こんにちは!シフトスイッチです。このブログ以外にも、趣味でサイトをいくつか運営しているのですが、そのうちのひとつを「SSL化」してみました。ので、備忘録も兼ねてまとめていきたいと思います。
SSL化とは?
そもそも「SSL化」ってなんだよ、という話ですが、簡単に言うと「サイトの暗号化」です。私達が普段WEBサイトを見るときは、WEBブラウザ経由でインターネット上のWEBサーバからページをダウンロードしてくるわけですが、そのやり取りの過程を(経路を)暗号化するというのが、「SSL化」になります。
身近な話でいうと、SSL化されたサイトは、URLの頭が「https」になっているので、その部分を見れば、そのサイトがSSL化されているのか否かが分かります。
httpだとセキュリティ的には「丸裸」、httpsだとセキュリティ的にOK!(厳密には証明書をちゃんと確認する必要ありですが)という感じです。
SSL化をしようと思った背景
今回SSL化したサイトは、特に個人情報を扱うようなサイトではないですし、なんなら改ざんされたとしても大した影響はないサイト(言い過ぎ)なのですが、SSL化しました。その理由は「ユーザに安心して見てもらうため」です。
というのも、WEBブラウザによっては、httpページにアクセスした際にアドレスバーに「このページはセキュリティ的に危険です!」みたいな文言が出てしまうので、見る側としては不安になってしまうわけです。Chromeとかは特に厳しい!
っていうかもっと前からSSL化しておくべきだった。。セキュリティスペシャリストの資格持ってるクセにこのザマですよ。。
SSL化の手順
別に誰も興味ないとは思いますが、私の備忘録のためにも、今回のSSL化について、手順を以下に簡単にまとめておきたいと思います。ちなみに今回のサイトの場合は、レンタルサーバとして「ロリポップ」を使っているので、その前提で書きます。
- ロリポップで「独自SSL証明書」を設定
→サイトのSSL化というだけであればこれだけでOKですw - Google AnalyticsでURLを修正
→「http://~」となっているので「https://~」に修正。 - Google Consoleでサイト追加
→こちらではサイトURLの修正はできないので、「https://~」のサイトを新規追加します。 - 「http」から「https」へのリダイレクト設定
→httpへのアクセス経路を残す意味はないので、httpsにリダイレクトするようにします。具体的には「.htaccess」ファイルの修正ですね。
実は「https」対応していないサイトがもう1サイトあるので、そっちの方もはやめに直さなきゃ。。
あ、ちなみにこのブログのプラットフォームになっているはてなブログはデフォルトでSSL化されている(httpsになっている)ので何もしなくてもOKです!
現場からは以上です。