常時SSL化の導入に四苦八苦

「SSL(Secure Sockets Layer)」に関するお話。

今回はWebセキュリティを強化するためのSSL。最近、特定のサイトにアクセスすると、SSLを導入していないサイトで、アドレスバーの「i」という丸いマークをクリックすると表示される警告メッセージ。ブラウザのChromeのバージョン68以降やEdgeなどで表示されるようになりました。ブラウザでこのような警告メッセージが表示されるようになった背景には、Web全体の通信の安全性がもっと高まりますように、というGoogleの思いが込められています。そう、SSLを導入することで、Webサイト上の通信の安全性が高まるのです。

●データの暗号化

クレジットカード情報を入力するECサイト。SSL化されていない場合、ユーザーが入力したクレジットカード情報は、「誰でも読める状態」のまま、サーバーに届きます。そうなれば、攻撃者によってクレジットカード情報を盗み見される恐れがあります。しかし、このECサイトがSSL化されていれば、ユーザーが入力したデータは暗号化されたのちに、サーバーに届きます。攻撃者はクレジットカード情報を盗み見ることはできません。

●所有者の証明

「このサイトはSSLを導入していて、信頼できるサイトだよ!」という「SSL証明書」を、「CA(Certification Authority)」と呼ばれる認証局から発行してもらうことを指します。それは、サイトをSSL化(HTTPS化)することで、Googleから評価されて検索順位が上がる!ということです。

「http」を「https」で始まるSSL化が急がれているようです。

さてさて!今回の作業のきっかけは、お客様のサイト内で通販の仕組みを作るお仕事。やや、もしかしてと思ってましたが、作業中にSSLにしなさいとの警告ガイダンス。作業途中であえなく、ググって見ました。いろいろ書き込みありました。ロリポップやさくらインターネット等は、無料SSL〜有料SSLの仕組みが出来ております。簡単ワンクリックについ手が出て進めました。数分後、問題なく「http」でアクセスしてもリダイヤルで「https」へ誘導らしいです。簡単にできたのもつかの間です。何故かサイト自体に「鍵」マークが付かない?これはとググって!基本中の基本の作業を怠ってました。WP設定での「http」から「https」の変更です。それでも一部のページに「鍵」が付かずまたもや作業ストップ。今度は画像リンクやページ内リンクなどのアドレスの変更です。作業途中なので楽々変更して無事サイト全体が「SSL」となりました。

便利ツールのおかげで何とかクリア!

気分も高揚ついでに、自社も「SSL」にしてみようと進めましたが、またもや今度は、既に完成してるサイトは別物です。リンク設定や画像リンクなど複数あり、手動で行うのは大変。そこで見つけたのが「【常時SSL化】「Search Regex」画像URLを「http→https」に一括置換する方法【WordPressプラグイン】」これが一発変換です。但し、一部読みきれない箇所があるようです。内部リンクURLを全てhttpsに変えてもダメだったらまだ「保護された通信」と南京錠マークがでてきてくれません。まだ、どこかに「http」が残ってしまっているようです。このようにプラグインを使い、内部リンクを全て一括で「http」から「https」に変更しても、残ってしまう奴がいるんです。こうなると、隅から隅までソースコードを探すしかありません。そこで出逢ったサイト「Google Chromeのデベロッパーツール」はブラウザ仕様のにあるツールらしいです。コンソールタブを選びソースを覗くと、赤っぽい背景のコードが出てきました。その中にまだ「http」のままの犯人がいます。一見わかりにくいですが、よくよくコードを見ていくと、犯人がわかりました。手動でリンク変更して、こちらもようやく「SSL」になりました。

精神的苦痛が大きい〜〜!

これから作成するサイトは「SSL」は必須科目思い知らされました。日進月歩、勉強勉強。但し現在稼働中のサイトは、やはりリスクが伴うためお客様と話し合い進めていくことが得策と思います。やれやれ、世の中セキュリーだらけで少々疲れ気味です。どれ程、アドレスの前に「鍵」マークが付くことを待ちわびたことか、簡単には、グーグルさんも許さないんですね!カッチカチの「南京錠」でした。