中途半端なSSL化をしている人が意外と多い事実

ありがたいことにこのところ常時SSL化の依頼を受けることが増えました。

中でも多いのが「SSL化できているかを見てほしい」という問い合わせ。きちんとできている方もいるにはいるのですが、ほとんどの方は中途半端に終わっているパターンが多いです。

WordPressのサイトをSSL化した・・・つもりになっている方が意外と多いように感じますので、常時SSL通信状態にするためのチェックポイントを紹介します。

常時SSL化=何が何でも暗号化アドレスでページが開くこと

最近のレンタルサーバーではドメイン登録と同時に無料のSSL証明書が割り当てられるところが増えてきました(このサイトが稼働しているカラフルボックスもその1つです)。また、ボタンを数回クリックするだけで適用されるところも増え、Wordpressの自動インストールと同様に誰でも手間なくSSL通信ができる状態にできるようになってきました。

でもちょっと待った!!それで終わっていませんか??SSL証明書を適用しただけではSSL(暗号化)通信ができるようにもなっていますよ!となっているだけで、サイト全体が必ず暗号化通信されている状態になっていないのを意外とご存知ないようです。

SSL化の手順と言えば

  1. SSL証明書を適用する
  2. サイトアドレスとWordpressアドレスを「https」へ変更する

が最初に行う2つの段取りなのですが、残念ながらここで止まっている方が多いようです。

前述したように常時SSL通信とは「何が何でもSSL通信を試みる」状態のことを言います。

SSL化したご自身のサイトを非SSLで接続してみてください(単純にhttpで開いてみるだけです)。ここで大事なのはトップページ以外も開いてみること。トップページはサイトアドレスを変更しているので環境によっては自動でSSLアドレスに書き変わる場合がありますが、それ以外のページは・・・きちんと常時SSL通信させる処理をしない限りは非SSLでも開けてしまいます。

何が何でもSSL通信させるためにはサーバーの中にある「.htaccess」ファイルを編集してhttpへアクセスされたものをhttpsへすべて転送するための追記が必要です。いろいろなサイトで手順は紹介されていますので、もしも常時SSLになっていないようであれば調べて対応してください。

どこかに非SSLで通信している部分がある

URLの転送が終わったから終了というわけではありません。次に行うのが「内部リンク」や「内部の画像URLの書き換え」。ここまではどなたでもやられることかと思います。

ここからがチェックしていただきたい内容です。

サイトの投稿や固定ページに非SSLのサイトからリンク挿入した画像などのコンテンツはありませんか??

リンクアドレスの変更には

「Search Regex」は管理画面側から投稿や固定ページ、コメント、プログラムそのものなどに含まれた語句を検索して指定語句に置き換えたり、1つ1つ編集したりできる便利なプラグインです。単純な文章ではなく中に含まれるショートコードやphpプログラムなどの要素を検索して編集するには大変重宝します。

を使って一括して書き換えするのが一番簡単な方法。前述したように内部URLは変更しても外部までは・・・という方が多いです。

そこで上記のプラグインを使っている場合には検索内容で「http:」として検索してみてください。

外部リンクについては非SSLでも問題ありません。変更すべきは画像タグなどのリンクでないタグに設定されているURLです。これがhttpのままだとページ内の通信がすべて暗号化されていないため、httpsで開いたページも鍵マークが消える状態になります。

ただし、外部からの挿入コンテンツについて闇雲にhttpsへ書き換えればいいというものでもありません。そのサイトがSSLでの接続に対応していない場合には接続エラーとなり、エラーメッセージが表示されてしまったり、何も表示されなかったりという不具合が発生します。

そこでおすすめなのが、

設定していないとアドレスバー「安全ではありません」などと表示されてしまうのでSSL化にチャレンジしてみたものの、何をどうしても「保護された通信」にならない・・・そんなときに使える最終手段!?を紹介します。

を使う方法。この方法はひとまず非SSLで通信しているものをSSLで通信してみて、ダメだったら非表示にする(空白にする)というもの。テーマの中にちょっとコピペするだけで簡単に実装できます。

当然非SSLのサイトから引用したコンテンツは表示されませんが、そのサイトがSSL通信に対応するようになったときには自動で表示が再開されます。


この2つが結構処理されていない内容になります。

繰り返しになりますが、SSL化が終わった!!と安堵する前にきちんと暗号化通信ができているかを確認するようにしましょう。

もしも不安でしたら問い合わせだけでも結構ですのでこちら(ココナラのサイト)からメッセージを頂ければと思います。

この記事を書いた人

ひまあーと(管理人)
ひまあーと(管理人)
 白黒ハチワレ猫の【モモ】とのんびり暮らしながらフリーランスでサイト制作のお手伝いをしています

ブログツールでありながら本格的なウェブサイトに必要な機能を追加できるWordpressの良さを活かした楽しく便利なサイト作りのお手伝いをさせていただいております
トップへ戻る