遊ぶように真剣に仕事するログ

【超初心者の叫び】SSL化したつもりが出来ていない!

【超初心者の叫び】SSL化したつもりが出来ていない!

まず、先にお断り

今回は、超初心者の私が、右往左往しながらWordPressのサイトをSSL化したというドタバタ劇です。高度な技術的内容をお求めの方には、時間の無駄とキッパリ断言します。。。

しかし、確実に言えることがあるとすれば、超初心者は、何につまづくのか?というリアルな情報であるということ。「初心者ってこんなことから、わからないの?ゲ~、マジかよ!」という感じでお楽しみください。出来る人と出来ない人の深~いギャップを少しでも埋められたらいいのですが。

いわば、ノンエンジニアによるWordPress構築のドキュメンタリー(おおげさ)です?!

ちょっと、おさらい。そもそもSSLとは、なんぞや

初心者の私らからしたら、「http」に「s」がついただけの変化です。(世界のみなさま、本当にすみません)

SSLとは、最小文字数で説明するなら、「通信の暗号化のこと」です。安全にインターネットをするための仕組みです。非SSLのサイトでは、個人情報やクレジットカードの情報が、悪意ある第三者から盗み見される可能性があります。

小さな「s」ですが、実に大きな役割を持っているんですね。

SSL化するのって、お金かかるんでしょ?

大昔、少しだけWEB会社にいた私。すでに化石と化した知識の中で、『SSL化、ベリサイン、有料、決済が必要なページに必要』こんなキーワードが渦巻きます。

懐かしすぎて、倒れそうになったみなさま、すみません。なんのこっちゃか、という方は、華麗にスルーで。ブランクって怖いですね。一から出直します。

※ベリサインはSSLサーバーの証明書の発行や販売をしていた有名な会社で、現在は社名変更しています。

エックスサーバーでは、SSLの機能が無料

このサイトは、エックスサーバーで運用しています。色々と便利な機能がついているのですが、その中に無料独自SSLというものがあります。へー、SSL化ってこんなに身近なものになっていたんですね。無料、簡単ならやりましょう、そんな軽い感じでSSL化することに決定。

個人のサイトでも必要?

ここまで、読んで「私のサイトは、決済しないし、個人情報書かせたりしないサイトだから、SSLなんていらないのでは?」そんな風に思われる方もいらっしゃるかもしれません。

ここはまず、私の危なげな情報より、Googleから発表された情報をご覧ください。

Googleのウェブマスター向け公式ブログ

Chrome の HTTP 接続におけるセキュリティ強化に向けて

要するにSSL化していないとアラートを出しますよ、これからは、というお達しです。SSL化を標準化しようという世の中の流れなんですね。

SSL化って簡単簡単☚完全なめてました

そもそも、このサイトは、試作の段階では、SSL化されていない別のサーバーで作っていました。その後、独自ドメインを取り、エックスサーバーを借りて、サイトをお引越しするという流れ。

エックスサーバーの管理画面でSSL設定をしたら、SSL化完了!と私は、思い込んでいました。。。

あれ?SSL化できてないの?httpsだけど???

早速、完成したサイトを見てもらうと、「SSL化出来ていませんよ」と天の声が。思い込みって怖いです。ご指摘いただかなかったら、多分そのまま運用していました。自分のミスに気が付けない。これこそ典型的な初心者。

「だって、アドレスバーには、https:って出てましたもの。。。簡単設定って書いてあったよね。。。」

問題の現象

https://at-ima.com/ でアクセスするとSSL化⇒OK

https://at-ima.com/ でもSSL化⇒OK

これは、サーバーの仕様で、どちらでもアクセス可能になっているようです。

問題はこれ。https://www.の部分を取った短いやつ。atima.work/ にすると、サイトにはアクセスできるのですが、保護されていない通信と出ます。なんか、いやな感じですよね、この表示。即刻離脱されてしまいます。これ。何とかしたい!何が起きているんだ??

それだけじゃダメだった。SSL化までの道のり

実は、恥をさらすと問題解決まで、半日以上費やしました。泣

しかも、あちこち管理画面を見ているうちに、サーバーの引っ越しにまつわる設定のもれまで、ボロボロ見つかる始末です。もう段取り悪すぎ。完全に迷子。

こんな時は、Google先生の出番だと、今さら気がつきました。私には、まだまだ教科書的なものが手放せません。助けてください、Google先生。

たくさんのサイトを拝見したのですが、難しすぎたり、自分のケースとは違うような感じだったり、知らない言葉を調べながらだったりで、ようやく答えが見えて来ました。


横道それますが、ふとこの前、印刷博物館で見た江戸時代の出島の商人の手作り辞書を思い出しました。聞いたままカタカナで言葉を書いて、意味を書いてある手書きの辞書。学びに対する意欲が違いすぎます。手探りで商いしながら、語学を習得したのってこんな感じじゃなかろうか。

そもそも、経験値が少ないとトラブっても勘が働かないのです。手探り体当たり、これ大事。時間かかっても必要な時間ですよね。色々習得できるまで、もがこうと思います。


結論】こうすればよかった。SSL化までの手順

  1. バックアップを取る
  2. サーバーのSSLの設定
  3. WordPressの設定の変更
  4. 内部リンクの置き換え(http⇒https)
  5. URLを正規化する

私の場合、2のサーバーのSSL設定をして完了と思い込んでいたわけです。

3は単純にやり忘れ、4は検索で知った便利なプラグインで、慌てて置換するといった感じ。要するに何もわからないまま、SSL化しようとしていたわけです。


5のURLを正規化するにいたっては、抜けていたというより、知りませんでした。

httpで始まるサイトとhttpsで始まるサイトは、WEB上では、別のサイトとして認識されています。

ガーン。当たり前と言えば、当たり前です。だってアドレスが違いますから。

URLの正規化とは、複数あるURLの表記を検索エンジンに評価してもらいたいURLに統一することです。

httpでアクセスした際、httpsのサイトの方へ転送するために「301リダイレクト」または「.htaccess」という方法で転送させることが必要だったのです。

atima.work/ にすると保護されていない通信と出るのは、この正規化がされていなかったからだとやっとわかりました。私の場合、「.htaccess」を編集して解決できました。

SpecialThanks 私を救ってくださった神サイト&記事

WEB上には、色々な知恵とヒントが溢れています。これもお時間さいて、記事を起こして下さる方々がいらっしゃるおかげですよね。ありがとうございました。

おや、本日は、お時間が来たようで。ここらでお開きにしたいと思います。とりあえず、パブリッシュ。

SSL化の手順というより、この一件にまつわるドタバタについては、超初心者目線でのまとめの記事を後日、詳しく書いてみようと思います。

WordPressカテゴリの最新記事

%d人のブロガーが「いいね」をつけました。