いまさら聞けないHT...|独学でWebデザインの勉強をする人のためのまとめサイトです。

HTTPS化(常時SSL化)への切り換えの疑問


  • Webサイト制作の現場より

いまさら聞けないHTTPS化(常時SSL化)への切りかえの疑問

こんにちは。フクモトです。

先日、当サイトをSSL化した際に、疑問に思ったこと、調べたこと、躓いたことなどをこちらにまとめます。

SSLとは

SSLは「Secure Socket Layer」の略で、インターネット上で情報を暗号化して送受信できる仕組み。

個人情報・クレジットカード情報などの大切なデータを安全にやりとりできる 世界標準のセキュリティ技術です。

簡単に言えば、

アドレスバーに鍵マークが付くやつです。

通常の「http」から「https」にするコトで

ユーザーにとって

「安心・安全」で
「表示速度が速く」
「使いやすい」

Webサイトになると言われており、 Googleでも 2015年8月、公式に 「HTTPS をランキング シグナルに使用します」と発表しています。

つまり、

「HTTPS(SSLを導入しているWebサイト)」は検索結果にも影響がでるよ!

ということですね。

Google公式ブログ
http://googlewebmastercentral-ja.blogspot.jp/2014/08/https-as-ranking-signal.html

 

私がSSL化に切り替えたきっかけは、Peypalの 『2016年から2017年のセキュリティ計画について』のお知らせでした。

https://www.paypal-knowledge.com/infocenter/index?page=content&widgetview=true&id=FAQ1913&viewlocale=ja_JP

↑日本語で書いてあるが、何を説明しているのか理解不能。

Peypalの電話サポートでも解決できるような答えが返ってこない。

いろいろと調べたところ、

Paypal決済のセキュリティをより高めるから、Paypal決済を利用するには、WebサイトがSSL化されている(https)ことが条件ですよ。

という意味のようです。

SSL化しないとPeypal決済に影響がでる??

これはいかん!!

ということで、慌ててSSL化導入に踏み切った次第です。

SSL化するには、何をすればよいか?から調査開始!

それには、

「レンタルサーバーでSSL証明書を発行」してもらい、

当サイトの場合はWordpressを利用しているので、

「Wordpressの設定をhttpからhttps変えればよい」

という流れがつかめました。

SSL化で湧いてきた素朴な疑問

ここで、湧いてきた疑問が、

  1. SSL証明書を発行してもらうには、何か特別な資格がいるのか?
  2. WordPressの設定は安全に変えられるのか?
    ごちゃごちゃとムツカシイ知識がいるのか?
  3. もとの「http」のサイトについたGoogleの評価は、どうなるのか?
    「https」変えるということは、URLが変わるということなので、評価も一からなのか?
    もし、そうならアクセスがだだ下がりではないか!!!
  4. 外部リンク(SNSやメルマガから貼ってあるリンク、誰かが紹介してくれているリンクなど)はどうなるのか?
    まさかリンク切れになる???

という点でした。

上記、疑問について以下、わかったことを書きます。

SSL証明書を発行してもらうには、何か特別な資格がいるのか?

特に資格はいらない。

SSLブランドと呼ばれる認証機関にSSLサーバー証明書を発行してもらえばよい。

「SSLサーバー証明書」は、SSL対応のレンタルサーバーが取扱っており、取得手続き・設定・料金支払いはレンタルサーバー内で申し込みをするパターンが多いようです。

当サイトの場合はエックスサーバーを利用しているので、 エックスサーバー  インフォパネル内 「追加のお申し込み」から「SSLサーバー証明書を発行」の申し込みをしました。

申し込み当日にSSL新規取得・SSL証明書設定が完了。

この案内メールが届いてから数時間~最大24時間以内でhttpsのアドレスが利用可能になります。

利用可能になった時点で、これまでの「http」サイトがそのままリダイレクトされ、「https」のアドレスでもWebサイトは見ることができました。

エックスサーバーの独自SSLにはいくつかのプランがあり、SSLレベルの高さにより料金も変わってきます。

当サイトの選択したプランは、年間約15,000円です。

こちらのサイト様に詳しい解説があり、大変助かりました。

WordPressで作ったWEBサイトをSSL化する方法 by エックスサーバー。

WordPressの常時SSLとhttpsリダイレクト!SSL証明書をエックスサーバーで取得

さくらサーバーの場合はこちらが参考になります。

さくらインターネットでwordpressを完全SSL化する方法

WordPressの設定は安全に変えられるのか?

WordPressの設定変更「だけ」ならは比較的簡単。

管理画面(ツール→一般設定)で設定を変えるだけです。
※必ずバックアップを取ってから行いましょう。

SSL https WordPressの設定

設定を変えて保存したら、一旦ログアウトして、再び「https」のアドレスでログインできれば成功です。

SSL https WordPress 管理画面

ちょっと大変なのはここから

一般設定で設定を変えただけでは、完全にSSL化にはなりません。

テーマ内や記事内で読み込んでいる画像や関連ファイル(CSS・ JavaScriptなど)のパスも「https」に変更する必要があります。

絶対パスで指定している場合は手作業でテーマ内を変更。(相対パスであれば問題ないようです。)

WordPressのテンプレートタグで指定している場合は、一般設定の設定がそのまま反映されるので変更の必要はありません。

Search Regexプラグイン

過去に投稿した記事(投稿・固定ページ)内にもこれまでの「http」の記述があったので、記事の内容を一括置換することができる「Search Regexプラグイン」で対応しました。

「http」の文字列を「https」に一括置換してくれます。

※「post(投稿・固定ページ) 」以外は置き換わらないので、テーマ内は手作業で修正が必要です。

Wordpress Search Regexプラグイン「http」の文字列を「https」に一括置換

こちらのサイト様に詳しい解説があり参考にさせていただきました。

参考サイト:http://www.adminweb.jp/wordpress-plugin/list/index27.html

 

このように、関連ファイルやナビゲーションリンクを完全に「https」にしないと、せっかくSSL化してもアドレスバーに鍵マークが表示されなかったり、

混在コンテンツの警告(Firefoxの場合)

「このページは承認されていないソースからのスクリプトを読み込もうとしています」( Google Chromeの場合)

というエラー メッセージが出ます。

 

SSL化 firefox 混在コンテンツの警告

SSL化 アドレスバーに鍵マークが表示されない「このページは承認されていないソースからのスクリプトを読み込もうとしています」  Google Chrome エラー メッセージ

 

「アドレスバーに鍵マークが表示されない。」「エラー メッセージがでる」についての対処法は、別記事にまとめています。

⇒ httpsなのに鍵マークが出ない・エラーメッセージがでる時はここをチェックすべし!

外部リンクはどうなるのか?

これは、何もしなくても大丈夫でした。

自動的にhttpsにリダイレクトしてくれます。

ただし、以下の設定は必要です。

もとの「http」のサイトについたGoogleの評価は、どうなるのか?

「http」と「https」のWebサイトは別々のサイトという扱いになるということなので、301リダイレクトでGoogle の評価を引き継ぎます。

.htaccessに必要な記述を追加します。

<IfModule mod_rewrite.c>
RewriteEngine on
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://ドメインに置き換えてね/$1 [R=301,L]
</IfModule>

 

この記述でトップページ以下の下層ページも無事、評価が引き継がれるそうです。

あとは、GoogleアナリティクスやGoogleWebマスターツール(Search Console)を修正して完了です。

Googleアナリティクスの トラッキングコードの変更は必要ありません。

Googleアナリティクスの管理画面で以下のように設定します。

SSL化 Googleアナリティクス  設定

SSL化 GoogleWebマスターツール(Search Console)  設定

 

GoogleWebマスターツール(Search Console)とは

Googleが公式で提供しているWebサイトを管理するためのツールです。(無料)

https://www.google.com/webmasters/tools/home?hl=ja

Googleウェブマスターツールに運営サイトを登録しておくと、サイトがどのようにGoogleが認識しているのかを教えてくれます。

ページがどの程度インデックスされているかが一目でわかり、ユーザーの検索パターンを把握できたり、内部リンクや外部リンクの状況、エラーのあるページやGoogleからの警告などもここでわかります。

今回のSSL化で参考にさせていただいたサイト

WordPressで作ったWEBサイトをSSL化する方法 by エックスサーバー。

WordPressの常時SSLとhttpsリダイレクト!SSL証明書をエックスサーバーで取得

HTTPS移行後に外部リンクのURLを https:// に変更する必要はない

さくらサーバーの場合はこちらが参考になります。
さくらインターネットでwordpressを完全SSL化する方法

Search Regexプラグインの使い方

まとめ

今回のSSL化は挑戦でもあり、

⇒ 新しい技術に取り組むことでまた、知識の引き出しが増えました。

⇒ SSL化に限らず、Web系のどんな手法でも、実際に体験してみないとお客様の質問にも答えられないし、見積もりもできない。

机上の知識だけでは、説得力もなければ、信頼も得られない。

GoogleもAppleもPeypalも・・・SSL化を推奨しています。

今後は、SSL化の対応の案件が増えるのではと予想されますが、対応はバッチリできると思います。

「新しい挑戦」は、人によってさまざまだと思いますが、

今のあなたのスキル・状況から見た「新しい挑戦」があれば、ぜひ、実行してみてはいかがでしょう?

試行錯誤しながら、実際に動いてみることで確実に知識の引き出しが増え、スキルが向上していくのだと思います。




Facebookページに「いいね!」をクリックしていただくと、当サイトの更新情報を受け取ることができるようになります。
ぜひ、「いいね!」していただけると嬉しいです!



Pagetop