Twitterでブログ更新情報を配信中

SSL化でセキュリティ対策。ChromeはHTTPとHTTPSの混在禁止を明言

Webサイトのセキュリティ対策といえば、SSL化がすぐに浮かびますよね。見分け方はアドレスバーに表示されるURL部分。使用するブラウザにより表示は異なりますが、 HTTPSからはじまるSSL化済みのサイトは鍵のマークがついていて、接続保護の旨が確認できます。

SSLをアドレスバーで確認

そしてタイトルにもある通り、GoogleからHTTPとHTTPSの混在を禁止する告知があり、2020年にかけてHTTPのサイトはブロックされる仕様に変更されます。ユーザーがブロックを解除することはできますが、サイトのセキュリティ面や利用者側の心理を考えると、早急にSSL化の対応を進めたほうがよさそうですね。

Today we’re announcing that Chrome will gradually start ensuring that https:// pages can only load secure https:// subresources. In a series of steps outlined below, we’ll start blocking mixed content (insecure http:// subresources on https:// pages) by default. This change will improve user privacy and security on the web, and present a clearer browser security UX to users.

出典:Google Security Blog

SSL設定

サーバーにログインし、管理画面からSSL設定を選びます。

サーバーでSSL設定

エックスサーバーの場合は「独自SSL設定追加」のタブを開き、対象のサイトを選びます。

ネームサーバーを変更して認証を選び、確認画面へ進みます。

認証方式を選択

この時、ドメインをまだ取得していない場合もしくはネームサーバーを変更して間もない場合はエラー画面になります。SSL設定の前に確認しましょう。問題なければ追加します。

SSL設定一覧のタブに戻ります。反映待ちのアイコンが表示されるので、1時間程度時間を置いてからサイトURLにアクセスしてみましょう。

SSLの設定状況を確認

URLがHTTPSに切り替わったらまずは一安心ですね。この後は、サイト内にあるリンクの変更作業とリダイレクト設定が必要になります

リンクの簡単な確認方法としては確認したいページで右クリックし、ページのソースを表示します。その後、Cntl+Fで文字列の検索ボックスを開き、http://と入れると該当箇所にマーカーが引かれるので、その部分が修正箇所となります。画像やメニューをリンク切れのままにしないよう気をつけましょう。

リダイレクト設定はhttpでアクセスしてきた人をhttpsのサイトへと転送する設定です。SSL化する前のサイトをブックマークした方などが考えられます。.htaccessというファイルに専用の表記をすることで対応しますが、こちらは別記事で解説しますね。