【常時SSL化】「.htaccess」に「HSTS」を記述、「HSTS Preload Submission」に登録する方法(エックスサーバー)

常時SSL化をしたら、エックスサーバーから「.htaccess」に「HSTS」を記述して、「HSTS Preload Submission」に登録しましょう!
※本記事は、以下ができている前提で進めていきます。

  • エックスサーバーで「SSLサーバ証明書」を発行する
  • WordPressのサイトアドレスを変更する
  • 「.htaccess」に「http→https」の301リダイレクト設定をする
  • サイトの全ての画像URLを「http」から「https」に変更する
  • 各種ツール・パーツの「HTTPS」動作確認する
  • すべてのコンテンツが「HTTPS」でダウンロードされているかを確認する
  • 「rel=”canonical”」の更新をする
  • 「Googleアナリティクス」「Google Search Console(Googleウェブマスターツール)」を再設定する

「常時SSL化」の参考記事

なぜ「常時SSL化」をしなければいけないのか?
仕組み、重要性、メリット・デメリット、いつ移行すべきか、については下記を参考にしてください。
常時SSL化(https)のメリット・デメリットまとめ。あなたのサイトもいつかhttpsに移行することになるかも!?
「常時SSL化」をする方法は、下記にまとめてありますので参考にしてください!
「常時SSL化」をする方法 まとめ。(エックスサーバー)

「HSTS」、「HSTS Preload Submission」とは?

「HSTS」は、HTTPSへ強制リダイレクトする仕組み

「HSTS(HTTP Strict Transport Security)」は、「http://」にアクセスがあった時、ユーザーに意識させずに、強制的に「https://」にリダイレクトして、以降は「https://」に接続させる仕組みです。
エックスサーバーで「SSLサーバ証明書」を発行し、WordPressのサイトアドレスを変更した状態だと、サイトに「http://」「https://」の両方から接続ができてしまします。
「HSTS」があれば、ユーザーは「http://」にしても「https://」に接続が切り替わります。
その後「HSTS」を設定したドメインへアクセスした場合は、自動的に「https://」に接続します。
SSLは「https://」で接続するから安全なので、「http://」でしか接続できないように、エックスサーバーから「.htaccess」に「HSTS」を記述します。
「.htaccess」はFTPでも編集できます。
※サブドメインを利用している場合は、サブドメインも「HSTS」の設定が適用されます。

「HSTS Preload Submission」は、Googleが提供するHTTPS強化サービス

「HSTS Preload Submission」は、Googleが提供するHTTPS強化サービスです。
「.htaccess」に「HSTS」を記述しただけだと、「http://」に接続してから「https://」にリダイレクトする間、ユーザーは暗号化されない接続状態にあります。
「HSTS Preload Submission」は、「HSTS」を設定しているサイトをリスト化しています。
登録すれば、対応ブラウザ(Chrome・Firefox・Safari・IE11・Edge)からアクセスがあった時、「http://」に接続しても、初回から「https://」でアクセスするようになります。

エックスサーバーから「.htaccess」に「HSTS」の記述をする方法

まず、下記からエックスサーバーにのサーバーパネルにログインします。
エックスサーバーのサーバーパネル
右カラムの「ホームページ」内の「.htaccess編集」をクリックします。↓
2.右カラムの「ドメイン」内の「.htaccess編集」をクリックします
ドメイン選択画面で、リダイレクトするドメインを選び、「選択する」をクリックします。↓
3.ドメイン選択画面で、リダイレクトするドメインを選び、「選択する」をクリックします
「.htaccess編集」画面で、
「.htaccess編集」をクリックします。
②「.htaccess」入力部分の「FCGIWrapper “/home/サーバー名/ドメイン名/xserver_php/php-cgi” .phps」の後、「手順3」301リダイレクト設定をした際にコピペした「<IfModule mod_rewrite.c>」の直前に、下記をコピペします。

Header set Strict-Transport-Security “max-age=31536000; includeSubDomains; preload”

これは「このサイトはSSLで動きますよ」とブラウザや検索エンジンに伝る役割になります。
③全て入力したら、「.htaccessを編集する(確認)」をクリックします。
ページが切り替わったら、「.htaccessを編集する(確定)」をクリックします。↓
4.「このサイトはSSLで動きますよ」とブラウザや検索エンジンに伝る役割になります
これで、エックスサーバーの「.htaccess」に「HSTS」の記述ができました。

「HSTS Preload Submission」にサイトを登録する

まず、下記のHSTS登録サイトにアクセスします。
HSTS Preload Submission
①「Enter a domain for the HSTS preload list:」にURLを入力します。
「Check status and eligibility」をクリックします。↓
5.①「Enter a domain for the HSTS preload list:」にドメインを入力します。 ②「Check status and eligibility」をクリックします
①「I am the site owner of ドメイン or have their permission to preload HSTS.」
サイト所有者であるかの確認です。
チェックを入れます。
②「I understand that preloading ドメイン through this form will prevent all subdomains and nested subdomains from being accessed without a valid HTTPS certificate:」
サブドメインも全てHTTPSでブロックされることの確認です。
チェックを入れます。
「Submit ドメイン to the HSTS preload list」をクリックします。↓
6.「Submit ドメイン to the HSTS preload list」をクリックします
「Success」と表示されます。
「using SSL Labs」をクリックすると、「QUALYS SSL LABS」の「SSL Repot」を確認できます。↓
7.「using SSL Labs」をクリックすると、「QUALYS SSL LABS」の「SSL Repot」を確認できます
これで、「HSTS Preload Submission」にサイトを登録できました。

まとめ:「HSTS Preload Submission」に登録してSSLを強化しましょう!

「.htaccess」に「HSTS」を記述するだけでも、SSL化はできます。
でもせっかくなので、「HSTS Preload Submission」にサイトを登録して、SSLを強化しましょう!

「常時SSL化」の参考記事

「常時SSL化」をする方法は、下記にまとめてありますので参考にしてください!
「常時SSL化」をする方法 まとめ。(エックスサーバー)
この記事では「手順9」の「.htaccess」に「HSTS」を記述する方法を行いました。
以上、
【常時SSL化】「.htaccess」に「HSTS」を記述、「HSTS Preload Submission」に登録する方法(エックスサーバー)
でした。
お疲れ様でした(^^♪

コメント

タイトルとURLをコピーしました