【セキュリティ対策】常時SSLの対応方法

ホームページやWEBサイトをインターネット上にアップする上でセキュリティ対策は非常に大切です。今やマスト対策となった常時SSLの対応方法についてまとめます。

SSLを契約・設定

まずは、SSLを利用できるようにする必要があります。

と言いましても、最近は多くのレンタルサーバー会社さんが月々のサーバ代に対する標準機能としてパッケージしてくれています。
ご自身のレンタルサーバー会社さんやクライアントが借りているレンタルサーバー会社さん等に問い合わせの上、利用したいドメインに対してSSL設定を行ってください。

私が利用したことがある会社さんを記載しておきます。設定方法が書いてあります。他のレンタルサーバー会社さんでも無料のSSLが提供されてきているかと思います。確認してみてください。

■さくらインターネット
https://help.sakura.ad.jp/115000136822/

■Xサーバ
https://www.xserver.ne.jp/manual/man_server_ssl.php

「https://~」が使えるようになるには少し時間が掛かる

ドメインにSSLの設定をして、URLにアクセスしてもすぐには表示されません。「現在設定中です」とか「反映をお待ちください」といった内容が表示されたり、ページ自体エラーになったりします。ですが、浸透するのに時間が掛かっているだけですので、焦らず時間をあけて再度確認しましょう。

例えば当サイトだと、下記がSSL対応前のURLで、
https://lucklog.info
※常時SSL対応済なので「https://~」にリダイレクトされます

SSLの対応を行うと下記にアクセスできるようになります。
https://lucklog.info

もし、1日経っても「https://~」が正しく表示されない場合は、一度レンタルサーバー会社さん等に問い合わせてみてください。ちなみに、私の経験からいうと大体3時間以内には使えるようになります。

htaccessでリダイレクトしよう

SSL設定を行うと「https://~」でサイトにアクセスできるようになります。ですが、これだけでは足りません

なぜかと言いますと、「http://~」でも正常にページは表示できてしまうからです。せっかくSSL対応をしているのにSSL設定されていないページでアクセスされてはもったいないです。ということで、.htaccessで「http://~」にアクセスされた場合、「https://」にリダイレクトするよう設定してしまいましょう。

「.htaccess」がある場合

※「.htaccess」は編集によってはページが見れなくなる可能性もありますので、ご注意ください

ドメイン直下のディレクトリに「.htaccess」ファイルがある場合は、それをダウンロードして下記を一番下に追記しましょう。テキストエディタで編集できます。編集前の「.htaccess」はバックアップの上、編集の際には元々の記述を消さないよう気を付けましょう。編集後アップロードしてください。

RewriteEngine On
RewriteCond %{HTTPS} !on
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]

実際に追記すると下記のような感じです。

引用:サクラエディタをキャプチャ

WordPressを使っているとWordpress用の記述があります。そちらを消さずに一番下に追記します。

「.htaccess」がない場合

1.テキストエディタを開いて新規作成し、下記を入力します。

RewriteEngine On
RewriteCond %{HTTPS} !on
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]

2.「a.htaccess」というファイル名で保存します。
ちなみに、「a」は何でもいいです。拡張子だけではファイル作成できないため仮で「a」としています。
※文字コードは「SJIS」で良いと思います(私の自動生成された.htaccessがSJISでした)。おかしい場合は「utf-8」なども試してみてください

3.「a.htaccess」をドメイン直下のディレクトリにアップロードします

引用:FileZillaをキャプチャ

4.「.htaccess」にリネイムします。サーバ上であればリネイムできます。

引用:FileZillaをキャプチャ

以上ですが、表示がおかしくなった場合は、新規でアップロードした「.htaccess」を削除してください。

WordPressを利用している場合

「設定」>「一般」の「WordPress アドレス (URL)」と「サイトアドレス (URL)」も変更してください。
下記のようにどちらも「http://」を「https://」に変更するだけです。ただし、「WordPress アドレス (URL)」こちらに関しては変な値を設定すると、管理画面にアクセスできなくなったり、サイトの表示が崩れたりなどの問題が発生します。他のサイト等も念のため調べたうえで慎重にご対応ください。

↓変更前

引用:Firefoxキャプチャ

↓変更後(http://をhttps://にしただけ)

引用:Firefoxキャプチャ

Chromeでは、「保護されていない通信」と表示される

引用:Chromeをキャプチャ

SSLではない(https://~ではなくhttp://~)ページは上のようにURLの部分に「保護されていない通信」と表示されます。

日本でのChromeのシェアは50%程になっています。モバイルを外すと55%がChromeになります。多くの人が見ています。

※2019年2月~2020年2月の日本でのブラウザのシェアは下記サイトを参考にしています
https://gs.statcounter.com/browser-market-share/all/japan/#monthly-201902-202002-bar

現在検索のほとんどがgoogleの検索アルゴリズムです。つまりSSLの対応は必須です。

実際に仕事でも常時SSLの対応は基本となっています。セキュリティ対策としてもSEO対策としても忘れず対応したいです。

SSLに関連する記事