2018年08月 ［ アルツ君は職人 ］

こんばんは。

アルツ君の息子ヤッチです。

このブログをPC画面でご覧の方はお気づきかと思いますが、サイドバー（画面右横）に簡単なおみくじ（今日の運勢は？）を表示しています。

長いこと貼り付けたままだったので、新しいものと差し替えました。

大きなリニューアルとはなりませんが、すこしコメント数を増やし、毒舌の度合いも少しだけパワーアップしています。

また、スマホのページには、このおみくじが無かったので新たにスペースを設けましたので、ぜひ遊んでみてください。

お持ちの端末の画面をスクロールすると、Other Menuの中に「今日の運勢は？」という項目があるので、そこをタップしてください。
（注） 下の画像をタップしても「くじ」は引けません。

基本的に、くじは一日一回だけしか引くことはできませんので。







さて、今日はサイトの安全性の話題です。

先月あたりから作業を進め、ようやくこのブログを常時SSL化させることができました。

ご自身でブログを書いていらっしゃる方やホームページをお持ちの方は、『常時SSL化』と聞いて、すぐに何のことを言ってるか、おわかりになると思います。

しかも、「お前、今頃そんなことをやってるのかよ。ずいぶん遅れてるな～。」と言われそうな感じ。

ですが、普段PCやスマホなどでウェブサイトを閲覧するだけで、ウェブについての知識があまり無い方などは「こいついきなり何を語り始めたんだ？」と思っていらっしゃるのではないでしょうか。

ヤッチ自身もキノコさんが入院している間（2018年3月末）にスマホを購入したぐらいの人間ですから、詳しい知識を持ち合わせておりません。

なので、ここで難しいことをお話ししても説得力に欠けると思うので、素人なりのわかりやすい解説をしてみたいと思います。

ご覧の皆さんに今すぐ何かをしてもらわないといけないことではありませんが、これから先知っておいて損することではないので、少し最初だけ我慢してご覧いただければありがたいです。

今のうちにトイレに行きたい方はトイレに行っておいてください。

まず、『常時SSL化』とは何ぞや？

いやいや、最初から読む気をなくしますね。

こっちとしては、書き始めてしまいましたから、もう止めることはできません。

今一度、『常時SSL化』とは何ぞや？

山本譲二さんが機関車になるわけではありません。

高橋ジョージさんの服のサイズが変わるわけでもありません。

同じようなことを思った方は多分、ヤッチと前頭葉の発達レベルが一緒です。

『SSL』は、『Secure Sockets Layer』の略。

う～ん、余計なんだかわからなくなりますね。

『Secure』は日本語に直訳すると、『安全な』、『防御、保護する』という意味で、名詞に置き換えれば『security（セキュリティー）』。

ほんのちょっぴりわかったような、わからないような…。

『Sockets』は『ソケット』。

『Layer』は『層』とか、『膜』とかいう意味ですね。

やはりこれ以上深入りしても、解決しそうもないので掘り下げるのはやめましょう。

『常時SSL化』は『常時https化』と考えて下さい。

まだ、ピンと来ない方もいらっしゃると思いますが、そんなことがあるんだぐらいに今は考えておいてください。

『常時https化』とは、通信（接続）を暗号化し、安全性を高めることと申し上げたら、少しイメージしやすいかもしれません。

具体的には、ウェブページに今まで書かれていたhttpの記述をやめ、httpsに置き換えることになります。

今までヤッチのブログのURLはhttpから始まっていましたが、現在はhttpの後ろに『s』が付いています。



お使いのブラウザのアドレスバーで、今ご覧のページのURLを確認してみてください。

https:からURLが始まっていると思います。

あ、そうそう、もし古いhttpのURLでこのブログにアクセスしても、新しいhttpsから始まるURLに転送されることになっています。

どうしても気になる方は、もう一度ブックマークしなおすか、httpの後ろにsを付け加えて下さい。


このhttpの後ろについている『s』は、先ほど『常時SSL化』の中で出てきた『Secure（安全な）』の『s』です。

結局、ご覧の皆さんにとっては、このブログのURLがhttpからhttpsに変わったというだけのお話で、『今までより安全になりましたよ～』というものです。

『常時』については説明はいらないですよね。

『情事』ではないことは確かです。

このブログでいえば、特定の記事だけは安全で、別の記事は安全じゃないとなると、『常時』とはいえないわけで、『常時』の意味の中には『always 三丁目の夕日』だけでなく、『all』という意味も含まれていると思います。

『特定のページだけでなく、全ページをhttpsから始まる安全なページにしましたよ～』が今回の『常時SSL化』です。

じゃあ、『http』は何の略だかわかります？

もう、うんざりしてきますね。

『http』は『HyperText Transfer Protocol』で、『ハイパーテキスト トランスファー プロトコル』の略です。

もう、日本語訳をするのはやめにしましょうね。

『ハゲた 頭頂部に たっぷり ピクルス』ぐらいに覚えておきましょう。

今、このブログを皆さんがどんな端末でご覧になっているかわかりませんが、まずインターネットに接続できるソフト（ブラウザ）をお使いになっていると思います。

で、この『http』という、いわばおまじないのような言語を入力すると、ブラウザとサーバーが接続され、夢のような（？）仮想の世界が広がるわけです。

『http』は古めかしく申し上げるなら、『開けゴマ』と同じ意味合いです。

もう今や、ブックマークという便利な機能が有って、手入力で『h・t・t・p～』を打つなんていうことは皆無でしょうが、結構重要な役割を担っていたんですね。

で、こんな『開けゴマ』より短い『http』という呪文（じゅもん）を唱えるだけで、ネットの扉が開くというのに、どうも専門家に言わせると、このhttpという言語は直接的過ぎて、あまり安全ではないらしいのです。

奥さん連中が井戸端会議を開催中に、その中の一人が大きな声で、「あら、奥さん、今度旅行に行くんだって？どこ？いつから出かけるの？」的なものがhttpになるようです。

誰もいない空間ならまだしも、公園やファミレスなど、どんな人が潜んでいるかわからない空間で、大声でこう聞かれた日には、ちょっと迷惑になりますよね。

うっかり事細かに答えを返してしまえば、悪事を企んでいる輩に、旅行中、空き巣に入られてしまうかもしれません。

例えがよくなかったかもしれませんが、我々がブラウザを開いてウェブサイトを見た瞬間から双方で通信が行われるわけで、この通信（主に送信）を第三者に傍受されて悪用される可能性があるわけです。

『http』では、通信が直接的過ぎて、やり取りが筒抜けになってしまっている状態で、パスワードを入力すれば、そのパスワードは盗まれてしまうかもしれない危険な状態です。

ホームページが何者かによって書き換えらえたなんていうことを最近耳にしますが、ホームページの製作者しか知りえないパスワードを盗み取り、ページを改ざんしているのかもしれませんね。

そこで登場したのが、『https』ということになるのでしょうか。

『ハゲた 頭頂部に たっぷり ピクルス 擦り込む』です。

『https』は『http』と違って、直接的なものではなく、通信を暗号化する呪文です。

『https』で呪文を唱えると、第三者には通信の内容が分からないので、登録サイトに設定しているパスワードやその他の個人情報を盗まれる危険性が低くなるというのです。

このブログを含め、常時SSL化（https化）が完了しているサイトは、ウェブブラウザに『安全な接続』とか『保護された通信』といったように表示されます。

ブラウザによって、文言は変わって来るようですが、多くのブラウザで『安全』、『保護』、『信頼』みたいな用語を用いることが多いようです。

ほとんどのウェブブラウザでは、先ほどのアドレスバーの横に鍵マークが表示されます。

その鍵マークをクリックすると、接続が安全かどうか確認することができます。

下の画像はPC版Chromeとandroid版のChromeでこのブログを見た場合の画像です。

常時SSL化（https化）が成功し、接続（通信）が安全な場合は、以下のように表示されます。





常時SSL化（https化）されていない場合は、『保護されていない通信』という表示が出て、警告が出ます。

鍵マークも表示されません。

下の画像は、まだ常時SSL化されていない場合の表示です。



『保護された通信』とか『保護されていない通信』と言ってくるお前はいったい誰なんだ？とツッコミを入れたくなる話ですが、ちゃんと認証局なるものが有るようです。

https（保護された接続）を使用しているサイトにアクセスすると、ウェブサイトのサーバー（ヤッチの場合はFC2）はChrome 、インターネットエクスプローラ、Safariなどのブラウザに対し、証明書を使って本物のサイトであることを証明します。

『証明書があるから安全だよ。』とブラウザが教えてくれているんだと思います。

そうでないとすれば、教えてくれるのはSoftBankの窓口13番の白石麻衣似のかわいい店員さんです。

まあ、これについてまで、話を広げてしまうと、かなり難しい説明をしなくてはならなくてはならないので、端折らしていただきます。（いわゆる手抜きです。）

今このブログをご覧になられている方は、当然このブログだけでなくいろいろなウェブサイトをご覧になると思います。

その際に、ご自身の見ているページが安全かどうかを確認する一つの手段として、今説明したURLがhttpから始まっているか、httpsで始まっているかで判断できるようになるので、もしご存知なかった方は、これからは少しURLの確認を心がけてみてはいかがでしょうか。

そんなことをお前に言われなくたってもうやってるよと言われそう…。

このブログの場合、パスワードを要求するといっても、せいぜいコメントするときのコメント欄に任意でパスワードを入力するところがありますが、あくまで任意であって必須ではないので、『機密情報』をやりとりする場面は少ないんですけどね…。

あとは自分が記事を書いたり、修正するときに管理画面にログインするときでしょうか。

いずれにせよアマゾンとか楽天市場でネットショッピングするような場合は、やはり常時SSL化されたサイトでないと、個人情報を抜き取られてしまう可能性があるので、こういったサイトでは、常時SSL化はこれから必要不可欠になってくるかと。

未だに大手企業のホームページでもhttpから始まる常時SSL化していないサイトもたくさんあります。

ホームページをいじる余裕がないほど忙しい会社なのか、事務処理が膨大で中々常時SSL化に対応しきれないのか定かでありませんが、こういったサイトを訪れる際は、今お話しした内容を少しでも頭に入れておいたほうがよいのではないかと…。



さて、今までお話ししてきた内容は、閲覧者側からの視点です。

ご覧の方の中にはどうやったら自分のブログやホームページを常時SSL化できるのよという方もいらっしゃるはずです。

ホントに簡単な説明になってしまいますが、少しだけヤッチのやった方法をお披露目します。

ヤッチのブログはいわゆるレンタルブログで、FC2という会社のものです。

ある程度のフォーマットが用意されていて、HTMLやCSSの知識がなくても比較的誰でも始められるブログです。

このFC2ブログではどうやったら『常時SSL化』できるかを中心にお話ししたいと思います。

今一度整理しておくと、常時SSL化の目的は通信を暗号化することで第三者による盗聴やサイトの改ざんを防ぐことです。

主な作業は、2点だけです。



自身のブログのURLも変更になるので、サイト登録している、例えばブログランキングなどの登録情報の修正も必要になってきますが、常時SSL化した後に派生して必要となる作業なので、ここでの説明は省略させていただきます。

まず、『常時SSL化』と検索サイトで入力すると、たくさん解説しているサイトがヒットします。

そこに大抵書かれているのは、前準備として、



1については読んで字のごとくですが、2について例を挙げると、テンプレートの中にhttpから始まるURLを見つけたとします。

ヤッチのブログURLを例にしましょうか。

まだ常時SSL化する前のヤッチのブログのURLは以下の通りです。

http://alzheimers.blog.fc2.com/（絶対パス）
↓
これを書き換える
↓
//alzheimers.blog.fc2.com/（相対パス）

つまり、相対パスで書くというのはhttp:の部分を消して、//から始まるURLにするという意味です。

こうすることで、ブラウザが勝手にhttpかhttpsかを判断して、そのURLに飛んでくれるという記述です。

ヤッチも最初、これなら楽だと思い、2を採用し、やりました。

結果から先に申し上げると、上手く飛んでくれるところもあればダメなところもあって、結局、また元に戻し、一つ一つのURLを確認し、修正するというハメに。。。

二度手間です。

このブログ、記事数だけで500以上あるので、過去の記事を一つずつ開いて修正するだけでも大変です。

おまけに一つの記事が長い…。

「誰がこんな長い文章を書きやがったんだよ。」、「アメブロの芸能人のブログを見習えよ～。」、「ハゲなんだからよ…。」とブツクサ言いながらの作業です。

相対パスで記述し、常時SSL化に移行すると、FC2ブログの場合、//の前が、全部httpsから始まる記述に書き換わってしまうようなんです。

リンク先（飛び先）がまだhttpsのサイトではない場合、当然そこには飛べないので、エラー（404 NOT FOUND）が出て飛べません。

じゃあどうするか？

今考えると、あれこれ準備をする前に、FC2ブログの場合、先に［環境設定］で常時SSL化のボタンを押してしまい、それから、細かな修正を行うのがよいのではないかと思います。

あくまで経験からそう申し上げているのであって正当なやり方なのかはわかりません。

FC2ブログにログインしてまず管理画面を開きます。







ここで301と302の違いですが、301は恒久的な転送、302は一時的な転送。

古いhttpの住所のブログから、新しいhttpsの住所のブログにお引越しをすることになるので、郵便屋さんはもし古い住所に郵便物が届けられたときに、新しい住所に転送しなくてはなりません。

その際に旅行とか入院とかで一時的に家を空けてるだけで、また古巣に帰って来る可能性がある場合と、もう完全に引越ししてしまって、元の家には絶対に帰ってこない場合とがあると思います。

その郵便屋さんの処理方法をどうするかの選択が301と302ということになるんじゃないかと思います。

元のhttpのブログに戻る可能性がある場合は、302を選択し、もう戻る気がない場合は301。

郵便屋さんはGoogleやYahooなどの検索サイトと考えてよいかと思います。

ならば、まず302にしておいて、少し様子をみて新居が居心地がよいのなら、301に切り替えればいいんじゃないのというのがヤッチの考え方です。

301を最初から選択してはいけないということではありません。（現在、このブログは302から301に設定を変更しています。）

SSL設定の画面で「有効」を選択し、更新ボタンを押せば、その場でhttps:から始まるURLに切り替わります。

長い間FC2でブログを書いていらした方のブログのURLにはFC2固有のサーバー番号が付されていたと思いますが、このサーバー番号が無くなるので、URLの見栄えとしてはすごくシンプルなものとなると思います。

さあ、更新ボタンを押して、「保護された通信」、「安全な接続」とアドレスバーに表示されれば、常時SSL化は完了です。

更新ボタンを押す時は、けっこう、心臓がバクバクしますよ！

重要なことは上手くいくよう、思い切り念じることです。

さあ、ボタンを押してください！



ヤッチの場合は、更新ボタンを押す際の念じ方が少し足りなかったので、「保護された通信」とはなりませんでした。

ブログのテンプレートや記事の中のどこかにhttpが潜んでいる状態です。

httpとhttpsが同居している状態を『混在コンテンツ』と呼ぶらしいです。

httpをテンプレートや過去の記事から探し出し、httpsに書き換える地道な作業が始まります。

作業が少しでも楽になるように、この機会に省略できるものは省略しておいた方がよいと思います。

例えば、自分のブログのURLを「./」（半角ピリオドに半角スラッシュ）と省略することができます。

テンプレートだけでなく、記事にこう書いてもキチンと表示されます。

ブログの記事であれば、./blog-entry-568.htmlと入力すれば表示されます。

参考までにヤッチのブログの記事を

./blog-entry-568.html

と入力すると、

https://alzheimers.blog.fc2.com/blog-entry-568.html

と表示されます。



あと、FC2の無料プランをご利用中の場合、テンプレート内の

<%ad>
<%ad2>

の2つは、削除してしまうと、テンプレートを更新できなくなってしまいます。

いずれもFC2の広告です。

つまり、収入源を断たれては困るので、規約違反となり削除できません。

しかし、スマホのテンプレートの

<%ad_overlay>

については、何も記載が無いので、削除してかまわないと思います。

スマホ画面の下の方に表示され、いつまで経っても追いかけてくるあの広告です。

ヤッチもたしか削除しています。

念のため、規約が変更になって、元に戻さないといけないことも考慮し、テンプレートは複製しておいたほうが無難かもしれません。

話しが逸れてしまいましたが、常時SSL化を進める上で、何が何でもすべてhttpの部分をhttpsに書き換えなければいけないというわけではないようです。

これは後からわかったことですが…。

例えば、ブロ友のAさんがいて、自分のブログにリンクを貼って紹介していたとします。

サイドバーなどに「お気に入りリンク」と称して貼り付けている方も多いと思います。

たぶんHTMLタグは

<a href="http://～

から始まっているのではないかと思います。

Aさんのブログもまだ常時SSL化していなくて、httpから始まるURLだったりしたら、わざわざhttpsに書き換えたり、相対パスにして//から始まるURLにする必要はありません。

そのままでOKです。

aタグに関しては、多分書き換える必要はないかもしれないです。

素人感覚のイメージとしては自分（のブログ）から外部に飛んでいくようなHTMLタグにhttpが含まれていても混在コンテンツとはならず、外からもらってくるようなタグに関してはきびしく混在コンテンツを指摘されるような気がします。

例えば

src="http://www.example.com/～.js">

のような場合。

この場合は、httpだと混在コンテンツになる可能性大です。

src="//www.example.com/～.js">

と相対パスで記述してみるか、

src="https://www.example.com/～.js">

と、httpsを付けて読み込めるか確認します。

それでもダメな場合は、ソースをいったんダウンロードして、自分でアップロードしたものを読み込むしかないようです。

ただ、勝手にダウンロードして著作権を侵害してしまうケースもあるので、この辺が常時SSL化の一番難しい所じゃないでしょうか。

事実ヤッチの場合も、JavaScriptの外部ファイル（拡張子js）の記述の中にhttpが潜んでいました。

実際にはPCのコメント投稿欄に太字だとか、絵文字を挿入できる文字装飾のボタンがありますが、外部ファイル化されたJavaScriptを読み込んでいるものでした。

そのJavaScriptの記述の中にhttpが含まれていました。

なので、外部ファイルは削除し、新しいファイルを作ってアップロード。

これを読み込む形に変更しました。

たくさんリンクを貼っていないブログであれば、常時SSL化でつまずくのは、JavaScriptを直接テンプレートに記述するのではなく、外部ファイルとしてそれを読み込んでいる場合にhttpが潜んでいる可能性が大です。

常時SSL化すると、元々のhttpだった時のブログと新しいブログは別物と検索サイトは認識するようです。

旧ブログにアクセスすれば、新ブログに転送してくれるのに、やや矛盾を感じますが、そういったことでのデメリットも多少出てくると思います。

多くのサイトではSEO的によろしくないから、早く常時SSL化した方がよいなんてことを書いていますが、もちろん早くやるに越したことはないですけれども、慌ててやる必要もないのではないでしょうか。

ここまで書いておきながら、無責任でが、それがヤッチです。

細かいことを書きだすとキリがないのでこの辺にしておきますか～。

もしご不明な点があれば、お気軽にコメントして下さい。

わかる範囲でお答えします。

ちなみにスマホのフリック入力が満足にできないレベルですが、何か？


コメントする 2 件
ツイートする