ブログを常時SSL化しました ［ アルツ君は職人 ］

こんばんは。

アルツ君の息子ヤッチです。

このブログをPC画面でご覧の方は、お気づきかと思いますが、サイドバー（画面右横）に、簡単なおみくじ（今日の運勢は？）を表示しています。

長いこと貼り付けたままだったので、新しいものと差し替えました。

大きなリニューアルとはなりませんが、すこしコメント数を増やし、毒舌の度合いも、少しだけパワーアップしています。

また、スマホのページには、このおみくじが無かったので、新たにスペースを設けましたので、ぜひ遊んでみてください。

お持ちの端末の画面をスクロールすると、Other Menuの中に「今日の運勢は？」という項目があるので、そこをタップしてください。
（注） 下の画像をタップしても「くじ」は引けません。

基本的に、くじは一日一回だけしか、引くことはできませんので。







さて、今日は、サイトの安全性の話題です。

先月あたりから作業を進め、ようやく、このブログを常時SSL化させることができました。

ご自身でブログを書いていらっしゃる方やホームページをお持ちの方は、『常時SSL化』と聞いて、すぐに何のことを言ってるか、おわかりになると思います。

しかも、「お前、今頃そんなことをやってるのかよ。ずいぶん遅れてるな～。」と言われそうな感じ。

ですが、普段PCやスマホなどで、ウェブサイトを閲覧するだけで、ウェブについての知識があまり無い方などは、「こいつ、いきなり何を語り始めたんだ？」と思っていらっしゃるのではないでしょうか。

ヤッチ自身もキノコさんが入院している間（2018年3月末）に、スマホを購入したぐらいの人間ですから、詳しい知識を持ち合わせておりません。

なので、ここで難しいことをお話ししても、説得力に欠けると思うので、素人なりのわかりやすい解説をしてみたいと思います。

ご覧の皆さんに、今すぐ、何かをしてもらわないといけないことではありませんが、これから先、知っておいて損することではないので、少し、最初だけ我慢して、ご覧いただければありがたいです。

今のうちに、トイレに行きたい方は、トイレに行っておいてください。

まず、『常時SSL化』とは、何ぞや？

いやいや、最初から、読む気をなくしますね。

こっちとしては、書き始めてしまいましたから、もう止めることはできません。

今一度、『常時SSL化』とは、何ぞや？

山本譲二さんが、機関車になるわけではありません。

高橋ジョージさんの服のサイズが、変わるわけでもありません。

同じようなことを思った方は多分、ヤッチと前頭葉の発達レベルが一緒です。

『SSL』は、『Secure Sockets Layer』の略。

う～ん、余計、なんだかわからなくなりますね。

『Secure』は、日本語に直訳すると、『安全な』、『防御、保護する』という意味で、名詞に置き換えれば、『security（セキュリティー）』。

ほんのちょっぴりわかったような、わからないような…。

『Sockets』は、『ソケット』。

『Layer』は、『層』とか、『膜』とかいう意味ですね。

やはり、これ以上深入りしても、解決しそうもないので、掘り下げるのはやめましょう。

『常時SSL化』は、『常時https化』と、考えて下さい。

まだ、ピンと来ない方もいらっしゃると思いますが、そんなことがあるんだぐらいに、今は考えておいてください。

『常時https化』とは、通信（接続）を暗号化し、安全性を高めることと、申し上げたら、少し、イメージしやすいかもしれません。

具体的には、ウェブページに、今まで書かれていたhttpの記述をやめ、httpsに置き換えることになります。

今まで、ヤッチのブログのURLは、httpから始まっていましたが、現在はhttpの後ろに『s』が付いています。



お使いのブラウザのアドレスバーで、今ご覧のページのURLを確認してみてください。

https:からURLが始まっていると思います。

あ、そうそう、もし古いhttpのURLで、このブログにアクセスしても、新しいhttpsから始まるURLに転送されることになっています。

どうしても気になる方は、もう一度ブックマークしなおすか、httpの後ろにsを付け加えて下さい。


このhttpの後ろについている『s』は、先ほど『常時SSL化』の中で出てきた『Secure（安全な）』の『s』です。

結局、ご覧の皆さんにとっては、このブログのURLが、httpからhttpsに変わったというだけのお話で、『今までより安全になりましたよ～』というものです。

『常時』についての説明は、いらないですよね。

『情事』ではないことは確かです。

このブログでいえば、特定の記事だけは安全で、別の記事は安全じゃないとなると、『常時』とはいえないわけで、『常時』の意味の中には『always 三丁目の夕日』だけでなく、『all』という意味も含まれていると思います。

『特定のページだけでなく、全ページをhttpsから始まる安全なページにしましたよ～』が今回の『常時SSL化』です。

じゃあ、『http』は何の略か、わかります？

もう、うんざりしてきますね。

『http』は、『HyperText Transfer Protocol』で、『ハイパーテキスト トランスファー プロトコル』の略です。

もう、日本語訳をするのは、やめにしましょうね。

『ハゲた 頭頂部に たっぷり ピクルス』ぐらいに覚えておきましょう。

今、このブログを皆さんが、どんな端末で、ご覧になっているかわかりませんが、まずインターネットに接続できるソフト（ブラウザ）をお使いになっていると思います。

で、この『http』という、いわば、おまじないのような言語を入力すると、ブラウザとサーバーが接続され、夢のような（？）仮想の世界が広がるわけです。

『http』は、古めかしく申し上げるなら、『開けゴマ』と同じ意味合いです。

もう今や、ブックマークという便利な機能が有って、手入力で、『h・t・t・p～』を打つなんていうことは、皆無でしょうが、結構重要な役割を担っていたんですね。

で、こんな『開けゴマ』より短い『http』という呪文（じゅもん）を唱えるだけで、ネットの扉が開くというのに、どうも専門家に言わせると、このhttpという言語は、直接的過ぎて、あまり安全ではないらしいのです。

奥さん連中が、井戸端会議を開催中に、その中の一人が大きな声で、「あら、奥さん、今度旅行に行くんだって？どこ？いつから出かけるの？」的なものがhttpになるようです。

誰もいない空間ならまだしも、公園やファミレスなど、どんな人が潜んでいるかわからない空間で、大声でこう言われた日には、ちょっと迷惑になりますよね。

うっかり事細かに答えを返してしまえば、悪事を企んでいる輩に、旅行中、空き巣に入られてしまうかもしれません。

例えがよくなかったかもしれませんが、我々がブラウザを開いて、ウェブサイトを見た瞬間から、双方で通信が行われるわけで、この通信（主に送信）を第三者に傍受されて、悪用される可能性があるわけです。

『http』では、通信が直接的過ぎて、やり取りが筒抜けになってしまっている状態で、パスワードを入力すれば、そのパスワードは盗まれてしまうかもしれない危険な状態です。

ホームページが、何者かによって書き換えらえたなんていうことを最近耳にしますが、ホームページの製作者しか知りえないパスワードを盗み取り、ページを改ざんしているのかもしれませんね。

そこで登場したのが、『https』ということになるのでしょうか。

『ハゲた 頭頂部に たっぷり ピクルス 擦り込む』です。

『https』は、『http』と違って、直接的なものではなく、通信を暗号化する呪文です。

『https』で呪文を唱えると、第三者には通信の内容が分からないので、登録サイトに設定しているパスワードやその他の個人情報を盗まれる危険性が低くなるというのです。

このブログを含め、常時SSL化（https化）が完了しているサイトは、ウェブブラウザに『安全な接続』とか『保護された通信』といったように表示されます。

ブラウザによって、文言は変わって来るようですが、多くのブラウザで、『安全』、『保護』、『信頼』みたいな用語を用いることが多いようです。

ほとんどのウェブブラウザでは、先ほどのアドレスバーの横に、鍵マークが表示されます。

その鍵マークをクリックすると、接続が安全かどうか、確認することができます。

下の画像は、PC版Chromeと、android版のChromeでこのブログを見た場合の画像です。

常時SSL化（https化）が成功し、接続（通信）が安全な場合は、以下のように表示されます。





常時SSL化（https化）されていない場合は、『保護されていない通信』という表示が出て、警告が出ます。

鍵マークも表示されません。

下の画像は、まだ常時SSL化されていない場合の表示です。



『保護された通信』とか、『保護されていない通信』とか言ってくるお前は、いったい誰なんだ？と、ツッコミを入れたくなる話ですが、ちゃんと認証局なるものが有るようです。

https（保護された接続）を使用しているサイトにアクセスすると、ウェブサイトのサーバー（ヤッチの場合はFC2）は、Chrome 、インターネットエクスプローラ、Safariなどのブラウザに対し、証明書を使って本物のサイトであることを証明します。

『証明書があるから安全だよ。』とブラウザが、教えてくれているんだと思います。

そうでないとすれば、教えてくれるのはSoftBankの窓口13番の白石麻衣似のかわいい店員さんです。

まあ、これについてまで、話を広げてしまうと、かなり難しい説明をしなくてはならなくてはならないので、端折らしていただきます。（いわゆる手抜きです。）

今、このブログをご覧になられている方は、当然このブログだけでなく、いろいろなウェブサイトをご覧になると思います。

その際に、ご自身の見ているページが安全かどうかを確認する一つの手段として、今説明したURLがhttpから始まっているか、httpsで始まっているかで、安全かどうかを判断できるようになるので、ご存知なかった方は、これからは、少し、URLの確認を心がけてみてはいかがでしょうか。

そんなことをお前に言われなくたって、もうやってるよと言われそう…。

このブログの場合、パスワードを要求するといっても、せいぜいコメントするときのコメント欄に、任意でパスワードを入力するところくらい…。

あくまで任意であって、必須ではないので、『機密情報』をやりとりする場面は、少ないんですけどね…。

あとは、自分が記事を書いたり、修正したりするとき、管理画面にログインするときでしょうか。

たとえ、入力箇所が少なくても、盗むほうは、その隙を狙っているわけですから、危険なのは確かです。

いずれにせよ、アマゾンとか、楽天市場とかでネットショッピングするような場合は、やはり、常時SSL化されたサイトでないと、個人情報を抜き取られてしまう可能性があるので、こういったサイトでは、常時SSL化はこれから必要不可欠になってくるかと…。

未だに、大手企業のホームページでも、httpから始まる常時SSL化していないサイトもたくさんあります。

ホームページをいじる余裕がないほど忙しい会社なのか、事務処理が膨大で、中々常時SSL化に対応しきれないのか、定かでありませんが、こういったサイトを訪れる際は、今お話しした内容を少しでも頭に入れておいたほうが、よいのではないかと…。



さて、今までお話ししてきた内容は、閲覧者側からの視点です。

ご覧の方の中には、どうやったら、自分のブログやホームページを常時SSL化できるのよと、思っている方もいらっしゃるはずです。

ホントに簡単な説明になってしまいますが、少しだけ、ヤッチのやった方法をお披露目します。

ヤッチのブログは、いわゆるレンタルブログで、FC2という会社のものです。

ある程度のフォーマットが用意されていて、HTMLやCSSの知識がなくても、比較的誰でも始められるブログです。

このFC2ブログでは、どうやったら、『常時SSL化』できるかを中心にお話ししたいと思います。

今一度整理しておくと、常時SSL化の目的は通信を暗号化することで、第三者による盗聴やサイトの改ざんを防ぐことです。

主な作業は、2点だけです。



自身のブログのURLも変更になるので、サイト登録している、例えばブログランキングなどの登録情報の修正も必要になってきますが、常時SSL化した後に派生して必要となる作業なので、ここでの説明は省略させていただきます。

まず、『常時SSL化』と検索サイトで入力すると、たくさん解説しているサイトがヒットします。

そこに大抵書かれているのは、前準備として、



1については読んで字のごとくですが、2について例を挙げると、テンプレートの中にhttpから始まるURLを見つけたとします。

ヤッチのブログURLを例にしましょうか。

まだ常時SSL化する前のヤッチのブログのURLは以下の通りです。

http://alzheimers.blog.fc2.com/（絶対パス）
↓
これを書き換える
↓
//alzheimers.blog.fc2.com/（相対パス）

つまり、相対パスで書くというのはhttp:の部分を消して、//から始まるURLにするという意味です。

こうすることで、ブラウザが勝手にhttpかhttpsかを判断して、そのURLに飛んでくれるという記述です。

ヤッチも最初、これなら楽だと思い、2を採用し、やりました。

結果から先に申し上げると、上手く飛んでくれるところもあればダメなところもあって、結局、また元に戻し、一つ一つのURLを確認し、修正するというハメに。。。

二度手間です。

このブログ、記事数だけで500以上あるので、過去の記事を一つずつ開いて、修正するだけでも大変です。

おまけに、一つの記事が長い…。

「誰がこんな長い文章を書きやがったんだよ。」、「アメブロの芸能人のブログを見習えよ～。」、「ハゲなんだからよ…。」と、ブツクサ言いながらの作業です。

相対パスで記述し、常時SSL化に移行すると、FC2ブログの場合、//の前が、全部httpsから始まる記述に、書き換わってしまうようなんです。

リンク先（飛び先）が、まだhttpsのサイトではない場合、当然そこには飛べないので、エラー（404 NOT FOUND）が出て、飛べません。

じゃあ、どうするか？

今考えると、あれこれ準備をする前に、FC2ブログの場合、先に［環境設定］で、常時SSL化のボタンを押してしまい、それから、細かな修正を行うのがよいのではないかと思います。

あくまで経験から、そう申し上げているのであって、正当なやり方なのかは、わかりません。

FC2ブログにログインして、まず、管理画面を開きます。







ここで、301と302の違いですが、301は恒久的な転送、302は一時的な転送。

古いhttpの住所のブログから、新しいhttpsの住所のブログにお引越しをすることになるので、郵便屋さんは、もし古い住所に郵便物が届けられたときに、新しい住所に転送しなくてはなりません。

その際に、旅行とか入院とかで、一時的に家を空けてるだけで、また古巣に帰って来る可能性がある場合と、もう完全に引越ししてしまって、元の家には絶対に帰ってこない場合とがあると思います。

その郵便屋さんの処理方法をどうするかの選択が、301と302ということになるんじゃないかと思います。

元のhttpのブログに戻る可能性がある場合は、302を選択し、もう戻る気がない場合は301。

郵便屋さんはGoogleやYahooなどの検索サイトと考えてよいかと思います。

ならば、まず302にしておいて、少し様子をみて、新居の居心地がよいのなら、301に切り替えればいいんじゃないのというのがヤッチの考え方です。

301を最初から選択してはいけないということではありません。（現在、このブログは302から301に設定を変更しています。）

SSL設定の画面で「有効」を選択し、更新ボタンを押せば、その場でhttps:から始まるURLに切り替わります。

長い間、FC2でブログを書いていらした方のブログのURLには、FC2固有のサーバー番号が付されていたと思いますが、このサーバー番号が無くなるので、URLの見栄えとしては、すごく、シンプルなものとなると思います。

さあ、更新ボタンを押して、「保護された通信」、「安全な接続」と、アドレスバーに表示されれば、常時SSL化は完了です。

更新ボタンを押す時は、けっこう、心臓がバクバクしますよ！

重要なことは、上手くいくよう、思い切り念じることです。

さあ、ボタンを押してください！



ヤッチの場合は、更新ボタンを押す際の念じ方が少し足りなかったので、「保護された通信」とはなりませんでした。

ブログのテンプレートや記事の中のどこかに、httpが潜んでいる状態です。

httpとhttpsが同居している状態を『混在コンテンツ』と呼ぶらしいです。

httpをテンプレートや過去の記事から探し出し、httpsに書き換える地道な作業をしなくてはなりませんでした。

作業が少しでも楽になるように、この機会に省略できるものは省略しておいた方がよいと思います。

例えば、自分のブログのURLを「./」（半角ピリオドに半角スラッシュ）と省略することができます。

テンプレートだけでなく、記事に、こう書いても、キチンと表示されます。

ブログの記事であれば、./blog-entry-568.htmlと入力すれば表示されます。

参考までにヤッチのブログの記事を

./blog-entry-568.html

と入力すると、

https://alzheimers.blog.fc2.com/blog-entry-568.html

と表示されます。



あと、FC2の無料プランをご利用中の場合、テンプレート内の

<%ad>
<%ad2>

の2つは、削除してしまうと、テンプレートを更新できなくなってしまいます。

いずれもFC2の広告です。

つまり、収入源を断たれては困るので、規約違反となり、削除できません。

しかし、スマホのテンプレートの

<%ad_overlay>

については、何も記載が無いので、削除しても、かまわないと思います。

スマホ画面の下の方に表示され、いつまで経っても、追いかけてくるあの広告です。

ヤッチも、たしか、削除しています。

念のため、規約が変更になって、元に戻さないといけないことも考慮し、テンプレートを複製してから、作業に取り掛かるほうが無難かもしれません。

話しが逸れてしまいましたが、常時SSL化を進める上で、何が何でも、すべてhttpの部分をhttpsに書き換えなければいけないというわけではないようです。

これは、後から、わかったことですが…。

例えば、ブロ友のAさんがいて、自分のブログにリンクを貼って、紹介していたとします。

サイドバーなどに「お気に入りリンク」と称して、貼り付けている方も多いと思います。

たぶんHTMLタグは

<a href="http://～

から始まっているのではないかと思います。

Aさんのブログも、まだ常時SSL化していなくて、httpから始まるURLだったりしたら、わざわざhttpsに書き換えたり、相対パスにして//から始まるURLにする必要はありません。

そのままでOKです。

aタグに関しては、多分、書き換える必要はないかもしれません。

素人感覚のイメージとしては、自分（のブログ）から外部に飛んでいくようなHTMLタグにhttpが含まれていても、混在コンテンツとはならず、外からもらってくるようなタグに関しては、きびしく混在コンテンツを指摘されるような気がします。

例えば

src="http://www.example.com/～.js">

のような場合。

この場合は、httpだと混在コンテンツになる可能性大です。

src="//www.example.com/～.js">

と相対パスで記述してみるか、

src="https://www.example.com/～.js">

と、httpsを付けて読み込めるか、確認します。

それでもダメな場合は、ソースをいったんダウンロードして、自分でアップロードしたものを読み込むしかないようです。

ただ、勝手にダウンロードして、著作権を侵害してしまうケースもあるので、この辺が常時SSL化の一番難しい所じゃないでしょうか。

事実、ヤッチの場合も、JavaScriptの外部ファイル（拡張子js）の記述の中に、httpが潜んでいました。

実際にはPCのコメント投稿欄に太字だとか、絵文字を挿入できる文字装飾のボタンがありますが、外部ファイル化されたJavaScriptを読み込んでいるものでした。

そのJavaScriptの記述の中に、httpが含まれていました。

なので、外部ファイルは削除し、新しいファイルを作ってアップロード。

これを読み込む形に変更しました。

たくさんリンクを貼っていないブログであれば、常時SSL化でつまずくのは、JavaScriptを直接テンプレートに記述するのではなく、外部ファイルとしてそれを読み込んでいる場合に、httpが潜んでいる可能性が大です。

常時SSL化すると、元々のhttpだった時のブログと、新しいブログは、別物と検索サイトは認識するようです。

旧ブログにアクセスすれば、新ブログに転送してくれるのに、やや矛盾を感じますが、そういったことでのデメリットも多少出てくると思います。

多くの常時SSL化を解説しているサイトでは、SEO的によろしくないから、早く常時SSL化した方がよいなんてことを書いていますが、もちろん早くやるに越したことはないですけれども、慌ててやる必要もないのではないでしょうか。

ここまで書いておきながら、無責任でが、それがヤッチです。

細かいことを書きだすとキリがないのでこの辺にしておきますか～。

もしご不明な点があれば、お気軽にコメントして下さい。

わかる範囲で、お答えします。

ちなみに、スマホのフリック入力が、満足にできないレベルですが、何か？


コメント 2 件
ツイートする