背景
ブログを運用しています。
とくにセキュリティーは気にしていませんでしたが、見てくれる方々が安心して見れるように、
http://xxx.com/
をhttps://xxx.com/
に変えてセキュリティーレベルをあげたかったわけです。
そこで今回はこのHTTPS化の過程について記載したいと思います。
信じられないくらい一瞬でした。
前提条件
まず初めにこのHTTPS化のまえの前提条件は以下となります。
- ロリポップ上で運用しているWEBサイトであること
- 既に独自ドメインを取得していること
- Let's Encryptを利用した無料SSLで問題ないこと
HTTPS化の手順
まずロリポップのユーザ専用ページの独自SSL証明書導入にアクセスします。
つぎに以下の画面のようにHTTPS化したいドメインをチェックし、独自SSL(無料)を設定する
をクリックします。
すると× SSL保護無効
がSSL設定作業中
に変わります。
※この間も通常通りWEBサイトは稼働している(HTTPの状態)ので心配ありません。
30分後に確認してみるとSSL設定作業中
が● SSL保護有効
に変わっていました。
完了です。
ほんとに変わっているのか確認
設定前
設定後
変わっている。まじか。簡単すぎる。
しかし実はこれで終わりではない
一般設定のWordPress アドレス (URL)
とサイトアドレス (URL)
を、
http://xxx.com/
からhttps://xxx.com/
に変えましょう。
これでサイト内の設定が変更されます。
各記事やコメントに記載しているリンクをすべてHTTPSに書き換える
これは面倒なのでSearch Regex
というプラグインを利用しましょう。
インストールし有効化すると、下記のようにツールから設定画面に入れます。
そして、
Search pattern
に置換されるべきURLであるhttp://xxx.com/
を入力します。
Replace pattern
に置換後のURLであるhttps://xxx.com/
を入力します。
その後Replace
をクリックすると置換が想定される一覧が表示され、
Replace & Save
で置換が確定します。
※記事にリンクを張っていない等のケースだと置換が想定される対象がなくThere are no results.
と表示されます。
リダイレクト設定
現状はhttp://xxx.com/
でもhttps://xxx.com/
でもアクセスできる状況になっています。
そこでhttp://kxxx.com/
内にアクセスしてきた場合はhttps://xxx.com/
内の方に自動で遷移するように設定します。
まずはhttps://lolipopftp.lolipop.jp/dir/root/にアクセスします。
ファイル一覧が表示され.htaccess
というファイルをクリックします。
そして以下のように編集します。
(編集前
)
#SITEGUARD_PLUGIN_SETTINGS_START
#==== SITEGUARD_RENAME_LOGIN_SETTINGS_START
<IfModule mod_rewrite.c>
RewriteEngine on
RewriteBase /
RewriteRule ^wp-signup\.php 404-siteguard [L]
(編集後
)
#SITEGUARD_PLUGIN_SETTINGS_START
#==== SITEGUARD_RENAME_LOGIN_SETTINGS_START
<IfModule mod_rewrite.c>
RewriteEngine on
RewriteBase /
# ここから追記
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [R,L]
RewriteRule ^index\.php$ - [L]
# ここまで追記
RewriteRule ^wp-signup\.php 404-siteguard [L]
これでその他設定も問題ありません!
HTTPS化についての基礎知識
URLの頭にhttp://
とかhttps://
とはついているが、
これは問い合わせフォームとかで送られる情報が暗号化されている(https://
)か否(http://
)かの違いである。
クレジット番号などを入力するWEBサイトであればhttps://
は必須。
でこのHTTPS化にもいろいろな方法がある。
- ドメイン認証を経てのHTTPS化(ドメインがちゃんと存在しているかを確認される)
- 企業認証を経てのHTTPS化(ドメイン存在確認+TELで企業が存在するか確認)
- EV認証を経てのHTTPS化(ドメイン存在確認+TELで企業が存在するか確認+資料提出)
なんやわけわからんが、すべて機能的には暗号化されるので同じなのです。
しかしどの機関が認証しているか
だったり見た目
が変わったりするのでユーザ心理的な違いはある。
何もしていない状態の見た目
こんな感じでURLの左側に保護されていない通信
と表示されてしまう。これだとクレジットぜったいあかん。
ドメイン認証の見た目
URLの左側に鍵マークがつきます。安心ですね。
そして最近は無料のドメイン認証Let's Encryptが出てきたのでこれの選択肢はありです。
有料機関のサービス利用だと月額数千円ってとこ。
企業認証の見た目
ドメイン認証の見た目と変わりません。
法人でHTTPS化する場合で企業認証を行う有名どころサービスとしては、シマンテック、ジオトラスト、グローバルサインインとかがある。
値段は5-10万円ってところ。
EV認証
こんな感じでURLの左にかっちょイイ感じで企業名と国がでます。
EV認証は年間10万円overとかざら。
でもこれ、銀行サイトとか決済サイトとかだと心理的に安心感ありますよね。