2017年10月14日

うちのサイトも常時SSLになれるかな

当サイトで利用している「さくらのレンタルサーバ」で、10月17日(火)より、無償SSL証明書の簡単な導入手段の提供を始めてくれるとのことで、うちのサイトも常時SSLになれるかなぁと期待しています。

今のところ、当サイトでは、ユーザーに情報を入力してもらうシチュエーションがほとんどないため、SSLの導入にはあまり積極的にはなっていませんでした。

唯一、フィードバックフォームには、お名前/e-mail入力欄があるため、さくらのレンタルサーバの「共有SSL」を使った暗号化を実施しています。

また、過去に「httpsだと、ウイルス対策ソフトの妨害が起こりにくい」という噂があったことから、zip/lzhのダウンロードURLも、「共有SSL」を使ったものにしています。

それ以外は、httpとしていました。
ただ、世の中の流れを観ると、必要性とか興味とか関係なく、とにかくhttpsにすることを推し進める流れが強くなっていまして、僕も興味とか必要性とか関係なく、その流れに翻弄されそうです。

「さくらのレンタルサーバ」で、そこらへんの流れを無償かつ簡単にしてくれるならば、乗っからない手はないかな、と。

ちょっと気になるのが、この「さくらのブログ」で運営しているブログです。
このブログもSSL対応になるのか?

WordPress用の常時SSL化プラグインが提供されているくらいなので、さくらのブログのSSL化オプションくらい準備して欲しいなぁと思うわけですが…どうなんでしょうかね。

実際、このブログには、PC表示時に「検索」ボックスが表示されています。検索ボックスに入力される文字列は暗号化されないはずなので、ユーザーの入力情報は保護されていないことになります。

このあたりも、ぜひとも対応してくれたらうれしいなぁと思うわけです。


続きを読む
posted by ayacy at 00:00 | Comment(0) | TrackBack(0) | サイト運営

2017年09月29日

シマンテックのSSLサーバ証明書の信頼性とシマンテックの信頼性

GoogleがSymantecのSSL/TLS証明書を信用できないと提案した件、いよいよ本格的に動き出していて、各所のSSL証明書が無効化されてきているようです。

あまり証明書業界の話に詳しくなかったのでよく分かっていなかったのですが、Symantecがgoogle.com名義の証明書を127枚ほど不正に発行したとか、発行の手続きのルールがよろしくないとのことで、Symantecとその傘下の証明書を段階的に無効化していくことになったとか。

Symantecとその傘下で発行している証明書は世界中のけっこうなシェアを占めているようで、世界的にも混乱する出来事です。
Symantec社も最初は抗っていたものの、段階的な無効化に同意し、また、証明書の発行業務もDigiCertに引継ぎ、社員を大量に移行させ、さらにSymantecがDigiCertの株を大量に買うということで、落ち着いたとか。

業界内のきな臭い話と、大人同士の臭い話が色々と入り組んでいて気持ち悪いんですけどね。
INASOFTのサイトが置かれているさくらインターネットでも、証明書はSymantec傘下のものを使っているとのことで、証明書の本来の期限前でも証明書の再取得が必要になるとかで、多少の混乱はあるようです。

INASOFTでは、ダウンロードサイトとして、さくらインターネットの共有SSLを利用していますが、これも影響を受けるかはよくわかりません。
まぁ、共有SSLは、さくらインターネットの持ち物なので、僕がアレコレできる話でも無いんですけどね。

ここで気になるのが、Symantecの会社としての信頼性、セキュリティ企業としての信頼性はどうなるのか?という話。


続きを読む
posted by ayacy at 04:38 | Comment(0) | TrackBack(0) | サイト運営

2017年08月20日

ブログもSSL化しないと指導メールが飛んでくる時代らしい

Twitter上で何人かの方が話題にしていたのですが、(例えブログであっても)の一定の基準を満たすサイトがSSL化(https化)していないと、指導メールがGoogleから飛んでくるらしいというもの。

ブログは、記事検索のためのテキスト入力ボックスがあったり、コメントを記入するためにe-mailや名前を入力するためのテキスト入力ボックスがあったり・・・と、閲覧者からの発信が登場するシーンが多々あります。

一般のサイトよりも、ブログの方がhttps化すべき理由は、そんなところにあるんだろうと思います。

問題は、多くのブログは、外部提供されるソフトウェアで運営していたり、サーバのプロバイダが提供するシステムで運営しているなどして、サイト運営者が手を入れることが非常に難しいということ。

古くからWordpressで運営するサイトをhttps化するには?とか、「はてなダイアリー」や「さくらのブログ」で運営するサイトをhttps化するには?とか、ちょっと考えただけだと、どうしたらよいかよく分からないことも多いかと思います。

サーバのプロバイダが提供するシステムの場合、提供会社の方が重い腰を上げないとhttps化なんてできないこともあるでしょうし。

(ちょっとググれば方法は出てきますので、システム運営に詳しい人なら実施可能なものです。SSLの証明書の取得が優良なものだとあれとかこれとか色々ありますけど)

当サイトの場合、ダウンロード物件の入手URLとフィードバック受付URLのみhttps化し、他はhttpのままになっています。
ブログについても同様に、httpでの提供です。

https化にあたっては、さくらインターネットのサブドメインを利用する形態にしています。
以前は inasoft.org のアドレスのままでhttpsになるよう、StartSSLを利用して無償のSSL証明書を取得していましたが、StartSSLは信用性を失ってルート証明書が失効し、多くのブラウザでは警告が出る状態になっていると聞いたことがありますので、この方法のままではできないな、と。

他の無償のSSL証明書を取得するか、がんばって有料のを利用するかを考えないといけませんが、まぁ、今のところそこまで頭を悩ませるほどのものではないと考えているので、とりあえず現状維持にしたいです。

ブログについては、上記にあるとおりユーザーによるテキスト入力がありますので、頭を悩ませるほどのものかもしれません。
今のところ、当サイトのブログにはGoogleさんからご指導のメールは届いていませんが、上に書いてあるとおり、ブログは2019年3月末で終了予定ですので、例えご指導メールが届いても、無視して放置することになるかなぁと思います。


posted by ayacy at 00:00 | Comment(0) | TrackBack(0) | サイト運営