’16年6月末、Xserverが、標準独自SSL(Let’s Encrypt)なるものを無料かつ自動更新で提供するとアナウンスがありました(設定例「寝ログ」さん提供)。以下書きますが、私は、’16年4月、RapidSSLを1年契約(年約1,600円)しました。どうしましょう。タダのサービスは、サービスを廃止されても何の文句を言えないわけで、それはリスクです。来年の3月頃に、良さそうな方法を選択しようと思います。
HTTPS化する。
しばらく前ですが、Googleが安全なサイトとしてSSL検索を日本でもデフォルト化するとのアナウンスがありましたが、昨年’15年12月に、HTTPSページが優先的にインデックスに登録されるようになる、と打ち出されていました。ブラウザのURLの入力・表示欄に鍵のマークが付いているサイトのことですが、海外のサイトはかなり多い。日本のサイトも徐々に増えていると感じていました。「安全対策済みのサイトです。」という意味ですね。
WordPressも次第に慣れてきましたし、記事の量が少ないうちに導入してみました。
独自ドメインの imakat.com をそのまま活かしたかったため、Xserverの提供するサービスの中から、安価なRapidSSL(米ジオトラスト社)を使うことにしました(※1)。
私は、販売目的以外のブログでも、第三者へ迷惑を掛けないために、https化をすべきであると思います。
具体的には以下の事例です。
「元のhttpの場合、例えばある閲覧者が私のブログのhttpサイトを、公共WiFi(※2)で、閲覧していたとします。近くにハッカーがいたとします。ハッカーは、その暗号化されていないhttpでのやりとりを狙って、その閲覧者のPCへ、いとも簡単に、割り込んで侵入します。
そして、閲覧者の重要な情報を盗み出すことが出来ます。
今回、私からの情報発信の環境を、https化することにより、つまり暗号化することにより、ハッカーは、私のブログを踏み台にしての侵入が出来ません。閲覧者の情報漏えいの防止に協力することになります。」
※1:しばらく前までは、専用IPアドレスを契約し、この専用IPアドレスと独自ドメインを結び付け、その結果、サーバー発信者が特定され、暗号化の対象データが特定され、暗号化証明書(SSL証明書)が発行される仕組みだったようです。この専用IPアドレスの使用料が高かった。その後SNI(Server Name Indication) SSLという仕組みができ、例えば 独自ドメインである imakat.com だけで暗号化対象データが特定できるようになりました。専用IPアドレスの契約は不要になりました。安価に独自ドメイン用のSSLが使えるようになりました。
※2:日本は観光立国を目指すこともあり簡単に接続できるWiFiポイントを増やしている。それは良いことの反面、パスワードなし、パスワードはあっても公開されている、暗号化されていない、と言った無防備な場所が非常に多い。
HTTPSへ自動転送(リダイレクト)する。
次に、http****と入力した場合、自動で、https****へ転送(リダイレクト)されるように設定しました。Xserverのファイルマネージャにて、public_htmlの中にある .htaccessファイルを「編集」モードで開き以下のように設定します。
変更前は以下の状態です。
変更前
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [R,L]
</IfModule>
を以下の位置に、追加します。
変更後
Mac、Windows(右側に鍵マーク)、iPadは以下のように鍵が表示されます。iPhoneのブラウザでも鍵が表示されます。
iMac Safari
iPhone Safari
iPhone Google Chrome