書籍「いちばんやさしいGoogleビジネスプロフィールの教本」

エックスサーバーの無料SSLをWordPressに設定してみた!

Webサイト制作

エックスサーバーをお使いの方に朗報です。6月30日より管理画面よりSSLが無料で使えるようになり、SSLの導入にコストがかからなくなりました。

今回エックスサーバーでは、サーバーパネルからの簡単な操作のみで
ドメイン認証型SSL証明書「Let’s Encrypt」を無料・無制限に設定できる機能を追加いたしました。

これにより、エックスサーバーで運用されているドメイン・サブドメインは
無料・無制限・簡単操作でSSL化することが可能となります。

全サーバープランで独自SSLが無料・無制限に利用可能に!「独自SSL」機能の強化のお知らせ

HTTPS化の目的

HTTPS化とは、サイトを暗号化することで、SSL化 = HTTPS化です。

サイトを暗号化する目的は、ずばり2つあります。

  1. Googleの検索エンジンが、HTTPSのウェブサイトを優先的にインデックス登録するという発表があったため。2015年12月のことです。
  2. サイト全体に暗号化をかけることで、サイトを訪れるユーザーが安全な環境で利用できるようにするため。

無料になったHTTPS化の導入コスト

今までは、HTTPS化をするにあたって、SSLのサーバー証明書を購入する必要がありました。

サーバー証明書は複数種類があって高い順に並べると、

  • EV(強化認証SSL)
  • 企業認証SSL
  • ドメイン認証SSL

となります。

以前のエントリーに詳しく書きましたが、どのサーバー証明書でも「通信データの暗号化」のレベルは同じです。Googleのアルゴリズムはサーバー証明書の種類は問わないので、「通信データの暗号化」を目的とするのであれば、一番安いドメイン認証SSLで全く問題ありません。

サイトSSL化!サーバー証明書はどれがいい?
GoogleよりHTTPSが優先的にインデックス登録されるというアナウンスが流れてから、大慌てでクライアントのSSL化を進めております。新規でサイト制作するならSSL化は簡単にできますが、何百ページもあるサイトだと結構大変です。移行の手順は...

当ブログのレンタルサーバーも、エックスサーバーを使っています。3月末に、HTTPS化を実施してから、すでに3ヶ月ほど経過しました。わたくしが導入したCoreSSLはドメイン認証SSLなので、3年間で2500円と激安とはいえ、有料でした・・

ドメイン認証型のSSL証明書の Let’s Encrypt

それが今回0円でSSLが導入できるようになりました。さらに更新も無料というので、エックスサーバーを導入している方は、すぐにでも導入した方がいいです。

なぜエックスサーバーが無料でSSLが使えるのかというと、無料で使えるドメイン認証型SSL証明書「Let’s Encrypt」を採用しているためです。

Let’s Encrypt とは

SSLによる通信の暗号化を普及させるために、SSLで利用するサーバー証明書を無料で発行している認証局です。ずっとβ版でしたが、2016年4月より正式なサービスをリリースしています。サーバー証明書の更新作業も、自動化できるのが特徴です。

費用はスポンサー企業の支援があるため、無償化ができているようです。

Let’s Encrypt の導入

今まで、Let’s Encrypt を導入する場合、多少なりともプログラミング経験がないと難しかったです。Gitのインストールが必要なので。

エックスサーバーの利用者ならば、管理画面から簡単に導入できますが、それ以外の方で、Let’s Encryptを導入して無料でサイトのHTTPS化をする場合、以下のサイトが参考になります。

エックスサーバーで標準独自SSLを設定する手順

お待たせしました。ようやく本題です。

今回の手順です。

  1. Let’s Encrypt サーバー証明書を取得
  2. 内部リンクの修正
  3. WordPressのURLを HTTPS へ変更
  4. rel=”canonical”で「URLの正規化」を行う
  5. SNSボタンを HTTPS に対応
  6. アフィリエイトリンクをHTTPSに
  7. 完全にHTTPS に対応したかどうか確認
  8. 301リダイレクト
  9. Search Consoleの登録
  10. サイトマップの更新
  11. Google AnalyticsをHTTPSに変更
  12. HSTS Preload の設定
  13. 外部リンクの修正

1. Let’s Encrypt サーバー証明書を取得

エックスサーバーのヘルプを見れば導入は簡単です。

設定後30分程で反映されました。

2. 内部リンクの修正

内部リンクや画像の参照URLをHTTPSに変更します。

「相対URL」ならば変更不要ですが、Wordpressの場合「絶対URL」を使っていることが多いです。

  • 「相対URL」 //xxxxx.com/…
  • 「絶対URL」 http://xxxxx.com/…

記事がたくさんある方はプラグインを使えばOKです。プラグインは「Search Regex」がオススメ。データベースに書き込まれたURLを変更するので、データベースのバックアップは事前にとっておいた方が安心です。

  • 「相対URL」なら http:// → // に変更
  • 「絶対URL」なら http:// → https:// に変更

3. WordPressのURLを HTTPS へ変更

管理画面 → 設定 → 一般 → WordPressアドレス(URL)とサイトアドレス(URL)に、https://xxxxx.com と入力します。

WordPressアドレス

4. rel=”canonical”で「URLの正規化」を行う

canonicalとは「URLの正規化」のことで、URLをHTTPからHTTPSへ向けます。「URLの正規化」をしないと、HTTPSへインデックスされたコンテンツが、時間の経過とともにHTTPへ戻ってしまいます。

WordPressなら「3. WordPressのURLを HTTPS へ変更」を行えば自動的に「URLの正規化」が行われます。

5. SNSボタンを HTTPS に対応

Twitter、Facebook、Google+、はてブなどのSNSボタンのコードをHTTPSへ書き換えます。

6. アフィリエイトリンクをHTTPSに

Google Adsenseを導入しているなら、HTTPSのコードに変更します。

その他のアフィリエイトはHTTPSに対応していないものもあるのでご注意下さい。

ASPのHTTPS化の対応状況を調べてみた!今後のアフィリエイトサイトは?
2015年12月にGoogleより HTTPS化のサイトを優先的にインデックスするというアナウンスがあり、2016年3月末に当サイトもHTTPS化を行いました。企業や店舗などの新規サイトを当社で構築する場合、クライアントには必ずHTTPS化...

7. 完全にHTTPS に対応したかどうか確認

完全にHTTPSに対応すると、Chromeで緑色の鍵マークが現れます。

緑色の鍵マーク

画像やSNSボタンに、HTTPを読み込むコンテンツがあると、Chromeでエラーが出て緑色の鍵マークは出ません。

HTTPS エラー

Chrome デベロッパーツールを使えば、原因が分かります。Chrome デベロッパーツールの表示は、Windowsなら「F12」、Macなら「Command」「option」「i」を同時に押します。

8. 301リダイレクト

HTTPへアクセスがあった際、HTTPSへ自動リダイレクトする設定を行います。

.htaccess を編集すればOK。

RewriteEngine on
RewriteCond %{SERVER_PORT} !^443$ [OR]
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://xxxxx.com/$1 [R=301,L]

9. Search Consoleの登録

同じドメインでも、HTTPとHTTPSのサイトは別サイトの扱いです。HTTPSのプロパティも登録します。4つのプロパティになります。

  • https://xxxxx.com/
  • https://www.xxxxx.com/
  • xxxxx.com/
  • www.xxxxx.com/

10. サイトマップの更新

Search Consoleに、HTTPSのサイトマップを登録して、今までのHTTPのサイトマップは削除します。

移行に1〜2週間かかりますので、その間は、HTTPのサイトマップも残しておきましょう。

11. Google AnalyticsをHTTPSに変更

ウェブサイト側での修正はありません。Google Analyticsの設定をHTTPSへ変更すればOK。

  • 「アナリティクス設定」→「プロパティ設定」→ デフォルトのURLを「https」に変更

12. HSTS Preload の設定

HSTS Preload listに登録しておけば、Chrome・Safari・Firefoxのブラウザからアクセスがあると、初回訪問を含めて常時HTTPSでウェブサイトに接続されます。より訪れるユーザーが安心できる環境を構築できますので、登録してくださいね。1週間くらいで登録が完了します。

HSTS Preload Submission

HSTS Preload list

13. 外部リンクを修正

SNSプロフィールなど、外部URLのリンクをHTTPSへ変更しましょう。

HTTPS化にコストがかからない時代

ドメイン認証型SSL証明書「Let’s Encrypt」ならば無料でHTTPS化が行えるようになりました。

今後、エックスサーバー以外のレンタルサーバーでも、コストを掛けずに同様のことができるようになるはず。

サイトの暗号化にコストがかからなくなるとは、本当にいい時代になりましたね!

ウェブサイトをhttpからhttpsに変更する手順 (SSL化)
この記事では、ウェブサイトをhttpからhttpsに変更する手順 (SSL化) について詳しくお伝えします。サイトをHTTPS化すると次のようなメリットがあります。 盗聴・なりすましといった通信の改ざんを防止できるので、サイトのセキュリティ...
無料のSSLサーバー証明書が使えるレンタルサーバーの一覧!
Googleが2015年12月に、HTTPSのサイトを優先的にインデックスすると発表して以来、HTTPS化の流れは進みました。また、2017年10月より、Chrome(バージョン62)を使っているユーザーに対して、HTTPのページに設置され...