なるべくコストをかけずにサイトをHTTPS化(SSL化)するには…
皆さんこんにちは。梅が咲いて、だんだん暖かくなってきましたが、雨が降ったり花粉が飛び交う微妙な季節になってきましたね。
今回はサイトをHTTP化するお話の続きです。
サイト運営にはいろいろコストがかかりますが、それでも必要以上に余計なお金はかけられないし、サイトの安全性を確保するという目的があったとしても、現住所などの情報を開示するというのはちょっと個人経営の身としては荷が重い感じです。
でも逆にそういう条件がなければサイトの安全化、すなわちここでいうところのSSL化(HTTPS化)を検討してみてもいいんじゃないかな~…そう思ってネットで一生懸命調べているうちにだんだんわかってきましたよ~!
SSL証明書もピンキリでござる!?
つまり、「サイトの安全性の保障」といってもピンキリで、一番信頼度の高いものだと、企業の名称や所在地を明示することはもちろん、年間コストもそれなりにかかるようですね。運営するサイトから直接、お客さんにモノを売ったり、クレジット決済を導入する場合などはサイトの安全性や信頼性がモノを言うというのは当然のことと思います。
それに比べて一般の日記のようなブログや、直接モノを販売するようなサイトでない限りにおいてはそれほど高い信頼性および安全性のレベルは求められないようです。もちろん、一般のサイトにおいても安全性が高いほうがいいことは確実でしょうが…(^_^;)
なんと無料のSSL証明書が入手可能だったんです!
で…一番簡単でお手軽なSSL化の方法があったんです。サイトのSSL化には前述したようにSSL証明書を最初に取得する必要があるのですが、なんと無料でSSL証明書が取得できちゃうんです。しかもサイトに表示されるであろう住所登録などは不要となっています。この無料のSSL証明書は「Let’s Encrypt」というもので、アメリカ合衆国の非営利団体組織のISRGというところが承認局となって提供している証明書となります。
その名も「Let’s Encrypt」(暗号化しよう!)
レンタルサーバーと契約するときに契約プランのにすでにこの「Let’s Encrypt」が組み込まれている場合も最近では多く、その場合は本当にすぐにSSL証明書をゲットすることができますよ!それ以外の場合で一からダウンロードしてからとかの設定だともう少し手間がかかると思いますが、それでも設定を指南しているサイトはいっぱいあるので、それらを参考にしながら進めれば比較的簡単に設定できるものと思われます。
GMOクラウドVPS(with Plesk)の場合は…
私の場合は、契約してるGMOクラウドVPSのプラン(Web Pro Edition)には「Let’s Encrypt」しっかり組み込まれていました。…で、早速、SSL証明書の設定をしてみたところ、驚くほど簡単に出来ました!こんなに簡単なら最初からやっとけばよかった~という感じです。特にこれから新規でサイトを立ち上げる時なら本当に簡単です。連絡用のメールアドレスは必要ですが、後は2~3回ポチポチッとボタン操作するだけで、特に審査に待たされるわけでもなくSSL証明書をゲットできます!
連絡用メールアドレスは、デフォルトだとなんだかよくわからないアドレスになっていますが、メール配信などを行わない普通のサイト運営なら、通常使っているGメールとかの登録でOKだと思います。(というか私はそれで問題なくなんとかなっているので…。)
証明書をゲットしたらいよいよサイトをSSL化実践!
SSL証明書をとったらサイトのアドレスをHTTPSに直します。新規サイトなら、何の問題もなく最初からHTTPSのページを構築していけますよ!いままでHTTPで運営してきたサイトをHTTPSにする場合は、もう少し手間がかかります。サイトアドレスをHTTPSに変えるということは、サイトの中にすでにあるHTTPたちもHTTPSにする必要が出てきます。サイトアドレスをHTTPSに書き換えて、記事内のHTTPを書き換えないとどうなるか…その場合、あなたのサイトは「ミックスト・コンテンツ(Mixed Contents)」、つまりHTTPとHTTPSが混在しているサイトという(いわば文字通りの)評価・判定を受けてしまい、HTTPSのアドレルを持つサイトであるにもかかわらず、「安全ではない可能性がある」サイトであるという、なんとも宙ぶらりんな状態になってしまいます。
まずクリアすべきはMixed Contents!
サイトの中のHTTPをHTTPSに書き換えると上述しましたが、ソースコードに「href」や「src」などが付されているものは「HTTP→HTTPS」への書き換えが必要だったり必要なかったりします。私もそこで初めて学んだのですが、「href」コードがついている場合は、外のサイトを参照するということなので、HTTPのままでOKだったりします。逆に「src」の場合は、自分のサイトにURLを埋め込む形となるのでHTTPSにしないと「ミックスト・コンテンツ」の断罪が待っています(^_^;)。なんでもかんでも「HTTPS」に書き換えてしまうと、「href」コードがついている場合は、参照先の広告主なり販売元がHTTPSに対応していないと広告が表示されなくなる可能性があるので注意が必要です。
プラグインやサーバー設定で「HTTP→HTTPS」一括変換も!
サイトが数十ページくらいのものならHTTPを一つ一つ吟味してHTTPSに変換するなりしていくのが確実でしょうが、何百ページもあるサイトだとそんな悠長なことも言ってられませんね。Wordpressのサイトであるなら、上記の「href」の問題なども考慮に入れながら「Search Regex」などのプラグインを導入して「HTTPをサーチしてHTTPSに一発変換」するっきゃないでしょう。あるいはサーバー側でHTTPのリクエストをHTTPSに自動的に読み替える設定などがあればもっと簡単にことは運びます。
301リダイレクト、302リダイレクトについて
私はGMOクラウドVPSやPleskの設定方法で暗礁に乗り上げたときにいつも頼りにしているこちらのサイトの記事に従って「301ダイレクト」や「302ダイレクト」(302が一時的なリダイレクトで301が恒久的だったかと思います。詳しくは上のリンクで確認してね。)の記述を行って「HTTP→HTTPS」への自動読み替え成功させましたが、今ではPleskの管理画面にある「HTTPからHTTPSへの恒久的リダイレクト」ボタン一つで一発設定デキたりもします。まぁ、やり方はいろいろあるので、自分に合ったやり方をその中から見つけるくらいの気持ちでトライしてみることをオススメします。
☆★_ ☆★_
以上のようなことを通して、私は自分の運営するサイトをすべてSSL化(HTTPS化)することができました。まあHTTPS化して安全性を高めることも重要なんですが、それと同等に、いやそれ以上に重要なのはやっぱり記事の中身だと思うので、サイトの安全性を少し高めることができたからと言って、そこで安心せずに、日々いい記事を書いていきたいと思っています!皆さんもがんばってね!
今日はこのへんで!…CIAO!
