- ウェブサイトを保護する SSL/TLS 証明書が「Max-age」の期間中有効であることを確認します。サブドメインとウェブメールサブドメインについても同じことを確認してください。
警告: Max-age 期間の終了前に SSL/TLS 証明書の期限が切れる場合、HSTS をオンにしていると、訪問者がウェブサイトにアクセスできなくなります。
- サブドメインを有効な SSL/TLS 証明書で保護しない場合や、サブドメインを使用していない場合は、[サブドメインを含む]チェックボックスをオフにしてください。
- ウェブメールサブドメインを有効な SSL/TLS 証明書で保護しない場合や、ウェブメールを使用していない場合は、[ウェブメールを含む]チェックボックスをオフにしてください。
- [HSTS を有効にする]をクリックします。
既知の問題と制約事項
- OCSP Stapling は、nginx と Apache または nginx のみを利用するウェブサイトでのみ機能します。ウェブサイトで Apache のみを利用している場合、[OCSP Stapling]をオンにする必要はありません。
- 完全な信頼チェーンが確立していない場合、一部のベンダーの SSL/TLS 証明書(DigiCert の無料証明書など)では OCSP Stapling が機能しません。証明書が OCSP Stapling に対応しているかどうかを確認するには、SSL 構成で SSL Labs Test を実行します。
ウェブサイトの SSL セキュリティを評価する
Google などの人気検索エンジンでは、SSL 保護レベルが高いウェブサイトがより上位にランクされます。SSL It! 拡張では、人気のテストサービス Qualys SSL Labs を使用して以下を行えます。
- ウェブサイトの SSL 保護の強度をチェックする
- 改善点を確認する
- 最高スコアの「A+」を獲得する(必要に応じて SSL 保護を強化した後で)
ウェブサイトの SSL セキュリティを評価するには:
- [ウェブサイトとドメイン] > 貴社のドメイン > [SSL/TLS 証明書]に移動します。
- [SSL Labs Test を実行]をクリックします。
新しいタブに Qualys SSL Labs のウェブサイトが開き、テストが自動的に開始されます。テストが終了すると、成績が表示されます。これには数分かかる可能性があります。
信頼できる CA の有効な SSL/TLS 証明書でウェブサイトを保護し、SSL It! のセキュリティ強化機能をすべてオンにすると、「A+」を獲得できる可能性が高くなります。