12時58分42秒 [Web関連]
うちの個人サイトが概ねHTTPSでアクセスできるようになった気がします。まだ深部までは確認できていないんですけども。少なくとも主要なコーナー内のページは大丈夫そうです。たぶん。^^;
今の時点では、HTTP→HTTPSの強制リダイレクトはしていませんから、従来通りHTTPでアクセスした場合はHTTPのままです。ブラウザのアドレス欄に https://www.nishishi.com/ のように、httpsと打てばHTTPSでアクセスできます。
すると、ブラウザのアドレス欄にめでたく鍵マークが付加されます。もちろんレベル1(最も低いレベル:ドメイン認証)のSSL証明書ですから、鍵マーク以外は何も付きませんけども。
SSL証明書を取得したのは昨年末なので、もう半年前になるんですが。(^_^;)
SSL化(HTTPS化)作業で面倒なのは、参照するファイルのURLをプロトコル名「http://」から書いてしまっている場合ですね。以下のような感じで。
href="http://www.example.com/hoge/file.js"
画像の読み込みが「http://」で書かれている場合なら、単に鍵マークに警告が付加されるだけで表示自体に問題はありません。
しかし、CSSやJavaScriptの読み込みが「http://」で書かれている場合は、そのファイルが読み込まれないので困ります。
それでも、自サイト内にあるファイルであれば、以下のどれかに修正すれば解決はします。数が多いと大変ではありますが、対処は可能ですね。
href="./file.js"
href="/hoge/file.js"
href="//www.example.com/hoge/file.js"
問題は、外部サイトに存在するファイルを読み込みたい場合です。
これはもう、その外部サイトがHTTPSで読み込ませてくれないなら諦めるほかないわけですが。(^_^;;;
1つずつ、http://をhttps://に修正してアクセスしてみて、ちゃんと反応が返ってくるかを確認して修正するしかないですね。
一部非対応のサービスがあったので、それはもうすっぱり諦めて使うのをやめました。(先方サービスの放置具合からして、たぶん今後もSSL対応はなされなさそうだったので。^^;)
なお、「HTTPSページ内で、HTTPなファイルを読み込む」と警告が出たり読み込めなかったりしますが、その逆の「HTTPページ内で、HTTPSなファイルを読み込む」には何ら問題はありません。
なので、HTTPSで読み込める外部サイトのファイルは、全てhttps://から書いて読み込めば良いでしょう。
SSL証明書は、GeoTrustのRapidSSLで取得しました。さくらインターネット経由で契約すると3年で3,456円でしたので、年額換算1,152円でそこそこ安かったので。
とりあえず取得したのは www.nishishi.com に対してだけなので、サブドメインや他のドメインはまだHTTPのままです。
Let's Encryptで無料のSSL証明書を試そうかなとも思ってはいます。他のドメインで。ただ、3ヶ月毎の更新は面倒だなとは思いますが。
サブドメイン単位の証明書だと、ウェブサイト内のコーナーをディレクトリではなくサブドメインで分けているような構造のサイトはSSL対応が大変ですね。(^_^;) ワイルドカード証明書を取得すればサブドメインを一括して含められますが、料金がそこそこしますし。
ここ最近になって一気にSSL化が進んだのは、間違いなくGoogle(Chrome)の新方針の影響ですよね。
Googleパワーで、もっとSSL証明書の維持費が安くなってくれれば良いんですけども。というか、Googleが無料にしてくれても良いんじゃ……。(^_^;;;
しかし私が直接「ああ、これはもうSSL対応しないとダメだな」と思ったのはFirefoxの警告(下図)でしたが。^^; さすがに入力欄にこんな警告(「安全ではない」に加えて「漏洩する可能性があります」とまで)を出されたら、避けたいと思いますよね……。^^;;;
どういう基準で判定しているのか分かりませんが、ログイン画面だけでなく、ただのBBSの投稿欄でもこのように表示される項目がありました。
まあ、Googleも最終的には警告対象を全サイトに広げたいと言っていますから、いずれはこのようにあらゆるページで警告されるようになるのでしょうけども。
独自ドメインで運営されているサイトはともかく、プロバイダ提供スペースやその他の無料スペースではどうなるんでしょうかね? 早々にSSL対応しないと、ユーザが他のサービスに引っ越してしまう気がしますが。
今のところ私のサイトでは、HTTPでもHTTPSでもどちらでもアクセスできます。特に強制的なリダイレクトはしていません。
サイト内の全ページで本当にHTTPSで問題ないかどうかが確認できていませんから。(^_^;)
rel="canonical" でも、まだHTTP側のURLを書いていますから、たぶん検索結果にもHTTP側がヒットし続けるのではないかと思います。(rel="canonical"を書いていないページも多々ありますが。)
最終的に、HTTPでのアクセスを可能にしていると不利になってきた場合にはリダイレクトを設定するとは思います。
ただ、少なくとも最初の実験段階のうちは、HTTP→HTTPSのリダイレクトは、301よりは302の方が無難そうですね。
HTTPステータスコード301でリダイレクトすると、リダイレクト先URLをブラウザがキャッシュするので、次回からは元サーバにアクセスすることなくリダイレクト先URLに直接アクセスされるようになります。
つまり、もし http://www.nishishi.com/ から https://www.nishishi.com/ へ301でリダイレクトさせると、たとえリダイレクトの設定を解除しても、(1度リダイレクトしたことのあるブラウザでは)http://側のリンクを踏んだとしても、キャッシュされた情報を参照して問答無用でhttps://側にアクセスしてしまいます。
こうなると、何らかの原因でSSLを廃止したときに困ってしまう気がします。
まあ、SSLを廃止しなければ良いのですが。(^_^;)
(302でリダイレクトした場合にはブラウザはリダイレクト情報をキャッシュはしないようなので、SSLを廃止した場合には元のURLにアクセスできます。)
ググってみたところ、HTTP→HTTPSのリダイレクトでは、301でも302でも検索対策上の差はないっぽいので。
もちろん余計なリダイレクトは発生しない方が望ましいわけですが。要は、検索結果にはHTTPS側が出ていれば余計なリダイレクトは発生しないわけですから、問題はないかな?とも思います。
この日記へのコメントはお気軽に! コメント数:0件
(前の記事) « さくらインターネットでSSIを使う際、include virtualは絶対パスでの記述が必須
前後のエントリ
< 旧 / 新 >
(次の記事) エンジニアのためのWordPress開発入門 »
コメント数: 0件