Stay home の日々
―ブログの完全SSL化 ―
Google Chrome対策
かなり前から、このむささび工房ブログを、Google Chromeを使ってアクセスすると、アクセスしているURLを表示する上部の枠の左端に、「保護されていない通信」という不気味な文字列が出るようになりました。
ヤァーな感じですね。その文字をクリックすると「このサイトでは機密情報を入力しないでください。悪意のあるユーザに情報が盗まれる可能性があります。」という説明文が出てきます。ほんとにヤァーな感じです。
冗談じゃない、こんなの出てくると、折角検索で見つけてくれた方も気味悪くなって、覗いてくれなくなります。第一、Googleの説明だと、このようなサイトの検索順位を下げているとのことです。
調べてみると、当該サーバへのアクセスを暗号化しない、すなわちセキュリティを保証しないプロトコルでアクセスする場合に表示されるとのこと。URLの先頭に記載されている、httpナンチャラというのが、そのプロトコルを示していて、httpだと暗号化を使わないプロトコルで、httpsだと暗号化を用いた安全なプロトコルを使ったサーバであることを表しています。つまり、http://で表されるURLの場合には、Googleが「保護されていない通信」の表示を出してユーザに、警告するというわけです。インターネットの健全な発展のためには良いことだと思いますが、いざ自分のサイトがそうなると疲れますね。
気を取り戻して、ネットで調べながらサーバの管理画面、私の場合、Xserver(エックスサーバ)のサーバーパネルと格闘して、使うプロトコルをhttpからhttpsに変更しました。サーバーパネルに用意されている機能の中に、「SSL設定」というのがあります。
この“SSL”はSecure Sockets Layer(セキュアソケットレイヤー)の略で通信を暗号化する技術のことです。この技術の一つとしてhttpsと言う通信プロトコルがあります。「SSL設定」をクリックするとSSLを設定するドメインを選択する画面が出てくるので、私のブログのドメイン、すなわちmusasabi-koubou.comを選択します。そのまま指示にしたがって先に進めて行けば、独自SSL設定が実行されてhttpsへの変更が完了します。
この変更が反映されるま1時間ほどかかるというので、十分に時間がたってから、https://musasabi-koubou.com/を使ってアクセスしてみました。意気込んでアクセスしました。アクセスはできましたが、「保護されていない通信」という表示は消えません。
がっかりして、そのままあきらめて、2週間ほど経ったころ、以前にお世話になっていた、ジュンイチさんのブログで発信しているYouTubeを眺めていました。以前の内容がかなり更新されていて、「WordPressサイトにSSLを導入してhttps化しよう!【WordPressの始め方 vol.6】」という動画がありました。とにかくもう一度確認してみようと思い、動画を開きました。
URLをhttps化するところまでは以前にやった通りでしたが、その後の処理に追加がありました。2つありました。一つは、WordPressの管理の中ですることで、パネルの「設定」から「一般」に入って、WordPresアドレスとサイトアドレスのhttpの部分をhttpsに書き替えて更新することです。
もう一つは、サーバーのパネルに戻って、「.htaccess編集」という機能を選択して、該当するドメインの.htaccess編集を実行します。指定された5行のプログラムを挿入します。
このあたりはプログラムの中を触るので、ちょっと怖いのですが、動画の中で丁寧な説明があるので、その通りに慎重に実行しました。私はこのコードの意味が読めませんが、ジュンイチさんを信じてその通りに実行しました。
さて、まだ一抹の不安が残っていましたが、これでどうだと言わんばかりに、ブログにアクセスしました。不安的中でやっぱり、あのおぞましい文字「保護されていない通信」という警告がそのまま残っていました。
一抹の不安というのは、先のジュンイチさんの動画で、「この作業はブログを作り始める前に、ドメインを取得した時にやってください」と語っていたことと、「Googleが完全SSL化を望んでいる」という訳の分からない用語(完全SSL化)があちこちのサイトでささやかれていることでした。どうもこの2つには関係がありそうだと直感で感じました。
またぼやきながら2週間ほどいろいろと調べていました。そこで分かったことは、やっぱり直感が当たっていて、「完全SSL化」というのは、どうもブログの入り口だけでなく、すべてのページでの通信プロトコルがSSL化、すなわちhttpsを使っていることのようです。だからジュンイチさんの動画では「この作業はブログを作り始める前に、ドメインを取得した時にやってください」と語っていたのでしょう。ブログを作り始めて、沢山ぺーを増やして、いろいろリンクを張ってからでは作業が大変ですよ という意味なのでしょう。
ブログの全てのページをチェックしてhttpsを使うように修正するのは勘弁してほしいと半ばあきらめてしまいました。ところが、Samurai BlogというサイトのWordPressに関するページに行ったときになんと、神が降臨しました。いや、伝家の宝刀プラグインが見つかったのです。Really Simple SSL というプラグインがブログ内の全ページを常時SSL化してくれると紹介されていました。
早く言ってよ!とCMのフレーズを口ずさみながら、ルンルンということで早速このプラグインをインストールして有効化しました。なんとそのすぐ直後から、あの呪文のような文字列は消えて、その代わりに鍵のマークが現れるようになりました。
そしてその鍵マークをクリックすると
「この接続は保護れています。お客様がこのサイトに送信した情報(パスワード、クレジットカード番号など)が第三者に観られることはありません」
という、なんとも頼もしい説明文があらわれました。1ヶ月有余に及ぶ苦労が報われた瞬間です。夜中だったのでウッシッシと心の中で叫んで心地よい眠りにつきました。