サイトの引越しとSSL

 

 

今年(2018年)5月時での日本国内ブラウザシェア(Stat Counter参照)

 

1位 Chrome 66.0・・・・・・・36.65%
2位 IE 11.0・・・・・・・・・20.83%
3位 Edge 16 ・・・・・・・・・5.84%
4位 Firefox 59.0・・・・・・・5.65%
5位 Safari 11.1・・・・・・・3.81%
6位 Chrome for Android・・・3.38%
7位 Firefox 60.0・・・・・・・3.33%
8位 Chrome 65.0・・・・・・・3.29%
9位 Chrome 49.0・・・・・・・1.69%
10位 Sleipnir 4.5・・・・・・・1.34%

 

Chromeだけで45.01%。
世界でみるとChrome 66.0だけでも52.41%と半数を超えます。

 

個人的にもGmailやGoogleカレンダー、ドライブなどGoogleのアプリを多く使用していることもあり、どうしてもChromeを使う機会が多くなっています。
実際にはChromeでの不具合もあり、現在ではWin10に移行後はEdgeと併用という状態。

 

GoogleはChromeリリースのたびにセキュリティを最優先事項として、警告表示の段階的な開始を行ってきました。
昨年、Chrome 56 において、HTTPサイトでパスワードやクレジットカード番号の入力フォームがある場合に警告表示をするようになりました。そしてChrome 62 ではHTTPサイトで入力フォームがある場合にすべて警告表示が開始されました。

もともときらら舎のカート部分(お客さま情報を取り扱うファイル)はSSLサーバに置いてありましたので、それほど気にもしていなかったのですが、
今年(2018年)7月にリリース予定の「Chrome 68」から、すべてのHTTPサイトで「保護されていません」を表示するという公式アナウンスがありました。

使用しているサーバではSSLはグローバルサインのものを使用していて、独自ドメインで運用するにはサブドメインにつき1契約が必要です。
今のサーバでは複数のドメインを運用できるのでよかったのですが、ここで運用しているすべてのドメイン・サブドメインにSSLを適用させるとなると年間何十万にもなってしまうため、一部、無料のSSLが使えるサーバを借りて移植しました。

SSLはサービスにもよりますが、多くは1つのフォルダに対して設定されます。
そして、それはwwwというサブドメインで表示されるフォルダなので、その他のフォルダやファイルにも適用されます。

 

  • 独自ドメインで表示するフォルダにSSLをあてました。
  • wwwアリで表示するフォルダとは異なっていたため、htaccessファイルにてwwwアリにアクセスした場合wwwなしを表示させるようにしました。

RewriteEngine On
# www無しのURLに統一
RewriteCond %{HTTP_HOST} ^www\.cafesaya\.net
RewriteRule ^(.*) https://cafesaya.net/$1 [R=301,L]

 

ここでhttps://cafesaya.net/を書いてあるのでこれでOKと思ったら、別途、

  • httpへアクセスされた場合httpsを表示させるようにする・・・ことも必要でした。

 

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [R,L]

最後の行が必ず改行しておいてください。

 

 

これらを適当なソフト(メモ帳など)で記載し、 htaccess.txtとして保存します。
FTPソフトなどでサーバにアップします。
その後、.htaccess に名前を変更します。
通常はそのままでも大丈夫ですが、パーミッション(属性)を「604」に変更します。

これで無事、Chrome 68対策終了です。

久々にWEBサイト制作作業をしました。