SSLを設定したら最低限行うべき2個の項目

セキュリティーの問題や、ブラウザでの非SSLページへの警告を回避するために、SSL化するサイトも増えています。
新規立ち上げのサイトなら、初めからhttpsのURLで作成するので問題は少ないのですが、非SSLでhttp://のURLで作ってあるサイトをSSL化する際には、いくつか注意が必要です。

1.サーバーでSSLを申し込むだけではダメ

サーバーでSSLの設定を行えば、https://というURLでサイトを開くことが出来ます。
ただ、それだけでは不十分。

そのページが読み込んでいる画像ファイル、CSS、JavaScriptなどもSSLに対応していないとエラーが出ます。

無料のものもありますが、せっかくSSLを設定したのなら、下のように、「保護された通信」のマークを出したいですよね。

解決法としては、

  • 画像、CSS、Javascriptを読み込む絶対パスもhttp://からhttps://に変更
  • 同じサーバー内なら相対パスに変えるのもアリ
  • ページ数の多いサイトの場合、一括置換ツールやプラグインで。

ということが考えられます。

これでもエラーが消えない場合は、HTMLのソース内を見て、非SSLのものがないか確認が必要です。

2.http://でアクセスしてきた人をhttps://にリダイレクト

サイト全体をSSL化出来たら、URLをhttpsに統一する必要があります。

セキュリティー面、見た目、などの理由もありますが、一番大きいのはSEO上の問題。

http://www.example.com/

https://www.example.com/
は今のところ、別のURLとして認識されているので、URLを変更したら検索エンジンにもそれを分かるように設定する必要があります。

設定をするにはhtaccessというファイルをサーバーに設置し、1のURLは2に移ったよ~、と通知してあげます。

この方法は別途記事にする予定ですが、以下のサイトなどが参考になります。

httpからhttpsに.htaccessを使ってリダイレクトさせる方法
htaccessでHTTPSにリダイレクトする

htaccessに関しては、サーバーに元からあるhtaccessの記述を消すと不具合が出たり、改行コードが違うと動かないサーバーなどもあるので、設定には注意が必要です。

まとめ

サイトのSSL化はサーバーで設定するだけでなく、色々、確認・修正すべき項目があります。

作業に慣れてない方は、バックアップを取りながら、どこをいじったかメモしながら設定するのがオススメです。