最近web界隈で話題を賑わしているのがSSL化の話。何でもGoogleがSSL化を推進しているらしくて、SSL化されてないサイトはChromeで警告が表示されたり、検索順位が下がるという話も・・。もともとSSLというのはクレジットカード番号を入力するような機密性を要求されるページでのみ限定的に使われてきたものですが、それをすべてのページに適用してサイト全体をSSL化しようというのが最近の流れらしいです。
しかし機密情報の入力ページはともかく、普通に公開しているページをSSL化して何の意味があるねん? 通信を傍受されたって何の被害もない。セキュリティーとか過剰に気にしすぎなんだよ。Google余計なことすんな! 非常に嫌な流れではありますが、将来的にはSSL化しないとブラウザでブロックされたり、検索順位を下げられたりしてマイナスの影響があることは間違いないでしょうね。
というわけで、web管理者ならSSL化はいつかやらんとあかんやろなぁということで常に頭の片隅にあるのです。しかしなぜやらないかというと、お金がかかるからです。SSL化するにはSSLサーバー証明書というものを年間何千円かのお金を払って入手しなければなりません。ただでさえドメインやサーバーにお金を払ってるのに、そんなもんまで払えるかよ! 儲かってるサイトなら良いですが、こんな金にもならんブログにはとても払えません(爆)。
ところがタイミング良くといいますか、今使っているバリューサーバーが無料SSLの提供を始めたのです。管理画面からちょっと設定するだけで簡単にhttps通信に対応できます。追加料金は一切なし!
無料ならとりあえず試してみるかということで、昨日早速このブログのSSL化をやってみました。確かにすぐhttpsでつながるようになって、鍵マークも表示されました。でも何か変。ページによって鍵マークが表示されたりされなかったりするのです。しかも「一部のコンテンツが安全でない」とか警告まで表示されます。
SSL化って単純にプロトコルをhttpsにすればいいだけと思ってたんですが、そんな簡単なものではなかったんですね。実は関連するコンテンツをすべてhttpsにしないと完全なSSL化にはならず、警告が表示されてしまうのです。具体的には画像はもちろんのこと、埋め込んでいるブログパーツやアクセス解析のようなスクリプトも全部httpsに対応していないとダメなのです。それを知らなかったものだから、やたらと警告が表示されまくって変だなと思ったわけです。
それで結局、警告がいっぱい表示されるんなら意味がないやんけ!ということで、SSL化をやめました。まあ今のところ個人ブログでSSL化されているのはほとんど見ませんしね、FC2などの大手もSSLに対応していないことからブログのSSL化はそれほど進んでいないと言えるでしょう。少なくとも外部のサービスが完全にSSL化するまでは時期尚早と判断しました。今のところSSL化しても何のメリットも感じません。
というわけでhttpに戻したのはいいんですが、早くもGoogleにhttpsでインデックスされてしまったため、重複インデックスが発生しています。それを消すためにサーバー側の設定で強制的にhttpにリダイレクトしています。httpsでアクセスすると自動的にhttpに転送されるんですが、ここに落とし穴があります。最近のブラウザはSSLを優先する仕組みがあるようで、いったんhttpsでアクセスに成功すると次からはhttpでアクセスしても同じドメインではhttpsに転送しようとします。ところがhttpsからhttpへのリダイレクトをかけているため、再びhttpに戻されて無限ループが発生してしまうのです。
新規のユーザーならそんなことは起こらないはずですが、一旦httpsでアクセスしてしまった人がもう一度このブログにアクセスしようとすると無限ループが発生してしまう可能性があり得ます。ブラウザにはその旨表示されて閲覧できなくなります。その場合は、キャッシュとクッキーのクリアを行うと回復できます。ただ、そうなってしまった人はこのページを見られないわけで、どうしたものかと・・(^_^;
コメント
こんにちは
はじめまして、いつもTwitterの方を拝見してます。
サイトのSSL化っておもったより単純じゃないですよね。
ブログとかは設定だけでほぼ終わってしまうのですが、外部が。。大変ですよね。
中期的に避けて通れさそうですよね。
私も結構ハマりました。
前からメールサーバでSSLを使いたかったので、有料のSSLを1つだけ入れてました。
知り合い同士でSNSなどを使っている事もあり、潮時かなと最近無料で使用できるようになったLet’s encryptを使って全部のサイトをSSL化したのですが、同じ様に大変でした。
ブログ村とかのブログパーツから始まって、広告バナーや、アクセス解析用のJavaScript等の外部のパーツが全滅しました。SSL対応されていないパーツが有るともう。。ね。大変です。
実は昨年1度やって失敗し、挫折して今回が2回目でした(^^;
あと、大変だったのがブログで自分のサイトへのリンクをhttpでリンクしてあってそれをhttpsに記事中のURLを書き換えるのが大変で、一括置換したら余計なものまで置換して泣けました。
>しげさん
こちらでははじめまして。
数少ないSSL化ブログとして以前から拝見しております(笑)。
今のところ警告出てないので成功してるんじゃないですか?
ほんとにやってから大変だということに初めて気付いたんですよ(笑)。
このブログはSSL化してBlogPeopleとアクセスカウンターが死にました。
外部のサービスがSSL対応してないとどうしようもないですよね・・
中期的に見送りですね・・
直接リンクとかもう考えたくもないです(笑)。
やっぱり新規に立ち上げるのでなければ大変ですよね・・
ですよね。
私もやってみて、ああ。。そうなのかぁと思う所が多々ありました。
カウンターとかも同じなので、ブログの場合には極力プラグインで利用できる様に変更しました。
設定できるならSSL化して、SSL化の方をアクセス制限をかけながらゆっくり検証して、大丈夫になったら、公開する形が楽かもしれませんね。
BlogPeopleって知りませんでした。ping投げてるのに。。(^^;
対応サービスが対応するまで待つか、変更するか。。ですね。めんどくさいです。
やってみて未だにSSL対応してないサービスが非常に多いことに気付かされました。
特に最近ユーザーが減って終了間際のサービスなどはまず期待できないでしょう。
BlogPeopleもアクセスカウンターも実質的には使ってない状態なので、代替を探すしかないでしょうね。
そうか、自分だけアクセスできるようにすればいいのか・・
ただ今のところSEO的にはほとんど影響がないと言われてますし、デメリットも結構あると言われてますね。
現状を踏まえると中長期的に見送りと言わざるを得ません。
こんにちは!
先日、idiom2のカスタムの件でコメントさせてもらったものです!
しばらくブログ見れないと思ったらそいうことだったんですね。
また見れるようになったので引き続き参考にさせてもらいますね!
ブログ見れてない間にうちのidiomはブルホーンになりました 笑
>ataruさん
おや、無限ループの罠にはまってしまいましたか・・(笑)
強制転送を解除したのでもうアクセスできると思います。
いつの間にかブルホーンになったんですね(笑)。
ブルホーンはドロップほどお金がかからないので良いと思いますね・・
うちのidiom2はidiom1になりましたが、やっぱりシングル化するか、いっそのこと8速に戻そうかとも思ってます(爆)。
フロントはシングルで十分なんですよね。
そんなに緻密なシフトチェンジしないですし今のトップギアでも自分の足では満足なので、、、
バーコンにしたんですが左はダミーで付けてます。
フリクションに切り替えられるんで思わぬ多段化にも対応です 笑
ダブルにしてもトップ側2枚は使えないので結局無駄なんですよね・・
シングル化の可能性大です(笑)。
バーコンって何となくカッコイイですよね・・(笑)