このページについて

ぼくんちのTV別館 を常時SSL化 (HTTPS化) しましたので、そのお知らせ更新です。ちょっと頑張って SSL Labs の「脆弱性診断」で「A+」判定がもらえる所までセキュリティレベルを上げてみました。

 プライバシーポリシー / 免責事項

ぼくんちのTV別館、常時SSL化 (HTTPS化)後のアドレスバー

表題通り、ぼくんちのTV別館 を常時SSL化 (HTTPS化) しましたので、そのお知らせ更新です。

今後とも、ぼくんちのTV別館をよろしくお願いいたします。

はじめに: お詫び

2017年8月7日 深夜 3:00に常時SSL化を開始しましたが、その後 早朝 4:00 ~ 5:10にかけ、サーバーの設定ミスにより、多くの環境で「ぼくんちのTV別館に接続できない状況」が発生しました。現在は復旧しています。

該当する時間にアクセスいただいた方、申し訳ありませんでした。

かなりセキュリティを上げてみました

ちょっと頑張って SSL Labs の「脆弱性診断」で「A+」判定がもらえる所までセキュリティレベルを上げてみました。
HTTPSの脆弱性診断結果
▲クリックで拡大
・暗号強度の高い接続方法を優先し、
・脆弱性のある接続は完全に否定するようにし、
・かつ、なるべく多くのブラウザに対応させ、
・HSTSを有効にする
というのが高判定を貰うコツみたいです。

セキュリティが上がった事による弊害

ぼくんちのTV別館では、常時SSL化のあとは以下のような問題が発生します。

閲覧時に障害が発生するおもな環境

お手数をおかけしますが、これはセキュリティを強化したための仕様となります。新しいブラウザやアプリでの閲覧をお願いします。

スポンサー リンク

証明書の発行について

SSL証明書は、Let's Encrypt を利用して発行しました。

SSL証明書の発行やサーバーのSSL化は、後日併設ブログ「ぼくんちのバックステージ」でメモ書きレベルのものを公開する予定です。

期待していた HTTP/2 接続は・・・・できなかったorz

実は個人的には、サイトを「HTTPS 化」した際、同時に「HTTP/2化」できる事が密かなモチベーションとなっていました。しかし2017年8月時点では、標準的な nginx がインストールされたサーバーでは「ごく一部のブラウザしかHTTP/2化できない」ようです。。。

個人的メモ

  • 最新の Chrome や Firefoxで「HTTP/2接続」するには サーバーのALPN 対応が必要。
  • 「ALPN 対応」するには openssl 1.02 以降が必要。
     (標準的なインストールをしたnginx の場合 openssl は v1.01e)
  • 2016年頃までは openssl 1.01e の NPN 接続でもHTTP/2化できていたらしい。
  • opensslのバージョンアップをしようと思ったが、これが想像以上に面倒くさかった

ぼくんちのTV別館の HTTP/2化は、この先の楽しみに取っておくことにします。残念です....。

その他

「HTTPS 化のメリット」として、以下のような情報があります。

  • 「SEO的に多少は有利になる」
  • 「HTTPS 化 したサイトは優先的にインデックスする」

これに対する個人的な見解は以下。

  • 「SEO的に多少は有利になる」
    この情報はよく耳にするのだけれど、実はあんまりアテにはしていない。順位の変動は本当に微々たるものだと思っている。
  • 「HTTPS 化 したサイトは優先的にインデックスする」
    この話はガチだと思っている。
    • 2016年春~夏頃まで、このサイトは新規記事公開後、ほんの1~2分でGoogleにインデックスされていました。
    • その後、次第にインデックスされる速度は遅くなり、最近は新規記事公開から1~2時間 経たなければGoogleにインデックスされない状況になっています。
    • このサイトはニュースサイトのように最新情報を扱うサイトではないので、普段はあんまり弊害は感じません。しかし「月例Windows Updateの情報ページ」を公開した時だけは別。この時だけは、毎月インデックスの遅さにヤキモキしています(^_^;

とりあえず、「HTTPS 化 したサイトは優先的にインデックスする」には期待をしています。というか、苦労してSSL化したのに、HTTP/2化に失敗した上、ここでも効果が出なかったらマジでガックシ来てしまうので、期待しています。

苦労した事

ぼくんちのTV別館はサーバー3台、サブドメイン5つで運営しています。

サブドメイン5つのうち一つでもSSLが有効になっていない場合は「安全でない通信」と見なされてしまうため、全てのサブドメイン (というかサーバー) でSSL証明書の発行が必要になります。

有料のSSL証明書を発行しようと思うと費用が高すぎ、また無料&自力でSSL化する場合も労力が通常サイトの倍以上かかります。調べれば調べるほど 億劫になっていき、ここまで腰が上がりませんでした。

始める前から面倒だなあとは思っていましたが、実際に作業してみても最初の想像通り、というか想像以上に面倒でした(^_^;

  • ちなみに ぼくんちのTVにはサブドメイン10個あります・・・・他のサイトまでSSL化するのはかなり後になりそう。
  • 現在、サーバーログを見るとリダイレクト処理で溢れかえっており、頭を抱えています(^_^;
  • 8~9年前に複数ドメイン化した事を今更ながら後悔しましたw

今回の更新はここまでです。

あとがき

実はこの「常時SSL化」に対しては、「いつかやらないといけないなぁ」という気持ちはあったものの、「検索窓と (現在停止中の) コメント欄以外に情報入力する箇所のないWebサイトでは常時SSL化は不要じゃん?」という考えも強く、(あと前述の複数ドメインで証明書を取得する必要もあり) Google Chrome や Firefoxが「http1.1接続」を本格的に「安全でないサイトと警告を出す」まで、HTTPS化は引き延ばすつもりでいました。

※関連情報

Google Chrome、HTTPページに対する警告を強化 - ITmedia エンタープライズ

予定では 2017年10月、Chrome 62安定版から HTTP接続を使ったWebサイトに対する警告をさらに強化するようです。つまりあと2か月後。

そしてさらに

インターネット上での誰にも知られたくない「秘密の行動」は実は簡単にバレる - GIGAZINE

2017年8月に入ってから上記のような情報を読み、「ああ、通信の秘密はできるだけ最大限にしておいた方が良いのだなあ・・・・」と改めて実感し、ようやくこのサイトの常時SSL化に着手した次第です。