STUDIO独自ドメインでサイトを公開した時の覚書き
こんにちは!株式会社フォークのデザイナーoyamadaです。
STUDIOの機能を色々試してみようと、先日、Freeプランから有料のプランに申し込みしてみました。
また、独自ドメインも、お馴染みの「お名前.com」で取得してみました。
実は、WEBデザインの仕事をして10年近くなるのに、お恥ずかしながら自分のドメインを自分で取得したのはこれが初めての経験です💦
STUDIOの機能を色々試したり、自分のキャリアや実績、コンテンツ制作などの実験の場として少しづつ育てていこうと思ってます。
今回は、独自ドメインをSTUDIOに登録・設定するときの覚書きをまとめておくことにしました。
Freeプランから、独自ドメインを登録したり、有料プランに変更しようと思ってる方の参考になれば幸いです✨
独自ドメインの登録・設定には公開の前日とかにやっておくのが安心!
詳しい設定の仕方はこちらのSTUDIO公式ページ「独自ドメインでサイトを公開する」に説明はお任せして、気をつけたいのが以下の設定が反映されるまでに数時間かかる場合があること。
3.DNSレコードの設定
4.ドメイン接続確認
5.TLS証明書発行
プライベートのWEBサイトだったら、公開日時が遅延しても「まあ、明日でもいっかー」と気長に待つことができますが、お仕事案件などの場合はそうはいきませんよね。。。
公開前日までに、余裕があるタイミングでやっておくのが安心だと思いました。
私の場合、お名前.comのドメインの設定を確認しながら対応して、4.ドメイン接続確認で「ドメインが複数のサーバーに向いています」のエラーが出たりして、ドメインの設定も変更したりしました。5. TLS証明書発行も少し時間がかかりました。
環境や状況によって多少時間がかかる程度なので、一日あれば設定が完了できるイメージです。ただ、秒で終わる!とか、1~2時間ですぐ終わるというものではないので、何か予期せぬエラーが出たときに対処できるように精神衛生上前日までに余裕を持ってやっておくのがオススメというくらいです。
STUDIOではWebサイトはTLS証明書が自動発行される
STUDIOでは、Let's EncryptまたはGoogle Managed SSL certificatesを使用して、暗号化された安全な通信を行うため、TLS証明書を自動的に発行し、更新しているそうです。
しかも、STUDIOで公開するサイトの、Freeプランも有料プランもどちらもTLS証明書の自動対応だそうです。
■(注)ユーザー自身で取得した証明書などは利用できない
そして、気をつけたいのがこの補足文
“STUDIOでは、現状ユーザー自身で取得した証明書の利用はサポートしておらず、ご利用いただけません”という補足がありました。
以前SSL証明書を発行していてもその証明書はSTUDIOには引き継げないということです。逆に、STUDIOで実装する際は、自分で証明書を申し込みしなくても良いのでお手軽ですね。
ドメイン登録したあとにお名前.comから、「SSLが発行されていません」という件名でSSL証明書発行のご案内が親切にやってきましたが、私はSTUDIOで実装するため、お名前.comでSSL証明書を申し込みしなくても、STUDIOのTLS証明書の自動発行で対応できました。
■SSLの表記を見かけるが、実際に使われているのはTLS
ここでSSLは聞き馴染みがあるけど、TLSって何だっけ?って思った方もいるかもしれません。私は正直、思いました(笑)
そもそもSSL/TLSってなんだっけ?ということも改めて振り返ってみると、
悪意のあるハッカーなどの第三者のなりすまし、盗聴、改ざんを防ぐための仕組みです。
サイトのアドレスバーに鍵のマークが表示されていたり、URLがhttpsで始まっているサイトがSSL/TLSが採用されているサイト。
STUDIOの公式ガイドに、TLSはSSLの次世代規格で、実は既にSSLの規格は既に事実上使用禁止になっていて、現在使用されている仕組みはTLSとのことだそうです!
えー、知らなかった。。。まだまだ世の中ではSSLが使われているかのように広く見かけられるので。
なので、TLSの規格の認知度が低いためか、表記をSSL/TLSと併記されていたりするんですね。
TLSとは? 「SSL/TLS」と表記される理由
SSL3.0とTLS1.0は、仕様の違いもごくわずかで仕組みがほぼ同じですが、TLSが登場した段階では既にSSLという名称が広く使われていたために、現在では「TLSのことも含めてSSLと呼ぶ」または「SSL/TLS」「TLS/SSL」のような併記で使われる事が多いです。
お名前.comでもSSLのページで
“SSLの次世代規格として、TLS(Transport Layer Security)というものも存在しますが、 ここではまとめてSSLと表記いたします。”
と「SSLとは?」の解説部分でTLSに関しては軽く触れただけで、SSLと使い続けているようでした。
TLS とは、SSL の次世代規格であり、現在一般的に SSL と呼ばれているものは実質 TLS のことを指していることが多く、場合によってはその両方をふまえて SSL/TLS と表記されることもあります。SSL は、TLS の旧規格であり、すでに安全な通信を行うためには不十分な規格であるため、STUDIO では TLS の規格に準拠した通信を利用しております。SSL 、TLS の概略について下記をご参考にしてください。
SSL とは
SSL とは Secure Sockets Layer の略で、主にウェブブラウザとウェブサーバで、情報を安全にやりとりするための仕組みとして開発されました。1994 年に誕生し、セキュリティ上の問題を解決しながらバージョンアップを続け、SSL 3.0 の使用が事実上禁止された 2015 年まで利用されていた仕組みとなります。
TLS とは
TLS とは Transport Layer Security の略で、SSL と同様に主にウェブブラウザとウェブサーバで、情報を安全にやりとりするための仕組みであり、SSL の後継として誕生した仕組みになります。そして SSL の使用が事実上禁止されて以来「情報を安全にやりとりするための仕組み」として実際に現在まで利用されている仕組みがこの「TLS」となります。証明書に関する記述で「 SSL 」や「 SSL/TLS 」のような表記を見かけますが、これはすでに名称として「 SSL 」が定着していた影響であり、「 SSL 」は現在利用されていないため、これら全て 「 TLS 」のことを指しています。STUDIO では「 TLS 」の表記に統一させていただきます。
デフォルトの問い合わせフォームを設置の時はGoogle reCAPTCHA v3 を設定(有料プランのみ)
STUDIOで実装したサイトにお問い合わせフォームを設置する時は、Google reCAPTCHA v3 の設定が推奨されています。
なぜなら、近年、問い合わせフォームを利用したスパムメールが増加しており、スパム対策をしていないと「ウイルス感染」「個人情報の流出」などのリスクがあるからです( ;∀;)
■問い合わせフォームにスパム対策が必要な理由と対策6選
問い合わせフォームにスパム対策が必要な理由は、下記3つです。
・ウイルス感染
・個人情報の流出
・企業の信頼性が下がる
ー(略)ー
代表的な問い合わせフォームのスパム対策6選
1.アクセス制限
2.Google reCAPTCHA v3を設置
3.問い合わせフォームに必須項目を設置する
4.ハニーポットを使用する
5.リンクを禁止する
6.新規フォームの設置
■Google reCAPTCHA v3とは?
Google reCAPTCHA v3は、Googleが提供しているスパム対策ツールです。
問い合わせフォームにて「私はロボットではありません」にチェックを入れる機能などを搭載しており、スパムbot対策として有効なツールとなります。
Google reCAPTCHA v3では、AIがユーザーのページ内での行動をスコアとして算出し、bot判定をします。
スコアが一定に達しないユーザーに関しては、メールやSMSで2段階認証を行うので、スパムbotによる攻撃を大幅に減らせます。
上記のスパム対策6選にもあったGoogle reCAPTCHA v3は、googleのサービスなので、googleアカウントが必要です。
詳しい設定方法は以下の公式ページでご確認ください。
Google reCAPTCHAを使用した場合、プライバシーポリシーに追加が必要
ところで、お問い合わせフォームは個人情報を取得することが多いため、個人情報保護法の規定に沿うプライバシーポリシーページを設置することで、「保有している個人情報の把握」と「利用目的の明確化」することで、ユーザーに安心を与えたり、自社のクリーンさをアピールすることができます。
プライバシーポリシーとか利用規約とか、法律などの専門的な内容が多いので、普段は社内外の詳しい方が作ってくださってますが、今回自分で作る必要に迫られてみると、色々と学んだり調べなければならない知識が沢山ありますね💦
私にとってはとっつきにくい分野ですが、ユーザーと提供側の信頼関係とトラブル回避のためにも大事なページなんだなと改めて実感できました。
■プライバシーポリシー(個人情報保護方針)とは
プライバシーポリシーとは個人情報保護のための方針のことで、特にWeb業界で多く用いられます。(中略)プライバシーポリシーを簡単にいうと、「個人情報の取扱い方法やプライバシーにどのように配慮しているかを示すための指針」です。(中略)
個人情報保護法でプライバシーポリシーの作成が義務付けられているわけではありません。しかし、個人情報の取扱いに関して公表すべき事柄があり、その内容を示すためにプライバシーポリシーが利用されるケースはよくあります。本人に直接通知しない場合は、プライバシーポリシーの作成は実質的な義務といえるでしょう。
プライバシーポリシーの設置は義務付けられているわけではないが、Google reCAPTCHA、GoogleアナリティクスやGoogleアドセンス、Amazonアソシエイトといったサービスを利用している場合は、追記すべき文言があります。
なので、これらの外部サービスを使っていれば、マストで作る必要があるといえます。
STUDIOの公式ガイドの「Google reCAPTCHA v3 の設定方法」にも以下のプライバシーポリシーページの設置と記載が必要なことが書いてあります。
Google reCAPTCHA の利用条件に、「Google との共有に関してサイト訪問者へ必要な告知を行い、ユーザーの同意を得る」とあります。
よって公開サイトにプライバシーポリシーのページを設置し、Google reCAPTCHA v3 を利用していること、情報を Google に送信していること、などの記載が必要です
■どんな内容を追加すればいいの?
では、どんな内容を追加すればいいの?ということで、参考となるページがないか検索して調べてみたら、親切にもコピペして利用しても良いと掲載してくれている「まんぷくな日々」さんのこちらのサイトを見つけ、参考にさせて頂きました m ( _ _ ) m
▼プライバシーポリシーページに追加した内容
Google reCAPTCHA
このサイトではインターネット上のフォームへ投稿されるスパムなどからサイトを守るため、 Google reCAPTCHA v3 を利用しています。その使用には Google プライバシーポリシーと利用規約が適用されます。reCAPTCHA API はハードウェアとソフトウェアの情報(デバイスやアプリのデータなど)を収集し、それらのデータを分析のために Google へ送信することをご理解のうえ、ご了承ください。このサービスの使用に関連して収集された情報は、reCAPTCHA の改善と一般的なセキュリティの目的で使用されます。
最後にまとめ
実際に有料プランで独自ドメインを設定してみたことで、色々勉強になりました。
STUDIOではサーバーの契約が不要だったり、TLS(SSL/TLS)認証もお申し込み手続きなどをすることなく自動で発行されるのはとても有り難いなと思いました。
それでは、今回はここまでにして、
今後もSTUDIOで色々試してみて、ご共有できたらいいなと思っております。
最後までお読み頂きありがとうございました!