Cloudflareには、WebサイトへのHTTPアクセスを強制的にHTTPS(SSL/TLS暗号化)へリダイレクトする機能が備わっています。
サーバー側で複雑な設定(.htaccessの編集など)を行うことなく、Cloudflareの管理画面上でスイッチを切り替えるだけで、簡単にサイト全体のセキュリティと信頼性を向上させることが可能です。
本設定(HTTPSリダイレクト)が推奨されるケース
Webサイトを安全に運営するために、以下のような場面でこの設定を有効にすることが強く推奨されます。
過去の「http://」リンクが残っている場合
以前はHTTPで運営していたサイトをHTTPS化した際、外部サイトからのリンクやSNSの投稿に古い http:// のURLが残っていることがあります。これらを漏れなく安全なページへ誘導するために必須です。
サイトリニューアル後のリンク漏れ対策
リニューアル時に内部リンクをHTTPSへ書き換えても、画像パスやスクリプトの一部にHTTPが混入してしまうことがあります(混合コンテンツの原因)。本設定により、それらの呼び出しを強制的にHTTPS化し、表示不具合を防ぎます。
常時HTTPS化(全ページSSL化)を完了させたい場合
古いURLでアクセスしたユーザーを自動的に保護されたページへ移動させ、サイト全体の通信を暗号化で統一します。
検索エンジン(SEO)対策を強化したい場合
Googleなどの検索エンジンに対し、HTTPSが正規のページであることを明示し、評価をHTTPSページに集約させます。
ブラウザの「保護されていない通信」警告を回避したい場合
アドレスバーに表示される「安全ではありません」という警告を消し、訪問者の離脱や不信感を防ぎます。
設定手順
1.Cloudflareダッシュボードにログイン
・Cloudflareにログインし、設定を行いたい対象のドメインを選択します。
2.SSL/TLS暗号化モードを確認する
・左側メニューの [SSL/TLS] > [概要] へ移動します。
・暗号化モードが「オフ」以外(「フレキシブル」「フル」など)になっていることを確認してください。
・暗号化モードが「オフ」の場合、次の手順で必要なオプションが表示されません。
3.設定画面へ移動する
・左側メニューの [SSL/TLS] > [Edge証明書] を選択します。
4.機能を有効化する
画面を下にスクロールし、以下のトグルを [オン] に切り替えます。
常にHTTPSを使用
あわせて、すぐ下にある以下の機能も [オン] にすることをお勧めします。
HTTPS の自動リライト
補足:「常に HTTPS を使用」と「HTTPS の自動リライト」の違い
これら2つの機能は役割が異なります。
完璧なHTTPS化を実現するために、基本的には両方をオンにしてください。
| 機能名 | 役割(イメージ) | 対象となるもの | 主な目的 |
| 常に HTTPS を使用 | 入り口を守る | ブラウザのURLバーの入力 | HTTPでの訪問を、HTTPSへ強制転送(リダイレクト)する |
| HTTPS の自動リライト | 中身を補修する | HTML内の画像やスクリプトのパス | ページ内の古い「http://」記述を、自動で「https://」として読み込む |
運用のポイントと注意
- 動作確認の実施
- 設定後、ブラウザで http:// から始まるURLを入力し、自動的に https://(鍵マーク付き)へ切り替わるか確認してください。
- リダイレクトループへの注意
- オリジンサーバー側でも強力なリダイレクト設定を行っている場合、稀に「リダイレクトループ」エラーが発生することがあります。その場合は、Cloudflare側の暗号化モードを「フル」以上に引き上げるか、サーバー側の設定を見直してください。
- HSTS・TLSの検討
- より強固なセキュリティを求める場合は、同じ「Edge証明書」タブ内にある「TLS」・「HSTS」の設定もあわせて検討することをお勧めします。
Web表示スピード改善・セキュリティ対策のCloudflare
導入のご相談だけでなく、運用フェーズでのサポートも承ります。
DDoS攻撃や悪質なBot(ボット)からのアクセスを防ぎたい方、WAF機能やプランの詳細を知りたい方、
国内エンジニアによる安心の運用サポートをご希望の方も、ぜひお気軽にお問い合わせください。