(不完全ながら) HTTPS 接続に対応した

no extension

遅まきながら本家サイトの HTTPS 接続に対応した。

いや,随分前に「さくらのレンタルサーバ」で Let’s Encrypt を用いた TLS 設定が簡単になったという話は聞いてたのよ。

ただし,個人的には積極的に HTTPS に切り替える動機はなかった1 ので放置していた。

ところが Facebook で聞いた話によると米国では ISP が Web の通信に対して何らかの干渉を行う懸念を払拭できないとかで,そういえば米国では「ネットの中立性」は公式に破れているし日本もいずれそうなるだろうとは想像に難くない。

そうであるなら,そういった通信に対する干渉を抑止するためにも HTTPS を有効にしておくのは意味があるだろうと考えを改めることにした。 まぁ,ページの広告エリアに採掘コードを差し込むとか,セキュリティと称して HTTPS 通信に中間者攻撃をかまして出歯亀するとかいったことが横行している状況で HTTPS でどこまで安全が担保されるのかは分からないが。

なお,各ページに埋め込まれる他サイトのスクリプトや画像等のマテリアルに HTTPS に対応していないものがあるため不完全な対応になっている点はご了承の程を2。 これは徐々に改修していく予定。

このため,当面は HTTP と HTTPS の両方とも有効にして運用し強制的な HTTPS リダイレクトはしない。 上述したように,私は HTTPS をデータの機密性および完全性の観点からはあまり信用してないので「やらないよりはマシ」というスタンスで運用することにする。

2019年の目標

実は今年の目標というか TODO として本家サイトの改造を考えていて,具体的には

  1. 本家サイトHugo ベースに再構築する(ただし URL はできるだけ変えない)
  2. Flickr の写真を引き揚げて本家サイトに移転する

と考えている。 今回の HTTP 接続対応はそのついでというわけだ。 上の2つのうち 2 に関しては既に全バックアップをとって手元にデータはあるのだが,本家サイトでの公開については 1 の作業と併せて行う予定なので,しばらく先のことになるだろう。

これ以外にもうひとつ問題があって, Amazon アフィリエイト・リンク作成サービスの Amakuri がサービスを終了するらしい。

G-Tools さんに続いてお宅もか orz

どうしよう。 たぶん類似サービスは軒並み閉鎖だよね,これ。 自前でツールを用意するしかないのか。 それが面倒くさいから人様のサービスを利用してたのに。

ここのブログも HTTPS 接続に対応していた

ここのブログGitHub Page なのだが,なにもしないのに何時の間にか HTTPS 接続に対応していたらしい。

こちらも当面は HTTP と HTTPS の両方とも有効にして運用するが Flickr の写真と Amazon アフィリエイト・リンクの目処が立てば HTTPS 強制にしてもいいかも知れない。

【2019-05-21】 以下を参考に HTTP 強制にしました。

【追記1】 e-Words 用語集止めました

ここのブログではページ下部に e-Words 用語集のブログパーツを貼り付けていたのだが,既にメンテナンスされていないようで,かなり前から説明ページが消えてるし,しかも HTTP 接続オンリーで HTTPS なページに貼り付けるとブラウザから reject されるので,今回を機に削除することにした。

本当は Disqus も止めたい。 Disqus の埋め込みコードは Firefox からはトラッキング・コードと見做されているため reject される。 設定を緩めればいける3 のだが,それも微妙な気もする。 TwitterFacebook ページでフィードバックを,という手もあるが…

【追記2】 Amazon 関連の URL 変換

Amazon の商品ページへのリンク URL や書影等のイメージの URL について以下のように変換した。

変換前 変換後
http://www.amazon.co.jp/ https://www.amazon.co.jp/
http://ecx.images-amazon.com/ https://images-fe.ssl-images-amazon.com/
http://images.amazon.com/
http://g-images.amazon.com/
Amazon 関連の URL 変換

ブックマーク


  1. こう言ったら専門家の方には鼻で笑われるだろうが,セキュリティ専門家が言う「木の葉を隠すなら林の中」理論で馬も鹿も HTTPS ってのには首を傾げてしまう。ましてや SEO 対策で HTTPS に切り替えるとか阿呆としか言いようがない。ひとつのドメインやサービスで,ページや状況によって HTTP と HTTPS を使い分けるな,というのならその通りだと思うけれど。まぁ Let’s Encrypt が正式リリースされたし「面倒臭い」以外に HTTPS にしない理由はないので,今回はいい機会になったと考えている。 ↩︎

  2. なにせ1999年以来19年分の垢がこびりついたサイトなので。って今年は(本格的に Web で活動を始めてから)20周年やん! ↩︎

  3. どうも Firefox 側でホワイトリストまたはブラックリストを持っていて,トラッキング・コードの配信元から有効/無効を判断してるっぽい。ホワイトリスト方式またはブラックリスト方式は運用する側にどうしても恣意が混入してしまう。この辺は spam メール対策で懲りているので賢いやり方に見えない。 ↩︎