httpをhttps(常時SSL)にする方法! http://→https://|サイバーセキュリティ.com

  1. ホーム /
  2. コラム /
  3. httpをhttps(常時SSL)にする方法! http://→https://
             

httpをhttps(常時SSL)にする方法! http://→https://



httpをhttps化する方法を下記で詳しく解説します。

https化は、Webサイト運営側にも重要な設定です。セキュリティ強化だけでなく、ユーザーに「詐欺サイトなのでは?」と疑われてしまうことも回避できます。

https化(常時SSL)にするには?

https化の設定方法は、以下の6つの手順でおこないます。

  1. サーバーの対応状況を確認する
  2. CSR(証明書署名要求)を作る
  3. SSLサーバー証明書を申請・取得する
  4. SSLサーバー証明書をインストールする
  5. ​​リンクを「https://」へ置換する
  6. httpをhttpsにリダイレクト設定する

詳しく解説していきます。

1. サーバーの対応状況を確認する

最初に、現在利用中のサーバーが、https化できるか確認しましょう。レンタルサーバーの中には、https化に対応していない場合もあるため注意が必要です。

また、一般公開前にWebサイトをチェックする「テストサーバー」を用意している企業もあるかと思います。テストサーバーも忘れずに、https通信に対応させましょう。

2. CSR(証明書署名要求)を作る

次に、CSRを作成します。CSRとは、SSLサーバー証明書を取得するために必要な「証明書署名要求」と呼ばれるものです。

CSRを作成する際には、ディスティングイッシュネームを入力します。ディスティングイッシュネームとは、Webサイトやサイト運営者情報の総称です。CSRの作り方はサーバーごとに異なるので、現在利用中のサーバーの作成手順を確認してみてください。

3. SSLサーバー証明書を申請・取得する

CSRを作成したら、認証局にSSLサーバー証明書を申請し、取得しましょう。SSLサーバー証明書の種類は、「共有SSL」と「独自SSL」の2つがあります。https化に必要なのは、独自SSLです。

共有SSLとは、サーバー会社が取得したSSLサーバー証明書のことで、複数ユーザーで共有します。対する独自SSLは、Webサイトの所有者が取得したSSLサーバー証明書です。

さらに、独自SSLは以下の3つに分けられます。

  • 個人向けの「 ドメイン認証型(DV)」
  • 法人向けの「企業認証型(OV)」
  • 法人向けかつ最も厳格な「EV認証型」

認証が厳格になるほど費用も高額になるため、運営しているWebサイトに適した独自SLLを選びましょう。

4. SSLサーバー証明書をインストールする

SSLサーバー証明書を取得できたら、続いてインストールします。インストール方法もサーバーにより違うため、利用中のサーバーの手順を確認しましょう。

レンタルサーバーよっては、自動でインストールされるケースもあります。たとえば、エックスサーバーは、自分でインストールする必要がありません。認証局への認証作業のみ、自分でおこないます。

5. リンクを「https://」へ置換する

Webサイトのhttps化は、これまでの手順で完了しています。しかし、Webサイトを構成するHTMLやCSSで記述しているリンクは、「http://」のままです。なので、Webサイト内の画像や内部リンクなど、全て「https://」へ置換しましょう。

置換作業が必要となるのは、絶対パスで記述しているリンクのみです。相対パスやルートパスで記述されている場合は、置換作業は不要です。

6. httpをhttpsにリダイレクト設定する

「http://」から「https://」へのリダイレクト設定も、必ずおこないましょう。リダイレクトとは、ユーザーが開いたURLから別のページに転送することです。https化した後は、元の「http://」ページにアクセスしたユーザーを、新たな「https://」ページへ誘導しましょう。

リダイレクト設定をしないと、外部に貼られた「http://」のURLはリンク切れになります。新たなページが表示されないため、せっかくのユーザー流入の機会を失ってしまいます。

SEO対策の観点からも、リダイレクトは大切です。リダイレクトしておくと、「http://」時代のSEO評価も引き継がれます。リダイレクト設定後は、GoogleサーチコンソールとGoogle ナリティクスのURL再登録もしましょう。

ここでは、サイト全体や特定ページに対してHTTPSへリダイレクトする方法、さらにWordPressを利用している場合の設定手順について解説します。特に、.htaccessファイルを用いた設定方法に焦点を当てて説明します。

サイト全体に適用する場合

サイト全体をHTTPからHTTPSへリダイレクトさせたい場合は、.htaccessファイルに以下のコードを追加するだけで簡単に設定が可能です。この方法は、すべてのページがHTTPSに強制的にリダイレクトされ、ユーザーがHTTPでアクセスしても自動的に安全なHTTPSに転送されます。

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

この設定は、サーバーがApacheを使用している場合に有効です。.htaccessファイルにこのコードを記載することで、すべてのアクセスが自動的にHTTPSへリダイレクトされるようになります。

特定のページにのみ適用する場合

特定のページだけをHTTPSにリダイレクトしたい場合は、.htaccessファイルに以下のコードを記載します。例えば、example.com/special-pageというページのみをHTTPS化する場合は、次のように記述します。

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteCond %{REQUEST_URI} ^/special-page$
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

これにより、指定したページへのアクセスが自動的にHTTPSにリダイレクトされ、それ以外のページはHTTPでアクセスできるままにすることができます。

WordPressは管理画面の設定も必要

WordPressを使用している場合、.htaccessの設定だけではなく、管理画面での追加設定も必要です。まず、WordPressの管理画面にアクセスし、設定から「一般設定」を開きます。そして、「WordPress アドレス (URL)」と「サイトアドレス (URL)」をともにhttps://から始まる形に変更します。

さらに、プラグインを活用してより簡単にHTTPSへリダイレクトを設定する方法もあります。例えば、「Really Simple SSL」というプラグインをインストールすれば、複雑な設定をせずにサイト全体をHTTPS化することができます。

これらの方法を使って、HTTPからHTTPSへのリダイレクトを正しく設定し、サイトの安全性を向上させましょう。

以上6つの手順で、Webサイトのhttps化(常時SSL化)がおこなえます。サイト運営初心者の方でも簡単にできますので、ぜひ参考にしてみてください。

WordPressをhttps化(常時SSL化)する方法

前章では、Webサイト全般のhttps化(常時SSL化)する手順を解説しました。続いては、WordPressをhttps化する方法を紹介します。WordPressのhttps化は、下記の順番でおこないましょう。

  1. WordPressの事前準備
  2. SSLサーバー証明書の取得・設定
  3. SSL化プラグインでWordPressを設定
  4. Webサイトにエラーがないか確認

1つずつ説明します。

1. WordPressの事前準備

https化の作業をする前に、以下2点の準備をします。

  1. 始めにバックアップを取る
  2. WordPressを最新バージョンにする

トラブルが起きても元に戻せるように、最初にバックアップを取りましょう。WordPressのバックアップは、「BackWPup」や「All-in-One WP Migration」といったプラグインを使うと簡単にできます。

バックアップを取得したら、WordPressを最新バージョンにしましょう。WordPressそのものだけでなく、プラグインやテーマなど、全て最新状態にします。

事前準備では、必ずバックアップを先に取ってください。最新のWordPressに対応していないテーマやプラグインの場合、Webサイトにエラーが発生する恐れがあります。順番に注意して、事前準備をおこないましょう。

2. SSLサーバー証明書の取得・設定

次にSSLサーバー証明書を取得し、設定しましょう。詳しい手順は前章の1~4にて解説していますので、ご参照ください。

WordPressを始めとするCMSで作成したWebサイトでも、SSLサーバー証明書の申請やインストール方法は変わりません。サーバー側の作業はここで終了です。

3.SSL化プラグインでWordPressを設定

サーバー側の作業を終えたら、続いてWordPress側の設定を変更します。WordPressの場合、「SSL化プラグイン」を使うとスムーズな設定変更が可能です。SSL化プラグインでは、以下の作業ができます。

  • 内部リンクや画像URLを「https://」に置換する
  • 「http://」から「https://」へのリダイレクト設定

SSL化プラグインを用いれば、上記の作業を一括しておこなえます。おすすめのSSL化プラグインは、「Really Simple SSL」と「SSL Insecure Content Fixer」の2つです。

WordPressのセキュリティを強化するには?対策やおすすめのプラグインまで
2018.2.12
WordPressは世界中で人気のCMSですが、その一方でセキュリティ面の脆弱性が指摘されています。 WordPressサイトは、普及率の高さやプラグインの脆弱性、ユーザーの設定ミスなどから攻撃者の格好のターゲットとなっており、クロスサイ
WordPressのセキュリティ対策おすすめプラグイン6選
2018.2.21
WordPressを利用している方はセキュリティ対策の方法が気になりますよね。 世界中で最も利用されているCMSの一つであるWordPressは、脆弱性や不正アクセスの報告が後を絶ちませんので、セキュリティ面で不安に思う方が多いかと思

4. Webサイトにエラーがないか確認

最後に、Webサイトにエラーがないか確認しましょう。プラグインを使っても、完全にhttps化できないケースがあるからです。「混合コンテンツ(Mixed Content)」

Webブラウザからサイトにアクセスして、アドレスバーの左端を確認してみてください。左端に緑色の鍵マークが表示されていれば、https化が完了しています。鍵マークが灰色、あるいは表示されない場合、https化ができていません。

https化が不完全であれば、エラー箇所の特定が必要です。WebブラウザのChromeを使うと、容易にエラーチェックができます。手順は以下の通りです。

  1. ChromeからエラーチェックしたいWebサイトに接続する
  2. ブラウザ上で右クリックして「検証」を選択、デベロッパーツールを開く
  3. メニュー上部の「Console」を選択
  4. 混合コンテンツのエラー箇所が表示される

上記の方法でエラー箇所を特定したら、WordPressの管理画面でエラーを手動で修正します。再度Webサイトを確認し、緑色の鍵マークが表示されているかチェックしましょう。

ここまで、WordPressのhttps化する方法を解説しました。WordPressでWebサイトを作成している方は、https化の設定手順と合わせてお役立てください。

まとめ

今や、https化していないサイトはあまり見かけなくなりました。

Googleもhttps化を推奨しており、https化をしていないと評価が下がる傾向にあります。https化はサイト運営をしていくうえで、必須となりつつあります。

ユーザーの個人情報を守り安心して利用してもらえる様に、まだhttps化していない場合は早急に対応していきましょう。

関連コラム(あわせて、以下の記事もよく読まれています)

製品・サービス(当該コラムの内容に関連する製品・サービスはこちら)


SNSでもご購読できます。