ブログもSSLの時代?!マジかー…

と焦ってましたが、Xサーバー+独自ドメインで運用しているとSSL化はかんたんですな。CSRの発行だとか中間CA証明書だとか…全部Xサーバー側でやってくれるので超楽チン!

キャンペーンで無料だったので、勢いに任せて完全HTTPS化(SSL化)しちゃいました。

ブログ・HTTPS化(SSL化)の全体的な流れ

SEOで有名な鈴木謙一さんのすばらしい記事を参考にさせていただきました。

ブログの完全HTTPS化を完了、HTTPからHTTPSへの移行プロセスを共有

  1. サーバー証明書の取得
  2. HTTPSへのリダイレクト
  3. 内部リンクの修正
  4. 各種ツール・パーツのHTTPS動作確認
  5. すべてのコンテンツがHTTPSでダウンロードされているかを確認
  6. WordPressの設定変更
  7. rel=”canonical”の更新
  8. ウェブマスターツールへの登録
  9. サイトマップの更新
  10. ソーシャルシェアの引き継ぎ
  11. HSTSの設定
  12. 外部リンクの更新
  13. 高速化

この流れでばっちりです。
重複して書く必要もないので上記サイトを読むべし。

独自SSLとは…
SSLとは、インターネット上でやり取りされる情報を暗号化したり、該当するWebサイトの安全性を証明するセキュリティ機能のことです。また、独自SSLとは、他のユーザーと共に利用する共有SSLとは異なり、ご自身でお持ちの独自ドメインやサブドメインを用いて暗号化通信などを行うものを差します。

Xサーバー+ワードプレスの常時SSL化作業メモ

独自SSLの選び方・CoreSSLを選びました

2015/10/30 18:00までは無料で提供ということだったので、CoreSSL・SNI SSL(ネームベース)を選択。通常でも年額1000円の格安SSLです。
ドメイン認証SSLのSecureCoreも1,500円と安いのですが、更新料が9,000円だったので見送りました。

XサーバーのSSL証明書プラン

いろいろあってよく分からない…
とりあえず高い方がいいのかな…

と不安になる方は、まず格安SSLで試して、動作確認後に切り換えた方がいいです。そもそもこれまでSSL化せずに運用していたサイトに、ブランド物のSSLなんていらないですしね。

ということでCoreSSLを選びました。
後日ドメイン認証のラピッドSSLに切り換えるつもり。

独自SSL証明書を取得する

Xサーバーで独自SSLのお申し込み

この流れで完璧です。

申込みをすると設置完了になってからメールが届きます。CSRの発行だとか中間CA証明書だとか…全部Xサーバー側でやってくれるので超楽チン!ボタンを押すだけで誰でもできます。

Xサーバーで独自SSLを取得する際の注意点

とりあえず申込みだけしておいて後日作業しようかなー…と気軽に申し込んだのですが、数時間後にSSL設置完了メールが届きます。

つまり、

http://netotas.net/
https://netotas.net/

が共存する形になります。

なんとなく共存がいやだったので即日対応することになりました。よほど大きなサイトでない限り影響も小さいと思いますが、気になる方は注意してください。

すぐに作業できないわ…という方は、事前にhtaccessでhttps→httpにリダイレクトをかけておくのもあり。SSL化作業中にhttp→httpsに切り替えやすいしね。

Search Regex で内部リンクの修正

完全HTTPS化する場合、httpを併用してしまうと警告がでてしまうので、過去記事内のURLをすべて変更する必要があります。

うげっ…

と思っていたのですが、過去に投稿した記事の内容を一括置換することができるプラグインがあるんですねぇ。超助かりました!

Search Regexで内部リンクの修正

「Search pattern」にhttpを含めたドメインを入力して、「Replace pattern」に置換したい文字列を入れて実行すれば一瞬です。

WordPressの設定変更して完了

HTTPS化だけでいうとこれ(鈴木さんの記事でいうと6まで)で完了です。

WordPressの設定変更

 

ブログをSSL化してみた感想・困ったこと

安全ではないコンテンツ…と警告がでる

SSL化の手順はかんたんなのですが「安全ではないコンテンツ…」と警告がでました。たぶんほとんどの人がどこかのページで出る。

その要因の大半が、ページ内にHTTPSとHTTPのURLが混在しているため。原因を特定して修正していく必要があります。

SSLサーバ証明の警告

ぼくの場合、feedlyのフォローボタンが主な原因だったので一旦削除しました。

安全ではないコンテンツ..の対処方法

Chromeのデベロッパーツールを使うのが一般的ですが、ぼくの場合は差分をみました。

TOPページと一覧ページでは安全で、記事ページではSSL警告。
つまり、TOPページと一覧ページになくて、記事ページにある要素。

ソーシャルボタン系としか考えにくく、feedlyのフォローボタンの特定に至りました。

feedlyボタンを外して、警告がでる記事とでない記事があったのでヨメレバ・カエレバが原因というところに至りました。

ヨメレバ、カエレバは現時点ではSSLに対応しておらず、対処法がないのでスルー!そのうち相手サイトもSSLに対応するでしょ。(というかしてください…)

あとは精神的ダメージとめんどくさい作業

詳しくはHTTPS化(常時SSL化)のデメリット・残念だったことに書いたとおり、

ソーシャルシェアのカウントがリセットされるので精神的なダメージを食らう。

Search Console(旧ウェブマスターツール)の再登録が必要になる..などの手間がかかることかな。

エックスサーバーでWordPressを使ってブログを運営している人は、かんたんにSSL化対応できると思うので、ぜひトライしてみてくださいな。