無料でできるのか、WEBサイトのSSL化
- (2018-04-17 16:52:33)
Google主導のSSL化トレンド
SSL化していないサイトは、「安全でない」というイメージを世界中に啓蒙中のGoogleだが、今後、彼らのChromeブラウザでは「安全でない」という表現から「危険」という一段階強い表現とイメージに変更していくそうだ。
ブラウザに「このサイトは危険ですよ」と表示されるようになれば、打撃も大きいだろう。
SSL化しないと、何がどう危険か、意見が分かれるところだが、ネット皇帝様の仰せ付けには従わないわけにはいかない、近々やるかと考えたのは、2年くらい前か。
そろそろ年貢の納め時と感じ始めたこの頃、たまたまロリポップの管理画面に入ると「独自SSL(無料)」というメニューが追加されていた。
SSL化が無料でできるらしい。以前なら、デジタル証明書の取得と維持費は、年間最低5万が相場だったが、いつのまにか無料となっていた。渡りに船とはこのことだ。
Let's Encrypt という団体
ロリポップが証明書を無料配布するのではなく、NPO的なLet's Encryptという団体が、なんらかの目的で世界中の独自ドメインのwebオーナーに対して無料で証明書を発行してくれているようだ。
目的や背景はわからない。ただただ、驚く。アメリカ人(かどうか不明だが、とにかく日本人でない人々)は、何をやるにしても構想が大きい。なんでこう凄いことが軽々とやれてしまうのか、ただただ驚くのみ。
非SSLサイトとSSLサイトの並列状態
Let's Encrypt のことは、別途、他の機会に調べるとして、とりあえず、テストで一部のサイトをSSL化してみると、数分でSSL化は完了した。
この時点で、非SSLサイトとSSLサイトの並列状態となっている。
いきなりSSLサイトのみにすれば、既存のリンクはリンク切れになるわけで、SSLサイトへの完全移行には、なんらかの正しい手続きが必要と思われるが、今日のところは並列にて。
SSL化しても"安全でない"表示
テストとして「http://」に代えて「https://」でアクセスしてみた。
ブラウザによって違うが、だいたいのブラウザは、SSLサイトにで「鍵マーク」がでてくるものだが、警告が出てきた。
・Chrome:「このページは承認されていないソースからのスクリプトを読み込もうとしています」
・Vivaldi:「認証されていない取得元からのコンテンツがブロックされました」
なんじゃこれ?
「http://」なら出てこない警告だけに、むしろ、悪化である。htmlファイル内に「http://」からはじまるリンクが記載されていることが原因らしい。
これだけの話かどうかわからないが、とりあえず、ファイル内の「http」をすべて「https」に書き換えると警告は消えた。
これでいいのかな?