昨今のWebサイトはセキュリティ意識のことからSSLが標準化されて来ていることもあり、重い腰を上げて本日(2016年11月24日)HTTPSでこのサイトを公開できるように修正しました。
やってみれば結果的にはもっと早くすればよかったと思えるものです。コンテンツ内のリンクがHTTPで張られているものは、SQLの置換で一気に修正出来ましたので、WordPressはこういう時に便利だとURL変更の度に実感しています。。
肝心の、SSL証明書はドメイン認証で十分ですし、S-Factoryとしての活動は休止していることもあり、無料で認証して頂けるLet’s Encryptを使用してみる事にしました。Let’s Encryptによる認証は証明書の有効期限が90日という制限があるので、期限切れになる前に更新しなくてはなりませんが、比較的簡単ですし、自動化も出来るので、サーバーを自分でいじれる人ならさほどハードルは高く無いと思います。
要点としては
- サブドメインも個別に証明書が必要(一緒に更新出来る)
- 同一ドメイン(サブドメイン)内のコンテンツに、非SSLコンテンツ(画像とか)が含まれていると「https」と「http」が混在となるので安全な接続とはみなして貰えない。
- 当然ながら外部リンク先はhttpでも可
これくらいでしょうか。
Webサーバ-のSSL対策後は「Qualys SSL Labs」でチェックさせて頂きA+の結果を得られました。
あとは自動化したCertbotがきちんと動作して、SSL証明書の期限切れ前に更新してくれことをチェックすれば良いでしょう。(更新されなかったらその時は焦るかも知れませんが)
参考にさせていただいて私にとって分かりやすいと感じたサイトを記しておきます。
既に分かりやすい手順を記して下さっている方が沢山いらっしゃるので敢えて私は記しません。少し検索してみると沢山良い説明が見つかるので自分にとって分かりやすい説明を探すと良いでしょう。本当に助かりますね。
コメント