表題通り、ぼくんちのTV別館 を常時SSL化 (HTTPS化) しましたので、そのお知らせ更新です。
- ぼくんちのTV別館を閲覧する時の通信はすべて暗号化され、閲覧ユーザーは安全に通信できるようになりました。
- またこのサイト自体も、悪意のある第三者による「なりすまし」を防止できるようになり、安心してサイトを利用できるようになりました。
- 古いブラウザを使っている場合、証明書関連のエラーが表示されるケースがあります。可能な限り新しい環境で閲覧して下さい。
今後とも、ぼくんちのTV別館をよろしくお願いいたします。
はじめに: お詫び
2017年8月7日 深夜 3:00に常時SSL化を開始しましたが、その後 早朝 4:00 ~ 5:10にかけ、サーバーの設定ミスにより、多くの環境で「ぼくんちのTV別館に接続できない状況」が発生しました。現在は復旧しています。
該当する時間にアクセスいただいた方、申し訳ありませんでした。
かなりセキュリティを上げてみました
ちょっと頑張って SSL Labs の「脆弱性診断」で「A+」判定がもらえる所までセキュリティレベルを上げてみました。
▲クリックで拡大
・暗号強度の高い接続方法を優先し、
・脆弱性のある接続は完全に否定するようにし、
・かつ、なるべく多くのブラウザに対応させ、
・HSTSを有効にする
というのが高判定を貰うコツみたいです。
セキュリティが上がった事による弊害
ぼくんちのTV別館では、常時SSL化のあとは以下のような問題が発生します。
閲覧時に障害が発生するおもな環境
- XP + IE 6 や ガラケー
アクセスはできなくなりました。 - Java SE 6 を利用したアプリケーション
こちらもアクセスできなくなりました。 - XP + IE 8 など古いブライザ
新しい証明書に対応できていないため、(証明書が古いという) 警告ダイアログが表示されたり、接続が確立できない旨のメッセージが表示されます。 - IE 8 のお気に入り
お気に入りなどのブックマークは登録をやり直さなければ、広告枠など一部の script が正常に作動しなくなる場合があります。 - CGI / perl の「LWP::UserAgent」など
利用しているサーバーに LWP::Protocol::https など https対応モジュールのインストールが必要になります。
お手数をおかけしますが、これはセキュリティを強化したための仕様となります。新しいブラウザやアプリでの閲覧をお願いします。
証明書の発行について
SSL証明書は、Let's Encrypt を利用して発行しました。
SSL証明書の発行やサーバーのSSL化は、後日併設ブログ「ぼくんちのバックステージ」でメモ書きレベルのものを公開する予定です。
期待していた HTTP/2 接続は・・・・できなかったorz
実は個人的には、サイトを「HTTPS 化」した際、同時に「HTTP/2化」できる事が密かなモチベーションとなっていました。しかし2017年8月時点では、標準的な nginx がインストールされたサーバーでは「ごく一部のブラウザしかHTTP/2化できない」ようです。。。
個人的メモ
- 最新の Chrome や Firefoxで「HTTP/2接続」するには サーバーのALPN 対応が必要。
- 「ALPN 対応」するには openssl 1.02 以降が必要。
(標準的なインストールをしたnginx の場合 openssl は v1.01e) - 2016年頃までは openssl 1.01e の NPN 接続でもHTTP/2化できていたらしい。
- opensslのバージョンアップをしようと思ったが、これが想像以上に面倒くさかった
ぼくんちのTV別館の HTTP/2化は、この先の楽しみに取っておくことにします。残念です....。
その他
「HTTPS 化のメリット」として、以下のような情報があります。
- 「SEO的に多少は有利になる」
- 「HTTPS 化 したサイトは優先的にインデックスする」
これに対する個人的な見解は以下。
- 「SEO的に多少は有利になる」
この情報はよく耳にするのだけれど、実はあんまりアテにはしていない。順位の変動は本当に微々たるものだと思っている。 - 「HTTPS 化 したサイトは優先的にインデックスする」
この話はガチだと思っている。
- 2016年春~夏頃まで、このサイトは新規記事公開後、ほんの1~2分でGoogleにインデックスされていました。
- その後、次第にインデックスされる速度は遅くなり、最近は新規記事公開から1~2時間 経たなければGoogleにインデックスされない状況になっています。
- このサイトはニュースサイトのように最新情報を扱うサイトではないので、普段はあんまり弊害は感じません。しかし「月例Windows Updateの情報ページ」を公開した時だけは別。この時だけは、毎月インデックスの遅さにヤキモキしています(^_^;
とりあえず、「HTTPS 化 したサイトは優先的にインデックスする」には期待をしています。というか、苦労してSSL化したのに、HTTP/2化に失敗した上、ここでも効果が出なかったらマジでガックシ来てしまうので、期待しています。
苦労した事
ぼくんちのTV別館はサーバー3台、サブドメイン5つで運営しています。
サブドメイン5つのうち一つでもSSLが有効になっていない場合は「安全でない通信」と見なされてしまうため、全てのサブドメイン (というかサーバー) でSSL証明書の発行が必要になります。
有料のSSL証明書を発行しようと思うと費用が高すぎ、また無料&自力でSSL化する場合も労力が通常サイトの倍以上かかります。調べれば調べるほど 億劫になっていき、ここまで腰が上がりませんでした。
始める前から面倒だなあとは思っていましたが、実際に作業してみても最初の想像通り、というか想像以上に面倒でした(^_^;
- ちなみに ぼくんちのTVにはサブドメイン10個あります・・・・他のサイトまでSSL化するのはかなり後になりそう。
- 現在、サーバーログを見るとリダイレクト処理で溢れかえっており、頭を抱えています(^_^;
- 8~9年前に複数ドメイン化した事を今更ながら後悔しましたw
今回の更新はここまでです。
あとがき
実はこの「常時SSL化」に対しては、「いつかやらないといけないなぁ」という気持ちはあったものの、「検索窓と (現在停止中の) コメント欄以外に情報入力する箇所のないWebサイトでは常時SSL化は不要じゃん?」という考えも強く、(あと前述の複数ドメインで証明書を取得する必要もあり) Google Chrome や Firefoxが「http1.1接続」を本格的に「安全でないサイトと警告を出す」まで、HTTPS化は引き延ばすつもりでいました。
※関連情報
Google Chrome、HTTPページに対する警告を強化 - ITmedia エンタープライズ
予定では 2017年10月、Chrome 62安定版から HTTP接続を使ったWebサイトに対する警告をさらに強化するようです。つまりあと2か月後。
そしてさらに
インターネット上での誰にも知られたくない「秘密の行動」は実は簡単にバレる - GIGAZINE
2017年8月に入ってから上記のような情報を読み、「ああ、通信の秘密はできるだけ最大限にしておいた方が良いのだなあ・・・・」と改めて実感し、ようやくこのサイトの常時SSL化に着手した次第です。