無料でできるのか、WEBサイトのSSL化
- (2018-04-17 16:52:33)
Google主導のSSL化トレンド
SSL化していないサイトは「安全でない」というイメージを世界中に啓蒙中のGoogleだが、今後、彼らのChromeブラウザでは「安全でない」という表現から「危険」という一段階強い表現とイメージに変更していくそうだ。
ブラウザに「このサイトは危険ですよ」と表示されるようになれば、打撃も大きいだろう。
SSL化しないと、何がどう危険か、意見が分かれるところだが、ネット皇帝様の仰せ付けには従わないわけにはいかない、近々やるかと考えたのは2年くらい前か。
そろそろ年貢の納め時と感じ始めたこの頃、たまたまロリポップの管理画面に入ると「独自SSL(無料)」というメニューが追加されていた。
SSL化が無料でできるらしい。以前なら、デジタル証明書の取得と維持費は年間最低5万が相場だったが、いつのまにか無料となっていた。渡りに船とはこのことだ。
Let's Encrypt という団体
ロリポップが証明書を無料配布するのではなく、NPO的なLet's Encryptという団体が、なんらかの目的で世界中の独自ドメインのwebオーナーに対して無料で証明書を発行してくれているようだ。
目的や背景はわからない。ただただ、驚く。アメリカ人(かどうか不明だが、とにかく日本人でない人々)は何をやるにしても構想が大きい。なんでこう凄いことが軽々とやれてしまうのか、ただただ驚くのみ。
非SSLサイトとSSLサイトの並列状態
Let's Encrypt のことは別途、他の機会に調べるとして、とりあえず、テストで一部のサイトをSSL化してみると、数分でSSL化は完了した。
この時点で、非SSLサイトとSSLサイトの並列状態となっている。
いきなりSSLサイトのみにすれば、既存のリンクはリンク切れになるわけで、SSLサイトへの完全移行にはなんらかの正しい手続きが必要と思われるが、今日のところは並列にて。
SSL化しても"安全でない"表示
テストとして「http://」に代えて「https://」でアクセスしてみた。
ブラウザによって違うが、だいたいのブラウザはSSLサイトにで「鍵マーク」がでてくるものだが、警告が出てきた。
・Chrome:「このページは承認されていないソースからのスクリプトを読み込もうとしています」
・Vivaldi:「認証されていない取得元からのコンテンツがブロックされました」
なんじゃこれ?
「http://」なら出てこない警告だけに、むしろ、悪化である。htmlファイル内に「http://」からはじまるリンクが記載されていることが原因らしい。
これだけの話かどうかわからないが、とりあえず、ファイル内の「http」をすべて「https」に書き換えると警告は消えた。
これでいいのかな?