ブログ移行に伴い、sblo.mcrn.jpをさくらのブログから外してリダイレクト用に設定しなおしたので、ついでに証明書を取ってSSL化。
これでmcrn.jp配下のドメインは全部SSL化できたので、.htaccessのHSTS設定にに「includeSubdomains」と「preload」を追加(※1)して、HSTS Preload Submissionに申請。
反映までにしばらくかかるけど、preloadじゃないHSTSは既に効いてる状態なので、.htaccessの強制HTTPSリダイレクトと組み合わせて完全HTTPSが実現。
この2年ほどで、GoogleがSSL有無をランキングに影響させたり、無料SSL証明書発行プロジェクトが立ち上げられたりして、私としても「HTTPSは普通、HTTPは危険」を掲げてサイト運営をしようと決意したのが昨年末ごろ。
それから、要望を出していた安価な証明書が実現したり(さくらのSSL ラピッドSSL)、ブログ移行計画が立ち上がったりして、ついに実現。
でも、これに満足することなく、まだまだサイトの安全性や快適さを追求していきたい。
もちろん、記事の中身も充実させないと意味がないけど...。
- ※1:Header set Strict-Transport-Security "max-age=315360000;includeSubDomains; preload"
コメント