澄風荘のサイト全体をHTTPS化(常時SSL)しました。
以前よりお問い合わせフォームのみ共有SSLで対応しておりましたが、
お問い合わせフォームからご予約をされるお客様も増えており、個人情報保護の安全性を考慮して常時SSL化対応しました。
Googleが公式に「HTTPS ページが優先的にインデックスに登録されるように」アナウンスしていることからも、ユーザが安全に、安心してご利用いただくためにも、常時SSL 化への流れは推奨されていくと考えられます。
レンタルサーバーとしてロリポップを利用しているので、ロリポップの独自SSLを導入しました。
ロリポップの独自SSL導入はとても簡単
ロリポップでの独自SSLはGMOグローバルサイン株式会社のクイック認証SSLを代行申請してくれるのでとても簡単でした。
ロリポップの独自SSL申し込みについてはこちらに詳しくかかれています。
» ロリポップで独自SSLにしてみた時の流れ。めちゃくちゃ簡単でしたが幾つか注意事項があります。|コワーキングスペース管理人のブログ
独自SSLの設定完了後以降の作業は検索していろいろ調べたところ、
などのページを参考にしました。
常時SSL導入の流れ
1.SSL証明書の手配と購入先
2.SSL証明書の申請・インストール・サーバー設定(ここまではレンタルサーバーロリポップで代行申し込み)
3.HTTPSページ内のHTTPリソースの書き換え
ページ内のリンク、,sciriptソースのリンク(http~)をhttps~に変更(または相対URLに変更)
4.サイトのHTTPS(SSL)化のテスト確認
5.HTTPからHTTPSへのリダイレクト→301リダイレクト、HSTSを設定
参考サイト
6.Google Search Console への新規登録
HSTS Preloadを設定したらサブドメインにアクセスできなくなった
特に問題なく設定できたのですが、ひとつしくじったこと…
「HSTS Preloadの設定」
こちらのサイト様と同じく「https対応していないサブドメインがhttpsへ強制リダイレクトされる」状態になってしまったのです。(chromeのみ)
HTTP_Strict_Transport_Security の注意点 | T&N リサーシャ
この失敗の原因は.htaccessの記述にありました。
.htaccessでhttpからhttpsへのリダイレクト設定とHSTSの設定を行うときに
Header set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"
と「includeSubDomains;」とサブドメイン込で設定してしまったのです。
このブログははてなブログproで独自ドメイン「blog.syofuso.com」とsyofuso.comのサブドメインで運用しているので,https化していないブログの方までHSTSでhttpsへ強制リダイレクトされると困るのです。
(はてなブログはhttps対応していない2016年6月現在)
Header set Strict-Transport-Security "max-age=0; preload"
と設定し直し、.htaccessの記述から「includeSubDomains;」を削除し「max-age」の値も一旦0にしてリセットしました。
各項目の意味は以下のとおり
max-age
- そのサイトに HTTPS だけで接続することをブラウザが記憶する時間です。この時間は秒単位で指定します。
includeSubDomains
Optional- このパラメータは省略可能です。Strict Transport Security のルールをすべてのサブドメインにも同様に適用します。
preload
Optional- 詳しくは Strict Transport Security のプリロード を参照してください。このパラメータは仕様 (RFC 6797) で定義されていません。
意味をよく理解せず検索で参照しながらやっていると、思わぬところでしくじってしまいます。 きちんと勉強しなければと反省しました。。。
途中困ったこともありましたが、なんとか無事HTTP から HTTPS に移行 (SSL 導入) が完了しました。
当方でchrome,safari、IEで表示確認しましたが不具合の出るブラウザがあればご教授下さるとありがたいです。