SSLがよく分からないのでフワッと勉強してみたので共有するね。

2022.02.11


ホームページを作ったら、かならずSSL化をしなければならない。

「よく聞くけど、よく分からないままSSL化してるぜ…。」

そういう人も多いと思い気がする…。

私がそうだった!!

ということで、SSLってぶっちゃけ何なのか(必死に調べまくって)まとめてみました!

SSLは暗号化技術

SSL化されていないインターネットは、すべての通信が垂れ流し状態だそうです。垂れ流しデータを読み込んだり、こっちから垂れ流したり…無防備ゆえに、アクセス情報を書き換えたり、なりすましたりが出来るそうです。

銀行口座の送金情報を書き換えられたりしたら…恐ろしい!

ということで、サイトはSSL化をします。そして、どこかしらの第三者機関が証明書を出します。
証明元の審査の厳しさによって、SSLの信頼度が変わってきます。

ちなみに、ロリポップではサーバー代と別にSSL化の信頼度の違う4つのプランがあるようです。(2022年2月現在)
独自SSL(ロリポップサイト)

私は今のところ、無料のプランにしています!(サーバー代はちゃんと払ってます。)

SSLの認証技術自体はすべて同じですので、そこに+αちゃんとしたサイトですよ?の証をSSLのランクに反映できる的な、まぁそんな感じのようです。(ザックリ)

高いものだと、年間うん十万円とか。書類審査や電話審査などで所在確認までしっかりかけられます。
無料のものは、ドメインはちゃんとしたものですよ?という証明のみなので怪しいまとめサイトや、変なサイトだけどSSL化してるサイトと同レベルっちゃ同レベルなのですが、個人サイトだとだいたいこのプランなのかな…と思います。

もしゆくゆく収益化出来たら、SSL証明書をアップグレードしてみようかしら。

SSL化はサーバーから認証会社を通してかける、技術的には自分でもかけられるが…

SSL化はサーバーを通して契約する感じです。

ロリポップの場合は、無料独自SSLというものを設定したら、https化されますので、
その後、WordPressにてURLを変更して終了です。

WordPress管理画面「設定」→「一般」より設定すべしです。

SSLにしたら、httpの後にsがついたURLも発行されます!

技術的には、自分で自分を証明するという方法もあるそうですが、そんなの証明になってないので、ちゃんと外部に証明してもらいましょう笑
(あってるのかなこの認識…)

SSL化しても元のhttpは残るので自動でsつきサイトに飛ぶ設定をする。

WordPressはSSL化しても元のサイトは残ります。
(方法によってはhttpの方は消失するから注意!とのことですが、WordPressでは残った。)

なので、httpでアクセスしてきた人のURLをhttpsに自動で書き換えるためのファイルがあります。
それが.htaccessというファイルです。(他にも色々機能がある様子)

ルートディレクトリ(トップ)にあります。WordPressの場合、管理画面より「設定」→「パーマリンク」→「変更を保存」と進むと必ず生成されるファイルのようです。

私が陥ったミスとして、ファイルが見当たらなかったのですが、ローカルフォルダで作ったデータをサーバーにアップする事はあっても、サーバーのデータをローカルに保存することはないので、それが原因だったようです。
.htaccessファイルはサーバーファイルを一度ローカルに保存し、再度アップします。

ローカルにはないけど、サーバーにはある!
(画面はDreamweaberCC2022の画面)

ここに、以下のようにコードを記入します。ロリポップ的に入れて欲しい文言は以下より。
URLの書き換え

WordPressから吐き出されたファイルに書いてある通り、8行目より先はWordPressに上書きされてしまうので、必ず上の方に追記するべし、だそうです。

私の場合、投稿ページ /articleから始まるページはsつきサイトに自動遷移しましたが、トップページへの遷移は5分後くらいに反映されました。遅れる理由は不明…。

なので、うまくいかない時はしばらく待つのもありなのかもしれません。

数日前にアップした記事で、最初にやること!の中に常時SSL化のことを書き忘れていたので
しれっとこの記事にリンクを貼ることにしました。
真っ白なキャンパスに1から作りたい人向けWordPress(1)立ち上げ-CSSリセット