先日7月24日からGoogleChromeで常時SSL化を行っていないサイト、URLがhttp://から始まるサイトを表示すると、『保護されていません』という警告が表示されています。
10月からはこの警告表示が赤字になるのだとか。
こんなお話を、昨日ご紹介しました。
ということで、意を決して常時SSL化に対応してみました。
サイトリニューアル並みの大変さを想像していたのですが、あまりにもあっけなく…
後日変な不具合が出ないか、逆に心配になっています(笑)
今回も、誰かのお役に立てれば、ということで、書き残しておきたいと思います。
常時SSL化
こちら、昨日は
普通はお金がかかります。
ふぅ。。。
サーバー代、ドメイン代に続き、SSL認証代もHPの必須経費になりそうですね。
とお伝えしましたが、実は無料で行う方法もあります。
使用しているサーバー会社によって準備が無い場合もありますが
アメリカのNPOであるISRG (Internet Security Research Group) が提供している
Let’s Encrypt
というものを使うと、無料でできちゃいます。
セキュリティー面に関しては、有料の物とまったく同じ。
ただ、有料の物と違って誰でも申請できるので、悪意のある人が、信頼性を偽装するために申請しても、通ってしまいます。
何が言いたいかと言うと、Let’s Encryptを利用した常時SSL化は
『私は安全ですよー!』
というアピールにはならない
ということです。
が。
じゃあそもそも誰がSSL認証を行ってるかをどうやって確認するかと言うと…
- アドレスバーの『保護された通信』をクリック
- 『証明書』をクリック
- 発行者を確認する
- その発行者がどこまでのチェックを行っているかを調べる
一般のユーザーでここまでやる方は…
いないでしょう。
ということで、個人的な見解としては
ダイビングショップのHPであればLet’s Encryptの認証で全く問題ない
と考えています。
前置きが長くなりましたが、どうやって設定するかというと…
サーバーが準備している設定ページからワンクリックで終わりました(笑)
データベースの置換
リニューアルでも使用した以下のツールを使ってデータベースを書き換えます。
Database Search and Replace Script in PHP
参考:WordPress移行時にURLをSQLで直接一括置換はダメ! 「Search and Replace for WordPress Databases Script」を使おう
外部のスクリプトはなんだか不安ですが、WordPress公式サイトでも紹介されている公式な方法なので、信用しましょう(笑)
リダイレクトの設定
WordPress直下にある.htacsessファイルの
# BEGIN WordPress
の前に以下を追記します。
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [R,L]
</IfModule>
これで、http://~にアクセスされても自動的にhttps://~に飛ばしてくれるようになります。
GoogleAnalyticsの設定
設定画面から、プロパティ―設定、ビューの設定共にデフォルトのURLをhttp://からhttps://に変更します。
Googleサーチコンソールの設定
こちらは、新たなサイトとして新規追加を行います。
サイトマップの送信などもお忘れなく…
微調整
だいがくの場合、この作業の必要はありませんでしたが、コーポレートページはちょこちょこと微調整が必要でした。
テーマを裏側からゴニョゴニョとカスタマイズしていると、主に画像のURLで旧URLが残ってしまうことが多々あります。
これをひとつずつ修正してあげます。
ちょっとめまいがしてしまうかもしれませんが
Ctrl+U
でソースコードを表示
Ctrl+F
で『http://ドメイン』を検索すると
悪さをしている物を突き止められることと思います。
そんなこんなで無事、常時SSL化が完了。
あとは、変な悪影響が無いことを祈るばかりです…
(まぁ、あったらあったでネタになるので良いのですが…)