にしし ふぁくとりー(西村文宏 個人サイト)

Presented by Nishishi via Movable Type. Last Updated: 2017/06/30. 00:40:13.

うちのサイトを概ねHTTPS化した(SSL証明書は年額1,152円で安かった)

うちの個人サイトが概ねHTTPSでアクセスできるようになった気がします。まだ深部までは確認できていないんですけども。少なくとも主要なコーナー内のページは大丈夫そうです。たぶん。^^;
今の時点では、HTTP→HTTPSの強制リダイレクトはしていませんから、従来通りHTTPでアクセスした場合はHTTPのままです。ブラウザのアドレス欄に https://www.nishishi.com/ のように、httpsと打てばHTTPSでアクセスできます。
すると、ブラウザのアドレス欄にめでたく鍵マークが付加されます。もちろんレベル1(最も低いレベル:ドメイン認証)のSSL証明書ですから、鍵マーク以外は何も付きませんけども。

HTTPSでのアクセスが可能になった。

SSL証明書を取得したのは昨年末なので、もう半年前になるんですが。(^_^;)

HTTPS化作業で面倒なのは

SSL化(HTTPS化)作業で面倒なのは、参照するファイルのURLをプロトコル名「http://」から書いてしまっている場合ですね。以下のような感じで。

href="http://www.example.com/hoge/file.js"

画像の読み込みが「http://」で書かれている場合なら、単に鍵マークに警告が付加されるだけで表示自体に問題はありません。
しかし、CSSやJavaScriptの読み込みが「http://」で書かれている場合は、そのファイルが読み込まれないので困ります。

それでも、自サイト内にあるファイルであれば、以下のどれかに修正すれば解決はします。数が多いと大変ではありますが、対処は可能ですね。

  • 相対パスでの記述に変える:href="./file.js"
  • 絶対パスでの記述に変える:href="/hoge/file.js"
  • プロトコル名を省略した絶対URIでの記述に変える:href="//www.example.com/hoge/file.js"

問題は、外部サイトに存在するファイルを読み込みたい場合です。
これはもう、その外部サイトがHTTPSで読み込ませてくれないなら諦めるほかないわけですが。(^_^;;;
1つずつ、http://をhttps://に修正してアクセスしてみて、ちゃんと反応が返ってくるかを確認して修正するしかないですね。
一部非対応のサービスがあったので、それはもうすっぱり諦めて使うのをやめました。(先方サービスの放置具合からして、たぶん今後もSSL対応はなされなさそうだったので。^^;)

なお、「HTTPSページ内で、HTTPなファイルを読み込む」と警告が出たり読み込めなかったりしますが、その逆の「HTTPページ内で、HTTPSなファイルを読み込む」には何ら問題はありません。
なので、HTTPSで読み込める外部サイトのファイルは、全てhttps://から書いて読み込めば良いでしょう。

SSL証明書は、GeoTrustのRapidSSLをさくらインターネット経由で契約

SSL証明書は、GeoTrustのRapidSSLで取得しました。さくらインターネット経由で契約すると3年で3,456円でしたので、年額換算1,152円でそこそこ安かったので。
とりあえず取得したのは www.nishishi.com に対してだけなので、サブドメインや他のドメインはまだHTTPのままです。
Let's Encryptで無料のSSL証明書を試そうかなとも思ってはいます。他のドメインで。ただ、3ヶ月毎の更新は面倒だなとは思いますが。

サブドメイン単位の証明書だと、ウェブサイト内のコーナーをディレクトリではなくサブドメインで分けているような構造のサイトはSSL対応が大変ですね。(^_^;) ワイルドカード証明書を取得すればサブドメインを一括して含められますが、料金がそこそこしますし。
ここ最近になって一気にSSL化が進んだのは、間違いなくGoogle(Chrome)の新方針の影響ですよね。
Googleパワーで、もっとSSL証明書の維持費が安くなってくれれば良いんですけども。というか、Googleが無料にしてくれても良いんじゃ……。(^_^;;;

Chromeでの「保護されていない通信」警告

しかし私が直接「ああ、これはもうSSL対応しないとダメだな」と思ったのはFirefoxの警告(下図)でしたが。^^; さすがに入力欄にこんな警告(「安全ではない」に加えて「漏洩する可能性があります」とまで)を出されたら、避けたいと思いますよね……。^^;;;

Firefoxでの「漏洩する可能性があります」警告

どういう基準で判定しているのか分かりませんが、ログイン画面だけでなく、ただのBBSの投稿欄でもこのように表示される項目がありました。
まあ、Googleも最終的には警告対象を全サイトに広げたいと言っていますから、いずれはこのようにあらゆるページで警告されるようになるのでしょうけども。

独自ドメインで運営されているサイトはともかく、プロバイダ提供スペースやその他の無料スペースではどうなるんでしょうかね? 早々にSSL対応しないと、ユーザが他のサービスに引っ越してしまう気がしますが。

何らかの事情でSSL対応を中止する可能性があるなら、302でリダイレクトする方がいい?

今のところ私のサイトでは、HTTPでもHTTPSでもどちらでもアクセスできます。特に強制的なリダイレクトはしていません。
サイト内の全ページで本当にHTTPSで問題ないかどうかが確認できていませんから。(^_^;)
rel="canonical" でも、まだHTTP側のURLを書いていますから、たぶん検索結果にもHTTP側がヒットし続けるのではないかと思います。(rel="canonical"を書いていないページも多々ありますが。)

最終的に、HTTPでのアクセスを可能にしていると不利になってきた場合にはリダイレクトを設定するとは思います。
ただ、少なくとも最初の実験段階のうちは、HTTP→HTTPSのリダイレクトは、301よりは302の方が無難そうですね。

HTTPステータスコード301でリダイレクトすると、リダイレクト先URLをブラウザがキャッシュするので、次回からは元サーバにアクセスすることなくリダイレクト先URLに直接アクセスされるようになります。
つまり、もし http://www.nishishi.com/ から https://www.nishishi.com/ へ301でリダイレクトさせると、たとえリダイレクトの設定を解除しても、(1度リダイレクトしたことのあるブラウザでは)http://側のリンクを踏んだとしても、キャッシュされた情報を参照して問答無用でhttps://側にアクセスしてしまいます。
こうなると、何らかの原因でSSLを廃止したときに困ってしまう気がします。
まあ、SSLを廃止しなければ良いのですが。(^_^;)
(302でリダイレクトした場合にはブラウザはリダイレクト情報をキャッシュはしないようなので、SSLを廃止した場合には元のURLにアクセスできます。)

ググってみたところ、HTTP→HTTPSのリダイレクトでは、301でも302でも検索対策上の差はないっぽいので。
もちろん余計なリダイレクトは発生しない方が望ましいわけですが。要は、検索結果にはHTTPS側が出ていれば余計なリダイレクトは発生しないわけですから、問題はないかな?とも思います。

コメント

コメント数: 0件

コメント投稿欄 この日記に対するコメント投稿を歓迎します。



※本文中にURLは書けません。(書くと投稿が拒否されますのでご注意下さい。)

※ご投稿頂いた内容は、掲載前に管理者が確認する設定にしている場合があります。たいていは数日以内には表示されるはずですので、気長にお待ち願います。m(_ _)m

著者紹介


にしし(西村文宏)

にししでございます。本書いたり記事書いたりしてます。あと萌えたり。著書5冊発売中です(Web製作系4冊+小説1冊)。著書や記事は「西村文宏」名義。記事は主にAll Aboutで連載。本の最新刊は2011年3月に発売されたライトノベルでございますよ。

Twitter:にしし/西村文宏
にしし/西村文宏 on facebook にしし/西村文宏 on mixi にしし/西村文宏 on Google+ フォローはお気軽に!

にしし(西村文宏)連絡先
☕ コーヒーをおごる

著書一覧と詳細

関連する記事など

※下記には、本サイト内外の関連記事などが8本くらい自動で表示されています。

にししふぁくとりー Sakura scope内限定での主要なカテゴリ

--- 当サイト内を検索 ---