エックスサーバーは常時SSLにするために「.htaccess」の編集が必要でした。なにも編集しないと、「http://」と「https://」が混在した状態になります。ややこしいですが「s」がつくとセキュリティが確保された暗号化通信になりますが、「s」がつかないほうは通信の暗号化ができていません。そのため警告が表示されます。
サーバー側で「http://」でも表示が可能な状況にしておくと「保護されていない通信」という警告が表示されたり、ページそのものが閲覧できなかったりする場合があります。
ですから、必ず「https://」で表示するようにしましょう。(このことを常時SSLといいます)
エックスサーバーの常時SSL
「セキュリティ保護なし」という表示
上記のように「セキュリティ保護なし」とか「保護されていません」という表示が出る場合はSSL通信になっていません。
その原因は、そもそもSSL証明書が発行されていないWEBサイトなのか、SSL証明書は発行されているのに「https://」からではなく「http://」からのURL名で表示しているかのどちらかです。
SSL証明書が発行されているのに「保護されていません」という表示がされる場合は、URL欄が「https://」ではなく「http://」になっているかもしれません。
なお、https://から始まるURLなのに「保護されていません」と表示される場合は「混合コンテンツ問題」が起きていますので、原因と解決方法が別になります。
→混合コンテンツ問題について
SSL表示の「https://」に強制リダイレクトする
SSLになっているはずなのに「http://」で表示されることで「保護されていません」という表示がされるような場合は、「http://」にアクセスがあったら強制的に「https://」のほうを表示するようにします。
これを強制リダイレクトというような言い方をすることがあります。
その設定方法はサーバーで「.htaccess」を編集します。
ここではエックスサーバーの例で解説します。
エックスサーバーの「.htaccess」編集
エックスサーバーのマニュアルに解説がありました。
WEBサイトの常時SSL化
https://www.xserver.ne.jp/manual/man_server_fullssl.php
このページには「.htaccess」に
RewriteEngine On
RewriteCond %{HTTPS} !on
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]
を追加するように説明がありました。
エックスサーバーの管理画面から編集できます
エックスサーバーの管理画面にログインし、「設定対象ドメイン」を選択したパネルトップの画面にはメニューの一覧が表示されます。
「ホームページ」という項目の中に「.htaccessの編集」というのがありますのでクリックします。
実際に編集した「.htaccess」
実際に当サイトで編集した「.htaccess」は以下のとおりです。
常時SSL化の部分はわかりやすいように「#常時SSL化」というコメントをつけておきました。
# 常時SSL化
RewriteEngine On
RewriteCond %{HTTPS} !on
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L] # 常時SSL化ここまで
自動的に記述される部分
「# BEGIN WordPress」から「# END WordPress」までの部分は、WordPress用です。WordPressが更新されると自動的に書き換えられる場合があるため、この内容は変更しないほうがいいです。
あと、「XPageSpeed」は管理画面で「on」にしておくと自動的に追加される部分です。
最終的な「.htaccess」
最終的な「.htaccess」は以下のとおりになりました。
SetEnvIf Request_URI “.*” Ngx_Cache_NoCacheMode=off
SetEnvIf Request_URI “.*” Ngx_Cache_AllCacheMode# 常時SSL化
RewriteEngine On
RewriteCond %{HTTPS} !on
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L] # 常時SSL化ここまで# BEGIN WordPress
# “BEGIN WordPress” から “END WordPress” までのディレクティブ (行) は
# 動的に生成され、WordPress フィルターによってのみ修正が可能です。
# これらのマーカー間にあるディレクティブへのいかなる変更も上書きされてしまいます。
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteRule .* – [E=HTTP_AUTHORIZATION:%{HTTP:Authorization}] RewriteBase /
RewriteRule ^index\.php$ – [L] RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L] </IfModule># END WordPress
### BEGIN XPageSpeed – Do not edit the contents of this block! ###
XPagespeed on
<IfFile /var/xpagespeed/xpagespeed_ctl>
XPagespeed off
</IfFile>
### END XPageSpeed – Do not edit the contents of this block! ###
これで運用することにします。
ホームページ運営は必ずSSLにしましょう
SSLは通信の暗号化をすることでセキュリティを確保します。それだけではなく別の重要な意義があります。それは「詐欺サイト」や「なりすましサイト」を選別するしくみとして機能していることです。
SSL通信をするためには信頼性の高い団体から「SSL証明書」が発行されていなければなりません。悪意を持った詐欺サイトは基本的にSSLでの表示ができません。仮に不正な手段でSSL証明書を取得できたとしても、SSL証明書の期限がきたも更新ができません。
だから、詐欺サイトは持続的にSSLでのホームページ表示ができません。そのことが消費者の安全なホームページ閲覧という環境に寄与しているわけです。
ホームページは必ずSSLで運用しましょう。
この記事を書いた遠田幹雄は中小企業診断士です
遠田幹雄は経営コンサルティング企業の株式会社ドモドモコーポレーション代表取締役。石川県かほく市に本社があり金沢市を中心とした北陸三県を主な活動エリアとする経営コンサルタントです。
小規模事業者や中小企業を対象として、経営戦略立案とその後の実行支援、商品開発、販路拡大、マーケティング、ブランド構築等に係る総合的なコンサルティング活動を展開しています。実際にはWEBマーケティングやIT系のご依頼が多いです。
民民での直接契約を中心としていますが、商工三団体などの支援機関が主催するセミナー講師を年間数十回担当したり、支援機関の専門家派遣や中小企業基盤整備機構の経営窓口相談に対応したりもしています。
保有資格:中小企業診断士、情報処理技術者など
会社概要およびプロフィールは株式会社ドモドモコーポレーションの会社案内にて紹介していますので興味ある方はご覧ください。
お問い合わせは電話ではなくお問い合わせフォームからメールにておねがいします。新規の電話番号からの電話は受信しないことにしていますのでご了承ください。
【反応していただけると喜びます(笑)】
記事内容が役にたったとか共感したとかで、なにか反応をしたいという場合はTwitterやフェイスブックなどのSNSで反応いただけるとうれしいです。
遠田幹雄が利用しているSNSは以下のとおりです。
facebook https://www.facebook.com/tohdamikio
ツイッター https://twitter.com/tohdamikio
LINE https://lin.ee/igN7saM
チャットワーク https://www.chatwork.com/tohda
また、投げ銭システムも用意しましたのでお気持ちがあればクレジット決済などでもお支払いいただけます。
※投げ銭はデジタルコンテンツ購入という通販のしくみにしました。
※投げ銭は100円からOKです。シャレですので笑ってください(笑)
