本記事のキャプチャ画像は2018年6月9日時点のものです。
ここ最近、静的サイトのHTTPS化が進んできている気がします。
一昔であれば「ログイン機能があるサイト」とか「申込みフォームで個人情報を入力するサイト」なら通信を暗号化しないと盗聴されてしまうため、HTTPS化は必須でした。
ただ、ここ最近は静的サイトでもHTTPS化の波が確実に来ているように感じます。SEO対策としてもHTTPS化しておくと評価が良いと聞くため、チャチャっとHTTPS化することにしました。
・WordPress初心者の人
・サイトをHTTPS化しようとしてる人
・XSERVERを利用している人
目次
「HTTP」と「HTTPS」との違いとは何?
まず、「HTTP」と「HTTPS」との違いを押さえておきましょう!
簡単に言うと、ウェブサイトを見るための共通言語で暗号化されているか、されていないかの違いになります。
よくDocomoやSoftBankのフリースポットWifiがカフェとかにあるのを見かけます。わたしはそのWifiが危険であることを知ってるため、携帯電話の通信パケットを使うことになるとしても、極力利用しないようにしてます。
と、言うのも悪意のある人が同じフリースポットWifiに接続していたら、HTTP通信の中身が丸見えだからです。HTTPS通信であれば、暗号化されてるため、通信の中身は簡単には分かりません。ただ、暗号化強度によっては盗み聞きされる可能性はゼロでは無く、そこはしっかり認識しておく必要があります。
そのため、わたしはフリースポットWifiを利用するとしても、WEBサイトを見るくらいに留めて、間違っても、ログインするサイトでは利用しないようにしてます。いつ何時、悪意を持った輩が狙っているか分かりませんから、自衛ってやつです。
ただ、それらの危険があることをわかってて、理解した上で使うのはいい と思います。パケット通信料抑えることができたり、いろんな場所にフリースポットWifiあって便利ですしね。
サイトはHTTPS化するのがいいの?
前置きが長くなってしまいましたが、WordPressインストール後の初期設定だとHTTPS化されておらず、全てHTTP通信になっています。
つまり、ブログを書き込むためにWordPress管理画面にログインしますが、その通信は暗号化されていないということになります。
そのため、暗号化通信のHTTPS化しておくべきだとわたしは思います。みなさんはどう思いますか?
また、Googleが開発しているブラウザChormeは2018年7月に予定しているChrome68からHTTP通信だと有無を言わせず
- ウェブサイトが信頼されていないの
- このウェブサイトは安全ではない
そのこともあり、サイトHTTPS化の波が来てるのでしょう。
静的サイトもサイトSSL化せざるを得ない状況に来てます。証明書エラーでエラー画面出すのではなく、HTTP通信なら有無を言わさず出るってことか。。。#サイトSSL化
https://t.co/D0LqGeOwCJ— ぐーぐーぺこりんこ@社畜㌠ (@gugupeco999) 2018年6月28日
2018年7月リリースの「Chrome 68」から、すべてのHTTPサイトで「保護されていません」を表示するという公式アナウンスがありました。
いよいよGoogleが本気。Chrome 68から全HTTPサイトに警告!
引用元:常時SSL Lab.
ブログサイトをHTTPS化する手順
Google先生に「ブログサイトをHTTPS化する方法」を聞いてみたところ、ヤスさんのブログにかなり詳しくまとめられていたので、参考にさせていただきました。
独自ドメインのSSL証明書設定
みなさんは自分のブログサイトドメインを独自に取得されていると思います。わたしのブログサイトなら
「gu-gu-peco.com」
ってやつです。
まず、この独自ドメインに対してSSL通信できるようにする必要があるため、設定していきます。
まず、XSERVERサーバパネルへログインして、「ドメイン」→「SSL設定」を選択します。
次に今回、HTTPS化したいドメイン「gu-gu-peco.com」を選択します。
次の画面で「独自SSL設定の追加」タブを選択後、「独自SSL設定の追加する(確定)」ボタンを押下します。
※CSR情報は個人であれば不要です
SSL証明書の新規取得にしばらく時間がかかるとの表示でしばらく待つことにします。
しばらく待つと、独自ドメインのSSL証明書設定追加が完了します。
そして、「SSL設定の一覧」タブを選択してみると、追加されているのが分かります。
ブログサイトの設定変更
独自ドメインのSSL証明書設定が完了すれば、HTTPS通信ができるようになります。次にわたしが管理しているブログサイトのURLをHTTP→HTTPSへ変更することにします。
WordPress管理画面へログインしてから左メニューから「設定」→「一般」を選択します。
「WordPressアドレス(URL)」と「サイトアドレス(URL)」をHTTPからHTTPSに変更します。
(変更後)https://gu-gu-peco.com/
そして「変更を保存」ボタンを押下すると、速攻セッション切れを起こしてWordPress管理画面から強制ログアウト。その後はまさかの「無効なURLです。」表示になってしまうという事態になりました。。。
あー、これはやってしまったなーと思ってしばらく放置してたらブログサイトとWordPressログイン画面がHTTPSで表示できるようになってました(笑)
【ブログサイトトップページ】
【WordPressログイン画面】
(余談)どのSSL証明書使ってるの?
SSL証明書は有償というイメージがあったため、SSL証明書ってどこの使っているんだろうと思って見てみると「Let’s Encrypt」とのこと。
Google先生に聞いてみると無料でSSL証明書発行できるところみたいです。
総合ポータルサイトありました。
独自ドメインのSSL証明書を確認してみると以下の通りでした。
有名どころのベリサインやシマンテックだとネームバリューがあるせいかSSL証明書は高額ですが、無料発行のところが出てきていたんですね。最近だと安価なサイバートラストが出てきていい傾向と思ってましたが、まさか無料とは。。。
