HTTPSとは、通信が暗号化されている場合に使われるものでサイトが安全であることの1つの目安となります。最近のブラウザは、HTTPでサイトにアクセスした際に「保護されていません」などといった安全ではない旨の警告が表示される仕様になってきています。ログインフォームでパスワードなどを入力したり、クレジットカード番号など個人情報を入力するページが主な対象となりますが、将来的には全ページが警告の対象となるでしょう。
参考:Chrome の HTTP 接続におけるセキュリティ強化に向けて
自身のWebサイトが危険であると表示されてしまう前にHTTPSでのアクセスができるようにしておくと良いと思います。それでは、実際にHTTPSでアクセスするにはどうすれば良いか見ていきましょう。
HTTPSの導入方法
HTTPSで通信させるためには、SSL証明書というものが必要になります。SSL証明書がないサイトでは、HTTPSでアクセスすることができませんので、まずはSSL証明書を取得しましょう。
SSL証明書の取得方法
ほとんどのレンタルサーバでは、コントロールパネルから証明書を申請することができますので、ご自身で利用しているレンタルサーバの手順・指示に従って手続きを進めてください。ただ、SSL証明書には認証レベルが設けられているので手続きする際にはどの認証レベルにするか選ぶ必要があります。
- 認証レベル1
- 最も低いレベルの認証で「ドメイン認証」と呼ばれています。個人でも取得することができ、費用も安く済みます。通信の暗号化だけを目的として使用されます。
- 認証レベル2
- 「企業認証」と呼ばれているもので、法人でなければ取得することができません。その企業が実在していることが確認された上で証明書が発行されます。その国で登記されていることの証明する書類を提出したりする必要があります。
- 認証レベル3
- 最も厳格な証明で「EV認証」と呼ばれています。EVとは「Extended Validation」の略です。EV認証の場合、書類の提出はもちろんのこと、申請した者が本当にその企業の担当者なのか申請者の存在も確認します。
このようにして、SSL証明書を取得してHTTPSでアクセスすることができるようになったら、常にHTTPSでアクセスされるように修正しておく必要があります。例えば、内部リンクの設定が「http://~」で設定してある場合には、その箇所を「https://~」に書き換える必要があります。CSSやJavascript、画像なども同様で、httpで読み込んでいる場合にはhttpsに書き換えておきましょう。
また、meta要素に「canonical」などを設定している場合もhttps書き換える必要があります。
.htaccessを使ってURLを正規化している場合も書き換えが必要となります。httpからhttpsへ転送をかけることで、httpでブックマークされている場合などもhttpsでアクセスさせることができます。
SSL証明書には期限が設けられていて、更新をしないと証明書は失効されてしまうので期限切れにならないよう注意しましょう。