HTTP から HTTPS に移行 (SSL 導入) したら行うチェックリスト

HTTP から HTTPS に移行するために、SSL を導入したら、行うことをチェックリストでまとめました。

リンクの変更

Facebook や Twitter、Google+ のプロフィールで設定するアドレスなどを、できるだけ http:// から https:// に置き換えます。

サイトマップの変更

サイトマップのアドレスを https:// に置き換えます。

canonical の変更

link タグを https:// で始まるように変更します。

リダイレクト

HTTP 接続したアクセスを HTTPS 接続にリダイレクトします。

RewriteEngine on
RewriteCond %{HTTPS} off [OR]
RewriteCond %{SERVER_PORT} !^443$
RewriteRule ^.*$ https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]

HSTS (HTTP Strict Transport Security)

HSTS は HTTP で接続したとき、強制的に HTTPS 接続へリダイレクトさせ、移行そのドメインへのアクセスをすべて HTTPS にするようブラウザーに対してリクエストする HTTP レスポンスヘッダーです。

Strict Transport Security ヘッダーの形式は次のとおりです。

Strict-Transport-Security:max-age=有効期間秒数;includeSubDomains; preload

max-age は HTTPS で通信する期間を指定します。includeSubDomains を追記することで、サブドメインも含めることができます。preload 事前に HSTS リストに登録しておくことで、最初の接続から HTTPS 接続にするためのオプションです。

.htaccess で Strict Transport Security ヘッダーを出力する設定例

Header set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"

手順

1. .htaccess などで Strict Transport Security ヘッダー を出力するようにする。
2. 次のページで HSTS list に登録する。
   HSTS Preload Submission
   ※ 登録されるまで数週間かかります。

確認

HSTS list に反映されたかどうかを確認するには、Google Chrome で chrome://net-internals/#hsts にアクセスして、Query domain で検索します。

Search Console

Google Search Console に　https:// で始まるサイトを登録し、http:// で登録されたサイトを移行します。

このとき、http:// で始まるサイトでリンクの否認を行っていた場合は、新しく登録した https:// で始まるサイトでもアップロードする必要があります。

また、サイトマップを登録している場合も再登録します。