今月のコメント ついにGoogleに屈服、SSL化

1年ほど前に「Google様のおっしゃることではあるが」と、SSLには当面対応しないことにしたのだが、とうとうGoogle様のお怒りにふれ、Chromeでアクセスするたびに「このサイトは安全ではありません」と表示されるようになってしまった。

その時も書いたように、私のサイトは基本的に一方通行であり個人情報をやりとりする訳ではないので、暗号化の必要はあまりないと考えている。とはいえ、そんな風に表示されたのでは安心して閲覧できないことは間違いない。私だって、そんなことが書いてあるサイトにあまり長居したいとは思わない。

とはいえ、行政関係のサイトなどいまだにSSL未対応のところがみられる。毎日アクセスする気象庁のWEBもいまだにhttpで、「安全ではありません」表示が出てくる。誰も気象庁のサイトが危険とは思わないけれども、やっぱり気分がいいものではない。

ということで、遅ればせながら私のサイトもSSL化を図ることにした。SSLの手順としては以下のとおりである。

——————————————————————–
1.ドメインごとに、SSLのオプションを付ける。
2.URLを”http:”から”https:”に変更する。
3.”http:”で入ってきたアクセスを”https:”にリダイレクトする。
——————————————————————–

まずBlogだが、FC2で追加費用なしにSSL化できるサービスがあって、「SSL有効化」を指示すると1~3を自動的にFC2側で操作してくれる。だからワンクリックした後は特に何もすることはない。(と思ったら、個々のページはやっぱり手修正が必要→9つ下のパラグラフ)

問題はホームページである。まず試しに、”godowngamblin.net”で提供している「常識で考える日本古代史」のサイトで試してみる。こちらのサイトはすでに1~2は済んでいて、3だけやっていなかった。

いろいろ調べると、ffftpでサーバに入って、”.htaccess”を操作すればいいらしい。おっかなびっくりやってみると、あっさりできた。アクセス解析を調べると”http:”のアクセスは0になり、”https:”のアクセスがその分増えている。なんだ、簡単じゃないか。

という訳で、いよいよ本家本元の”godowngamblin.com”に挑戦する。

まず1.のSSLだが、お名前.comで標準装備の”Let’s Encrypt”を設定しようとクリックするけれども、エラーメッセージが出てうまくいかない。「独自SSLオプションをご利用中のため、Let’s Encryptは設定できません」というのである。

独自SSLなんてやった覚えがないのになあ、といろいろ調べてみると、レンタルサーバ契約時に、迷惑メールフィルターと一緒に独自SSLというオプションを確かに設定して確認メールが来ていた。なんだ、もともとSSL化していたんだ。

次は2.の”https:”への設定変更である。これは、Wordpressの設定を変更する。いろいろやらなければならないと思っていたら、1ヵ所だけ変更したらいろいろな場所が一気にhttps:に変更になっていた。これも簡単であった。

問題は3.のリダイレクトであった。”godowngamblin.net”と同じく”.htaccess”を変更したのだが、うっかりして”example.com”へのリダイレクトのままサーバに上げてしまった。確認してみてびっくり、身に覚えのないサイトに飛んで変な画面が出てきた。

すぐに気づいて”.htaccess”を変更し直したけれども、”example.com”に飛ぶのは変わらない。もしかすると、サーバの側で再起動しない限りダメなのかもしれない。その日はあきらめてそのままにしたけれど、2、3日経過して見てみるとちゃんと”https:”のサイトに飛んでいたのでほっとした。

あとは確認である。「このサイトは安全ではありません」は表示されなくなったものの、(i)マークが付いて、悪意の第三者による画像すり替えがあるかもしれないとコメントされる。構文中に”http:”が残っているとそうなるらしい。ソースを表示して目の子で確認するしかない。

どうやら、Wordpressが自動で作成するプログラムは自動的に”https:”に書き換えられているようだが、自分でリンクを入力した部分が”http:”のまま残っている。ひとつひとつ”https:”に書き換えると、ようやく「この接続は保護されています」になった。IEでも、鍵マークが付くようになった。(”Search Regex”というプラグインがあるのだが、手で入れた場所は手で修正しなれば直らないようだ。)

まだ、ソースの一部、Wordpressのテーマのところに”http:”が残っているのは不安だが、ここはそのままでも「保護されています」になるようだ。手動で直すのも心配なのでとりあえずそのままにしている。

あとは証明書の発行元はどうするかとか、メンテナンスをどうするかであるが、ひとまずSSL化はひと段落。それにしても、年寄りには難しいことが多すぎる。ひとたびGoogleに屈服すると、次から次へとやらなくてはならないことが増えそうな雰囲気である。

[May 8, 2019]

「今月のコメント」バックナンバーはこちら