おすすめ方法.com

【おすすめ】をリサーチ・比較、【方法】を分析・紹介するサイト

【常時SSL化】「.htaccess」に「HSTS」を記述、「HSTS Preload Submission」に登録する方法(エックスサーバー)

time 2016/07/04

常時SSL化をしたら、エックスサーバーから「.htaccess」に「HSTS」を記述して、「HSTS Preload Submission」に登録しましょう!

※本記事は、以下ができている前提で進めていきます。

  • エックスサーバーで「SSLサーバ証明書」を発行する
  • WordPressのサイトアドレスを変更する
  • 「.htaccess」に「http→https」の301リダイレクト設定をする
  • サイトの全ての画像URLを「http」から「https」に変更する
  • 各種ツール・パーツの「HTTPS」動作確認する
  • すべてのコンテンツが「HTTPS」でダウンロードされているかを確認する
  • 「rel=”canonical”」の更新をする
  • 「Googleアナリティクス」「Google Search Console(Googleウェブマスターツール)」を再設定する

「常時SSL化」の参考記事

なぜ「常時SSL化」をしなければいけないのか?
仕組み、重要性、メリット・デメリット、いつ移行すべきか、については下記を参考にしてください。
常時SSL化(https)のメリット・デメリットまとめ。あなたのサイトもいつかhttpsに移行することになるかも!?

「常時SSL化」をする方法は、下記にまとめてありますので参考にしてください!
「常時SSL化」をする方法 まとめ。(エックスサーバー)

sponsored link

「HSTS」、「HSTS Preload Submission」とは?

「HSTS」は、HTTPSへ強制リダイレクトする仕組み

「HSTS(HTTP Strict Transport Security)」は、「http://」にアクセスがあった時、ユーザーに意識させずに、強制的に「https://」にリダイレクトして、以降は「https://」に接続させる仕組みです。

エックスサーバーで「SSLサーバ証明書」を発行し、WordPressのサイトアドレスを変更した状態だと、サイトに「http://」「https://」の両方から接続ができてしまします。
「HSTS」があれば、ユーザーは「http://」にしても「https://」に接続が切り替わります。
その後「HSTS」を設定したドメインへアクセスした場合は、自動的に「https://」に接続します。

SSLは「https://」で接続するから安全なので、「http://」でしか接続できないように、エックスサーバーから「.htaccess」に「HSTS」を記述します。
「.htaccess」はFTPでも編集できます。

※サブドメインを利用している場合は、サブドメインも「HSTS」の設定が適用されます。

「HSTS Preload Submission」は、Googleが提供するHTTPS強化サービス

「HSTS Preload Submission」は、Googleが提供するHTTPS強化サービスです。

「.htaccess」に「HSTS」を記述しただけだと、「http://」に接続してから「https://」にリダイレクトする間、ユーザーは暗号化されない接続状態にあります。

「HSTS Preload Submission」は、「HSTS」を設定しているサイトをリスト化しています。
登録すれば、対応ブラウザ(Chrome・Firefox・Safari・IE11・Edge)からアクセスがあった時、「http://」に接続しても、初回から「https://」でアクセスするようになります。

エックスサーバーから「.htaccess」に「HSTS」の記述をする方法

まず、下記からエックスサーバーにのサーバーパネルにログインします。
エックスサーバーのサーバーパネル

右カラムの「ホームページ」内の「.htaccess編集」をクリックします。↓

2.右カラムの「ドメイン」内の「.htaccess編集」をクリックします

ドメイン選択画面で、リダイレクトするドメインを選び、「選択する」をクリックします。↓

3.ドメイン選択画面で、リダイレクトするドメインを選び、「選択する」をクリックします

「.htaccess編集」画面で、
「.htaccess編集」をクリックします。
②「.htaccess」入力部分の「FCGIWrapper “/home/サーバー名/ドメイン名/xserver_php/php-cgi” .phps」の後、「手順3」301リダイレクト設定をした際にコピペした「<IfModule mod_rewrite.c>」の直前に、下記をコピペします。

Header set Strict-Transport-Security “max-age=31536000; includeSubDomains; preload”

これは「このサイトはSSLで動きますよ」とブラウザや検索エンジンに伝る役割になります。

③全て入力したら、「.htaccessを編集する(確認)」をクリックします。
ページが切り替わったら、「.htaccessを編集する(確定)」をクリックします。↓

4.「このサイトはSSLで動きますよ」とブラウザや検索エンジンに伝る役割になります

これで、エックスサーバーの「.htaccess」に「HSTS」の記述ができました。

「HSTS Preload Submission」にサイトを登録する

まず、下記のHSTS登録サイトにアクセスします。
HSTS Preload Submission

①「Enter a domain for the HSTS preload list:」にURLを入力します。
「Check status and eligibility」をクリックします。↓

5.①「Enter a domain for the HSTS preload list:」にドメインを入力します。 ②「Check status and eligibility」をクリックします

①「I am the site owner of ドメイン or have their permission to preload HSTS.」
サイト所有者であるかの確認です。
チェックを入れます。
②「I understand that preloading ドメイン through this form will prevent all subdomains and nested subdomains from being accessed without a valid HTTPS certificate:」
サブドメインも全てHTTPSでブロックされることの確認です。
チェックを入れます。
「Submit ドメイン to the HSTS preload list」をクリックします。↓

6.「Submit ドメイン to the HSTS preload list」をクリックします

「Success」と表示されます。
「using SSL Labs」をクリックすると、「QUALYS SSL LABS」の「SSL Repot」を確認できます。↓

7.「using SSL Labs」をクリックすると、「QUALYS SSL LABS」の「SSL Repot」を確認できます

これで、「HSTS Preload Submission」にサイトを登録できました。

まとめ:「HSTS Preload Submission」に登録してSSLを強化しましょう!

「.htaccess」に「HSTS」を記述するだけでも、SSL化はできます。
でもせっかくなので、「HSTS Preload Submission」にサイトを登録して、SSLを強化しましょう!

「常時SSL化」の参考記事

「常時SSL化」をする方法は、下記にまとめてありますので参考にしてください!
「常時SSL化」をする方法 まとめ。(エックスサーバー)

この記事では「手順9」の「.htaccess」に「HSTS」を記述する方法を行いました。

以上、
【常時SSL化】「.htaccess」に「HSTS」を記述、「HSTS Preload Submission」に登録する方法(エックスサーバー)
でした。

お疲れ様でした(^^♪

sponsored link

down

コメントする






sponsored link

カテゴリー

読者が読んでる人気記事