SSL/TLS化されていないホームページは、安全でないと言われますが、
SSL/TLS化されたホームページだと、なぜ、安全なのでしょうか。
- SSL/TLS化(Secure Sokect Layer/Transport Layer Secure)とは何か。
※TLSはSSLの次世代規格です。現在一般的に「SSL」と呼んでいるものは実質「TLS」を
指していることも多く、場合によってはその両方をふまえて「SSL/TLS」と表記されること
もあります。
SSL/TLS化されることによって、
1.サーバー間の通信が暗号化されるため
通信経路の途中でデータが盗まれても、暗号化されているので安心できる。
2.ドメインが実在することを第三者が証明するため
取得してるドメインが実際に存在していることを、SSLサーバー証明書を発行する機関が
第三者視点から間違いないとお墨付きを与えている状況になります。
具体的には、ホームページのアドレスの先頭が「http://~」から「https://~」と「s」が付きます。
- 常時SSL/TLS化とは何か。
これまでは個人情報を入力する画面など、重要な情報をやり取りする画面のみで通信を
暗号化する方法が用いられてきましたが、これをウェブサイト全体に広げる方法が常時SSLです。
弊社では、ウェブサイトをWordPress化した際に、サイト全体ののSSL/TLS化を実施しましたが、
今まで弊社のホームページを見ていただいたお客様は、弊社がSSL/TLS化したことを知らないので、
依然として、SSL/TLS化されていないホームページでアクセスしてきます。
当然、SSL/TLS化されていないホームページでの表示はされますが、これでは、せっかく常時SSL/TLS化した意味がありません。
そこで、SSL/TLS化されていないホームページでアクセスされた場合でも、常にSSL/TLS化されたページを表示する必要があります。
今回弊社では、WordPress化されたサイトを常時SSL/TLS化するために、以下の作業を手動で行いました。
1.WordPressのバックアップを行う。
2.ウェブサーバーで SSLの設定を行う。
3.WordPressの基本設定を変更する。
4.WordPressの投稿・固定ページ内のリンクを修正する。
5.WordPressのヘッダーメニューとサイドメニューのカスタムリンクを修正する。
6.「.htaccess」 でリダイレクト処理を設定する。
WordPressでは、常時SSL/TLS化作業をサポートするプラグインが用意されていますが、
上記作業の一部しか実行してくれず、かつ、Wordpress自体のバージョンアップがされた場合に、このプラグインが機能する保証がないので、
手動で作業を行うことにしました。
各作業の詳細内容を説明しますと、
1.WordPressのバックアップを行う。
(1)プラグイン:All-in-One WP Migrationでのバックアック
(2)FTPでドキュメントルートにあるWordPress関連のフォルダーと
ファイルのバックアップ(念のため二重にバックアップ)
2.WEBサーバーで SSLの設定を行う。
弊社が契約しているレンタルサーバー会社に常時SSL/TLS化を申請
3.WordPress の基本設定を変更する。
WordPressアドレスとサイトアドレスを「https」に変更する。
4.WordPressの投稿・固定ページ内のリンクを修正する。
プラグイン「Search Regex」を使用して、
「http://ドメイン/」を「https://ドメイン/」に一括変更する。
5.WordPressのヘッダーメニューとサイドメニューのカスタムリンクを修正する。
ヘッダーメニューとサイドメニューの設定で、カスタムリンクがあれば、
「https」に変更する。
6.「.htaccess」ファイルでリダイレクト処理を設定する。
ドキュメントルートにある「.htaccess」というファイルを編集する。
以下の設定を先頭に入れる。
<IfModule mod_rewrite.c>
RewriteEngine on
RewriteCond %{HTTPS} !=on [NC]
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]
</IfModule>
作業結果として、常に、SSL/TLS化されたページが表示されるようになりました。
<例:トップページと問合せ・申込ページ>
ジャパンエイドPC救急隊渋谷本部より