はてなブログのセキュリティ対策問題（HTTPS）

こんにちは、今回は早急に対応が必要とされている、はてなブログのとあるセキュリティ問題（SSL対策）についてまとめてみました。

URLとは

URLは複数のパーツで構成されています。大きく分けると以下のとおり通信プロトコルとフルドメイン名に分けることができます。

Webサイトへのアクセスを郵便で例える場合、フルドメイン名は宛先に該当します。郵便は宛先をもとに誰に届けるのかを判断しますが、Webアクセスはフルドメイン名で判断します。Webサイトにアクセスするとき、フルドメイン名が正しくないとWebサイトが正しく見れないのは、宛先を間違えると郵便物が届かないのと同じです。
では、URLのもう一方、通信プロトコルとは何でしょうか。

通信プロトコルとは

　

（私のイメージです。イラストにしてみました。）

通信プロトコルとは通信する内容を解読し適切に処理を行うための通信ルールのことです。通信プロトコルは人が話す言語のようなものです。日本語は日本語、英語は英語など、同じ文法や単語を使用することで相手の話が理解できるように、通信プロトコルも指定したルールに基づいた命令や文法でやりとりするので相互に理解することができます。
通信プロトコルは複数あり、そのなかにhttpやhttpsがあります。

httpとhttps

httpsは、httpにセキュリティ機能を追加したもので、Webページとの通信を暗号化したものです。

どうやって見分けるの？

アドレスバーを見ればわかります。鍵マークが出ているのでわかりやすいです。

はてなブログはhttpだけど？

基本用語について簡単に説明しましたが、ここからが本題です。

以前の告知で「検討しており」とお伝えしましたが、現在は実施に向けて開発を進めております。詳細は追って開発ブログ等でお知らせいたしますので、しばらくお待ちください。近日中にお知らせできればと考えております。 （はてなブログの公式Twitter）

はてなブログは現在https化の実地に向けて開発を進めていると公式発表しています。

このhttps化なのですが、けっこう急ぎの問題だったりするのです。

はてなブロガーの皆さんへ https://t.co/So5f1Awg4D

— 光 ( Hikari ) (@hikki_c) 2017年9月17日

Googleからの警告メッセージ

2017 年 10 月より、ユーザーが Chrome（バージョン 62）で HTTP ページのフォームにテキストを入力すると、「保護されていません」という警告が表示されるようになります。また、シークレット モードを使用している場合は、HTTP ページにアクセスするだけで「保護されていません」と表示されます。

貴サイトでは、たとえば以下に示す URL に、Chrome の新しい警告が表示されるテキスト入力フィールド（< input type=“text” >、< input type=“email” > など）が見つかりました。これらの例を参考にどのページで警告が表示されるかを確認し、ユーザーデータを保護するための措置を講じていただきますようお願いいたします。なお、下の URL の一覧は、すべてを網羅したものではありませんのでご注意ください。

Googleは2017年10月からChromeユーザーがhttpのサイトにアクセスすると、警告表示されるようになり、さらにシークレットモードを使用した場合はアクセスするだけで「保護されていません」という表示がされるとのこと。これを回避したければhttpsにすることだね！と言っています。

つまり、はてなブログが10月までにhttps化できなければ、安全性の低いサイトとしてGoogleから警告表示されるようになるということです。またhttpのままだと検索順位も下がってしまいます。

これを知ったはてなユーザーの中には、Wordpressに移行した人もいます。ただし、はてなをはじめとする無料ブログは運営側がセキュリティ対策をしてくれるメリットがあります。Wordpressの場合は自分で対策が必要だし、どちらがセキュリティで劣っているとは一概には言えません。

難しいとは思いますが、10月までにSSLに対応できるよう頑張ってほしいところです。

SSL化されたら注意すること

httpsに変わるという事は今まで設定したサービスの変更も必要になります。つまり、以前のブログとは、別のサイトとみなされるのです。そのため、Googleアナリティクス等といった外部の連携サイトの設定を変えるのを忘れないよう注意しましょう。