3クリックぐらいでロリポップ上のWEBサイトを無料HTTPS化できた

背景

ブログを運用しています。
とくにセキュリティーは気にしていませんでしたが、見てくれる方々が安心して見れるように、
http://xxx.com/をhttps://xxx.com/に変えてセキュリティーレベルをあげたかったわけです。

そこで今回はこのHTTPS化の過程について記載したいと思います。
信じられないくらい一瞬でした。

前提条件

まず初めにこのHTTPS化のまえの前提条件は以下となります。

• ロリポップ上で運用しているWEBサイトであること
• 既に独自ドメインを取得していること
• Let's Encryptを利用した無料SSLで問題ないこと

HTTPS化の手順

まずロリポップのユーザ専用ページの独自SSL証明書導入にアクセスします。
つぎに以下の画面のようにHTTPS化したいドメインをチェックし、独自SSL（無料）を設定するをクリックします。

すると× SSL保護無効がSSL設定作業中に変わります。
※この間も通常通りWEBサイトは稼働している（HTTPの状態）ので心配ありません。

30分後に確認してみるとSSL設定作業中が● SSL保護有効に変わっていました。
完了です。

ほんとに変わっているのか確認

設定前

設定後

変わっている。まじか。簡単すぎる。

しかし実はこれで終わりではない

一般設定のWordPress アドレス (URL)とサイトアドレス (URL)を、
http://xxx.com/からhttps://xxx.com/に変えましょう。

これでサイト内の設定が変更されます。

各記事やコメントに記載しているリンクをすべてHTTPSに書き換える

これは面倒なのでSearch Regexというプラグインを利用しましょう。
インストールし有効化すると、下記のようにツールから設定画面に入れます。

そして、
Search patternに置換されるべきURLであるhttp://xxx.com/を入力します。
Replace patternに置換後のURLであるhttps://xxx.com/を入力します。

その後Replaceをクリックすると置換が想定される一覧が表示され、
Replace & Saveで置換が確定します。

※記事にリンクを張っていない等のケースだと置換が想定される対象がなくThere are no results.と表示されます。

リダイレクト設定

現状はhttp://xxx.com/でもhttps://xxx.com/でもアクセスできる状況になっています。

そこでhttp://kxxx.com/内にアクセスしてきた場合はhttps://xxx.com/内の方に自動で遷移するように設定します。

まずはhttps://lolipopftp.lolipop.jp/dir/root/にアクセスします。

ファイル一覧が表示され.htaccessというファイルをクリックします。
そして以下のように編集します。

(編集前)

/.htaccess

#SITEGUARD_PLUGIN_SETTINGS_START
#==== SITEGUARD_RENAME_LOGIN_SETTINGS_START
<IfModule mod_rewrite.c>
    RewriteEngine on
    RewriteBase /
    RewriteRule ^wp-signup\.php 404-siteguard [L]

(編集後)

/.htaccess

#SITEGUARD_PLUGIN_SETTINGS_START
#==== SITEGUARD_RENAME_LOGIN_SETTINGS_START
<IfModule mod_rewrite.c>
    RewriteEngine on
    RewriteBase /
# ここから追記
    RewriteCond %{HTTPS} off
    RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [R,L]
    RewriteRule ^index\.php$ - [L]
# ここまで追記
    RewriteRule ^wp-signup\.php 404-siteguard [L]

これでその他設定も問題ありません！

HTTPS化についての基礎知識

URLの頭にhttp://とかhttps://とはついているが、
これは問い合わせフォームとかで送られる情報が暗号化されている（https://）か否（http://）かの違いである。
クレジット番号などを入力するWEBサイトであればhttps://は必須。

でこのHTTPS化にもいろいろな方法がある。

• ドメイン認証を経てのHTTPS化（ドメインがちゃんと存在しているかを確認される）
• 企業認証を経てのHTTPS化（ドメイン存在確認＋TELで企業が存在するか確認）
• EV認証を経てのHTTPS化（ドメイン存在確認＋TELで企業が存在するか確認＋資料提出）

なんやわけわからんが、すべて機能的には暗号化されるので同じなのです。
しかしどの機関が認証しているかだったり見た目が変わったりするのでユーザ心理的な違いはある。

何もしていない状態の見た目

こんな感じでURLの左側に保護されていない通信と表示されてしまう。これだとクレジットぜったいあかん。

ドメイン認証の見た目

URLの左側に鍵マークがつきます。安心ですね。
そして最近は無料のドメイン認証Let's Encryptが出てきたのでこれの選択肢はありです。
有料機関のサービス利用だと月額数千円ってとこ。

企業認証の見た目

ドメイン認証の見た目と変わりません。
法人でHTTPS化する場合で企業認証を行う有名どころサービスとしては、シマンテック、ジオトラスト、グローバルサインインとかがある。
値段は5-10万円ってところ。

EV認証

こんな感じでURLの左にかっちょイイ感じで企業名と国がでます。
EV認証は年間10万円overとかざら。
でもこれ、銀行サイトとか決済サイトとかだと心理的に安心感ありますよね。

参考：https://www.cpi.ad.jp/column/column08/