吉田直樹のブログが全体HTTPS化(常時SSL)になりました。

WEB
2018.02.27

タイトルの通り、 吉田直樹のブログが全体HTTPS化(常時SSL)になりました(わ~パチパチ)。

そもそも、HTTPS・SSLってなに?

SSLとは情報を暗号化する技術のことで、HTTPS とはインターネットの通信を暗号化して行うことです。

インターネットの通信をHTTPS で行うことで、第三者が情報を盗み見ることをできなくする目的で行われます。
ネット通販でなにかを買って、自分の名前や住所や電話番号、あとはクレジットカードなんかを入力する必要がある時、ほとんどサイトはHTTPSで暗号化された状態で情報をやりとりしますね。

全体HTTPS化(常時SSL)というのは読んで字のごとく、インターネットの通信を全体(全部)HTTPS化すること、常時SSLを用いて通信を暗号化することを意味します。

 

HTTPSで通信しているかはアドレスバーのここをチェック

使用しているブラウザにもよりますが、今のインターネットの通信が HTTPS で行われているかどうかは、たいていの場合アドレスバーの左側で確認することができます。

そもそもなぜ暗号化が必要なのか?

インターネットは、世界中に無数にあるサーバや通信機器を経由して情報をやりとりすることで行われています。イメージしやすい言い方をすると、目的の相手に情報を伝言ゲームで伝達しているのと似た感じです。

このあたり「へぇそうなんだ」と興味を持たれた方はネットでちょっと検索してみてください。詳しくだったり分かり易くだったり解説してくれるサイトがたくさん見つかるはずです^^

話を戻すと「インターネットでのやりとり=伝言ゲーム」ということは、やりとりの内容を「自分」と「やりとりの相手」以外に伝言役も知ることができちゃうっていうわけです。

別に他の人に知られても困らない情報のやりとりなら暗号化をする必要もありませんが、さきほども書いたとおり、ネット通販で物を買う時にやりとりする必要のある個人情報やクレジットカードなどの決済情報は、暗号化せずにやりとりしたら大変なことになっちゃいますね。他の人にクレジットカードの番号から全部を知られて勝手に使われてしまいます。

全体HTTPS化する、常時SSLってなにが違うのか?

ひと昔前は、

  • ログイン情報(アカウント、パスワード)をやり取りする
  • 個人情報を入力する
  • 支払情報を入力する

時だけ通信をHTTPSで行っていたのですが、「もう全部の通信暗号化しちゃったほうがいいんじゃない?」という風になってきたのです。

その辺、こちらの記事を読むとまあわかりやすいんじゃないでしょうか。

Webサイト全体HTTPS化(常時SSL)の流れはもう止まらない | 【レポート】Web担当者Forumミーティング 2015 Autumn | Web担当者Forum

Webサイト全体HTTPS化(常時SSL)の流れはもう止まらない | 【レポート】Web担当者Forumミーティング 2015 Autumn
その大きな効果と実装のポイント
webtan.impress.co.jp

ちょっと専門的ですけど、もともと一般的な話題でもないですしね、専門的なのはしかたない(^^ゞ

記事が書かれたのがまるっと2年前。その時で今後の流れとして「Webサイト全体HTTPS化(常時SSL)の流れはもう止まらない」と言われていた話が、2年経ってこんな吉田直樹のブログなんかでも導入されるくらいには世の中に浸透してきたらしいです。

なんで全体HTTPS化(常時SSL)したのか?

昨日の夜気がついてこれがもうびっくりなんですけど、そもそも吉田直樹のブログの管理画面へのログインページがHTTPSになってなかったんですよ。

全体どころか一部たりとも暗号化されてなかったという。

最初からずうっとそうだったのか、もともとはHTTPSだったのに気がつかない間になにかの理由でHTTPSじゃなくなったのかはわかりません。誰かにブログを乗っ取られたこともないので結局誰にも知られたことはなかったんでしょうが、管理画面にログインするための情報が暗号化もされずにインターネットで通信されていたんですね。

どうやって全体HTTPS化(常時SSL)したのか?

SSLの有効化

HTTPS(SSL)での通信は、誰でもすぐに簡単に使いはじめられるものではありません。やり方はいろいろありますが利用しているサーバ会社がHTTPS(SSL)を利用者に提供しているかどうかを確認するのがてっとりばやいです。

で、吉田直樹のブログと言えば「さくらインターネット」の共用サーバで運用されていますので調べてみたところありました。

上記のスクショでは1ページほどすっ飛ばしていますけど、

  1. さくらインターネットのサーバコントロールパネルにログインしてドメイン/SSL設定を選択。
  2. 設定してあるドメインの一覧の中から設定したいドメインを選択。
  3. 「ドメイン詳細設定」の項目「4. SSLの利用をお選びください」から希望する項目を選択
  4. 「SSLサーバ証明書概要」から「無料SSL」か「有料SSL」を選択。※趣味のブログなので「無料SSL」で充分です。
  5. 「無料SSL証明書について」から「無料SSLを設定する」を選択。

以上の流れで、SSLが有効になります。
さくらインターネットの説明だと、設定したSSLが有効になるまで「数十分〜数時間かかる場合があります」とありますが、別のページをちょっと見ている間に有効になっていたので、実際は30分もかからず5~10分くらいで有効になっているような気がします。夜中の作業だったのでちょっと早かったのかも?

設定の流れ
[無料SSLを設定する]ボタンをクリックします。
申請から設定までに数十分〜数時間かかる場合があります、設定完了後はメールにてお知らせいたしますので、お待ちください。
なお、申請されるドメインやサーバのご利用状態などによっては証明書が取得できない場合があります。※取得できない際はメールにてお知らせいたします。
サイトの転送(リダイレクト)方法について [ http ⇒ https ]
無料SSL取得後にサイトの常時SSL化(Webサイトすべてを暗号化)を行うにはURLの転送設定(リダイレクト)を行う必要があります。「https://ynao.jp」でアクセスした際に「https://ynao.jp」へ転送する設定については、以下サポートサイトをご参照ください。

WordPressで作成したサイトをご利用のお客さま
https://help.sakura.ad.jp/hc/ja/articles/115000047641

WordPress以外で作成されたサイトをご利用のお客さま
https://help.sakura.ad.jp/hc/ja/articles/206054622#ac09

全体HTTPS化

サーバでSSLが有効になったので、あとはこれまで「https://ynao.jp/~」でアクセスしていたページに「https://ynao.jp/~」でアクセスすれば無事HTTPS化作業の完了です。

もともと、ここまでの時点で「全体HTTPS化」なんてことはまったく考えてなくて、とにかくWordPress管理者ログインページでのアカウントパスワード入力をHTTPSにしたいというだけだったんですが、さすがはさくらインターネット。

さくらのレンタルサーバ 簡単SSL化プラグイン(【WordPress】常時SSL化プラグイン )なんていう物が提供されていたためそのまま使ってしまいました。だって前提条件がずばりあてはまるから何の問題もなかったので。

 

さくらのレンタルサーバ 簡単SSL化プラグイン(【WordPress】常時SSL化プラグイン)の使い方

前提条件

    • さくらのレンタルサーバ、さくらのマネージドサーバ上で稼働するWordPressでのみ動作し、
      さくらのVPS、さくらのクラウドや他社レンタルサーバでの動作はいたしません。
    • 独自ドメインでご利用される場合は、
      ラグインインストールの前にSSLサーバ証明書の導入を完了してください。
    • 共有SSL(初期ドメインのSSL)を利用される場合はそのまま利用可能です。
    • 本プラグインはPHPバージョン5.6、7.1でのみ動作します。
      • ※PHPバージョンはサーバコントロールパネルのPHPのバージョン選択から
        変更可能ですが、既存プログラムが動作しなくなる可能性があります。
        注意して作業してください。
    • バージョンアップ履歴 (2017年11月16日時点)
      バージョン1.3:ドメイン設定にて「マルチドメインとして使用する(推奨)」にした状態で、
      wwwあり(例:www.example.com)のURLでWordPressで作成したサイトを公開されている場合に対応しました。

      • ※旧バージョン(1.2)では、ドメイン設定にて
        「マルチドメインとして使用する(推奨)」にし、かつwwwありで公開するサイトには
        対応しておりませんでした。
      • ※「www付きのドメイン利用中で、SSL化する」手順は、こちらをご確認ください。

おかげさまで、ブログ記事内の「http://」を「https://」に書き換える必要もなく、あっという間に「全体HTTPS化」が完了してしまいました(^^ゞ

元々のブログの中で外部の広告バナーをあれこれ貼っていて「https://」でアクセスしてないファイルの参照とかが多いとすべての通信がHTTPSにならなくて他にも設定が必要になるみたい。

吉田直樹のブログは広告少なめですから特に問題ありませんでした^^

全体HTTPS化(常時SSL)した結果は?

特になにかが変わるわけではありませんが「何となくこれまでよりしっかりした感」があってやってよかった気はします。

おっと、暗号化しないでログイン情報を通信してセキュリティダダ漏れにしていたのが解消されたんだから「なにも変わってない」はないかも。

ここから追加で何かすることは今のところありませんが、HTTPSだと通信が少し遅い?(情報古い?)という話があったと思うので、数日様子を見た後サーチコンソールでサイトの応答スピードが変化していないかどうかだけ見てみます。

「さくらインターネットを使ってない」とか「WordPressを使ってない」だと使えないので、該当しない人にはあまり役に立たない情報になってしまいましたが、どなたかの参考になれば幸いです。

以上で~す!

 

コメント

タイトルとURLをコピーしました