独自SSL対応後は301リダイレクトで統一すべき

当サイトをhttpsに対応してみました。

いわゆる独自SSLというものになりますが、ブラウザとサーバー間の通信を暗号化するネットの安全性へ配慮する取り組みになります。

今回、当サイトで採用した認証局はSecureCoreなのですが、単純に格安だったから使ってみました。EV認証などの場合、数十万円程度の費用がかかるケースもありますが、格安のドメイン認証のタイプでも技術的にはそれほど変わらないため、あとは信用度の違いということになるかと思います。

格安のドメイン認証の場合、単純にドメインの所有権などを確認するだけですので、認証形式については簡易的なものにとどまります。もちろん、CSRなどで運営者情報などを記入することは必要ですが、それほど深いところまでは確認されないです。

もちろん、適当に書くのはNGでしょうけれども、仮にそうであったとしても、認証が通ってしまいそうな気もします。(あくまで主観ですので詳細は不明。)

一方、企業認証やEV認証の場合、企業の実態までを確認されるため、より高度な信頼性を実現できると考えてもよいでしょう。

実際に導入してみた感じでいいますと、一番難しかったのがリダイレクト設定になります。

.htaccessにて301設定をしたのですが、1部で302になってしまうパターンがあり、手間がかかりました。

例えば、以下の4つのパターンが考えられます。

通常のhttpでのwwwあり・なし

①http://example.com/
②http://www.example.com/

独自SSLのhttpsでのwwwあり・なし
③https://example.com/
④https://www.example.com/

当サイトでは、httpsでなおかつ、www付きのURLへ統一したいわけですので、「①、②、③のパターン」を④に統一するわけですが、ヘッダーで確認してみると302リダイレクトになっているケースがありました。

このhtaccessの設定方法について、ネット上ではいわゆる間違った情報が多く見受けられます。

具体的には、Rではなく、R=301で設定するべきと思いますが、なぜそのような情報が出回っているのか、正直よくわかりません。いずれにしても、ヘッダー情報を確認して、301リダイレクトが返ってくることを確認することをおすすめします。