2017年10月14日

うちのサイトも常時SSLになれるかな

当サイトで利用している「さくらのレンタルサーバ」で、10月17日(火)より、無償SSL証明書の簡単な導入手段の提供を始めてくれるとのことで、うちのサイトも常時SSLになれるかなぁと期待しています。

今のところ、当サイトでは、ユーザーに情報を入力してもらうシチュエーションがほとんどないため、SSLの導入にはあまり積極的にはなっていませんでした。

唯一、フィードバックフォームには、お名前/e-mail入力欄があるため、さくらのレンタルサーバの「共有SSL」を使った暗号化を実施しています。

また、過去に「httpsだと、ウイルス対策ソフトの妨害が起こりにくい」という噂があったことから、zip/lzhのダウンロードURLも、「共有SSL」を使ったものにしています。

それ以外は、httpとしていました。
ただ、世の中の流れを観ると、必要性とか興味とか関係なく、とにかくhttpsにすることを推し進める流れが強くなっていまして、僕も興味とか必要性とか関係なく、その流れに翻弄されそうです。

「さくらのレンタルサーバ」で、そこらへんの流れを無償かつ簡単にしてくれるならば、乗っからない手はないかな、と。

ちょっと気になるのが、この「さくらのブログ」で運営しているブログです。
このブログもSSL対応になるのか?

WordPress用の常時SSL化プラグインが提供されているくらいなので、さくらのブログのSSL化オプションくらい準備して欲しいなぁと思うわけですが…どうなんでしょうかね。

実際、このブログには、PC表示時に「検索」ボックスが表示されています。検索ボックスに入力される文字列は暗号化されないはずなので、ユーザーの入力情報は保護されていないことになります。

このあたりも、ぜひとも対応してくれたらうれしいなぁと思うわけです。


【追記1】
「さくらのレンタルサーバ」で常時SSL化を行う上で難しそうなのは、「HTTPでアクセスされた場合に、HTTPSへリダイレクトする」部分でしょうか。
当サイトのURLは、httpで始まるURLの方が知名度が高いので、多くの人はそちらにアクセスしてくるでしょうから、httpsで始まるURLにリダイレクトしないといけません。

ところが、さくらのレンタルサーバはたしか、構成的に、HTTPSでアクセスされると、いったんSSL用のサーバで通信を受け取って、HTTPに直した通信内容を本サーバに転送するという仕掛けになっていたはず。

本サーバ側では、ユーザーからのアクセスがHTTPSだったのか、HTTPだったのかを判断することができません。
(すべて、HTTPに見える)

そうなると、.htaccessなどを使って一斉にリダイレクトをかけることができません。
判断ができるのは、ユーザーのブラウザに制御が移った後(JavaScriptが動くタイミング)ということになるので、全ページに転送用のJavaScriptを仕込んでおき、URLがhttpで始まっていたら、httpsのページを読み直すようにしておかなければなりません。

全ページに手を入れるというのは、結構手間がかかります。
そこらへんをアシストしてくれる機能を、さくらのレンタルサーバで提供してくれたらうれしい。

それと、本文の方でも書きましたが「さくらのブログ」にも対応してくれるものかどうか。
現在、さくらのブログはSSL非対応ということになっているので、そちらも併せて対応してくれるものなのか、期待したいところ。

【追記2】
上記の「HTTPSでアクセスされると、いったんSSL用のサーバで通信を受け取って、HTTPに直した通信内容を本サーバに転送するという仕掛け」は、共有SSLを使っているために発生する問題であるため、独自SSLによる方法ならば、そのような問題は発生しないのではないか、との情報を頂きました。

であれば、わざわざJavaScriptによる仕込みを全ページに入れる必要もなくなるため、ずいぶんとラクになりますね。


posted by ayacy at 00:00 | Comment(0) | TrackBack(0) | サイト運営
この記事へのコメント
コメントを書く
お名前: [必須入力]

メールアドレス:

ホームページアドレス:

コメント: [必須入力]

認証コード: [必須入力]


※画像の中の文字を半角で入力してください。
※ブログオーナーが承認したコメントのみ表示されます。
この記事へのトラックバックURL
http://blog.sakura.ne.jp/tb/181266626
※ブログオーナーが承認したトラックバックのみ表示されます。
※言及リンクのないトラックバックは受信されません。

この記事へのトラックバック