サイトを常時SSL化しました

サイトを遂に!無駄にSSL対応しました!これで満足か◯oogle!!
それにともなってサーバも移転しました。

URLが「http://」→「https://」に変更になっているため、
リンクを貼っていただいてる方、ブックマークされている方はお手数ですがURLの変更をお願い致します。

ついでに、ブログも変更してるよ☆
ブログだけ新レイアウトになってるよ☆

続きは、SSL化までの備忘録。

なんでまたSSL化したかって、Goo◯leの「お前らいい加減常時SSL化しろよ!非SSLサイトはChromeで常に警告表示するからな!」という脅し()に屈したからですね。
背景的にはWeb界を牛耳るGoogleさんがWebのセキュリティ強化を目指して常時SSL化を推進しているというところのようですが。

ちなみに常時SSL化するとどうなるかというと、通信が暗号化されるので盗み見られる可能性がぐっと低くなります。
ただし、通信を暗号化するだけですので、サイトそのものが安全であることは必ずしも保証しません
ので、詐欺サイトには気をつけてくださいね。怪しい場合はSSLの認証レベルを確認して最低限組織の存在が証明されているか確認して判断材料にすればいいと思いますよ。

「SSL 認証レベル」とかで検索すれば多数出てくるので、詳細はわかりやすくまとめてくださってるサイト様たちをご参照ください。

現在はパスワードとクレジットカードの入力するフォームがあるページ限定で警告(ChromeとFirefoxが顕著)が表示されていますが、10月からは少なくともChromeで入力するフォームがあるページ全てに対して警告表示をすると言っています。
Chromeは将来的には非SSLページ全てに常時警告表示を出すらしく、その表示はChromeの試験モードから機能をオンにすることで確認できるのでほんとにやる気なんだろなー……。

ちなみにこんな表示(らしい)。

chromeの警告表示

これが常に表示されるようになる(かもしれない)ってのはちょっとやだなー……。

ということで、必須になってしまったSSL化対応。
SSL自体独自と共用と種類があるのですが、セキュリティの高さは

独自SSL > 共用SSL >= 非SSL

のようなので、使うならば当然、独自SSL。

共用SSLの問題・危険性についての参考サイト

今村だけがよくわかるブログ

【WordPressのお問い合わせフォームをSSLで動かすのをやめました】contact form 7 + 共用SSLはやらないことにした|今村だけがよくわかるブログ

2016/01/07追記:このブログ全体を独自ドメインでHTTPS化しました。以下のページは関連する内容としてご参考ください。 最近このブログやGoogle+でつながりを持った方と交流させていただいています。日々勉強にな...

独自SSLって少し前までは有料でくっそ高くて個人運営のしかも趣味でやってるようなサイトがなかなか手を出せるようなものじゃなかったのですが、
2016年4月12日に Let's Encrypt という無料で個人でも使用できる独自SSLというのが登場してきたんですね。 認証レベルとしては一番下なんですが、個人サイトなら十分である。

これでだいぶSSLが導入がしやすくなったわけですが、これ、どっちかというとサーバをいじれる人向けだったんですね。
期限も3ヶ月と短いため、自動化できないと自分で3ヶ月ごとに手動で更新する必要があったりするわけです。
まあ要するに、サーバがいじれないレンタルサーバだと使うにはなかなか……という歯がゆいところだったんじゃないかと。

――が、最近レンタルサーバ(たぶん有料のみ?)で Let's Encrypt の対応が進んできていて、徐々に簡単に使えるようになってきているんですよ。
大手の X-Server とか私個人じゃ初めて見るようなところとか、結構移動先サーバ候補探してあちこち見てみると少ないながらもいくつか。

本当は独自ドメインを取得しているスタードメインと同じ会社が運営しているネットオウル(つーか管理画面一緒)のミニバード辺りで使えたらよかったのですが、無料独自SSL(Let's Encypt)に対応しますと言ってなかなか対応してくれない。
で、痺れを切らしていたら、ロリポップの無料独自ドメイン対応の一報ですよ。

乗るしかない、このビッグウェーブに。

ごほん。
まあそんなわけで勢いでサーバもお引っ越しました。

昔からの格安サーバとして馴染みで最近ターゲット層をリニューアルした(らしい)ロリポップさんっすよ。
サーバのスペックも昔より改善されてるって噂聞くし(この話見てなかったら多分考えなかった)、もう変えたろ!ってなっちゃったわけですよ。

元々サーバの予算は月々500円くらいだったので、プランはスタンダードで。
ミニバードが対応始めたらそっちに戻ろうとも思っているので(管理が楽だから)、契約期間どうすっかと考えたけど1年様子見でいっかと。 そもそも500円になると契約期間6ヶ月〜だったし。

無料独自SSLの設定自体は至って簡単でしたが、ドメインのDNS(ネームサーバ)がロリポップのものに反映されるのに1日ほど必要でしたので、
17日の月曜にサイトのサーバを引っ越しつつちょっとデザイン調整をして、次の日の18日火曜に設定できるようになっているのを確認してボタンをポチり。

「無料独自SSLを設定する」ボタンをポチり。
これだけ。

本当にこれだけで後は5分ほど待つだけ。簡単にしすぎやろロリポップ(褒め言葉)。

そんなこんなで、 浅間桜が常時SSL化になりましたよ。

.htaccessの設定を直したり、繋がりのリンクがちょっとあれになってたりと直さにゃならんとこはあるのですが、ひとまず目標は達成されました。
いえーい。

ブログのお引っ越しに関してはまた別の機会に書きなぐるとしよう。

あとは、サイト自体のPHP化とTwigのお勉強ですね……。記述自体はSmartyと大差ないっぽいからそんな時間はかからんと思うのだがなぁ。
DBは当初はSQLight使おうかと考えてましたが、ロリポサービス確認していろいろ考えて、面倒になったのでそのまんまMySQL使うことにしました。
いや、PHPMyAdminの設定をこっちから特にしなくても使えるならもうそれでいっかな的な。

コメントを残す

応援する