はてなブログは、ＳＳＬ暗号化通信(https)に対応していません。

現状のまま１０月に突入してしまうと

これから起こるかもしれない問題を

技術的なことではなく

解りやすく何が問題なのか書いてみました。

 

• Chromeによるセキュリティ警告表示の問題
• この問題を回避するには
•  Googleは第二警告フェーズを予定している
• 今、思いつく、その他問題
• さらに第三警告フェーズの可能性
• さらに最悪なケースを想定するなら
• あと興味深いところを含め、思うこと
  • はてなブログ・メディア（ビジネス向けＣＭＳサービス）
  • このhttps化で予想される結末
  • お勧めな事前対策として
  • 独自ドメインについて 
  • Chromeのシークレットモード
  • 興味深いところ

 

Chromeによるセキュリティ警告表示の問題

１０月よりChromeで「はてなブログ」で、はてなブックマークおよびコメント入力するとセキュリティ警告が表示されるようになるらしい。

「はてなブログ」がＳＳＬ暗号化通信、つまり(https)のＵＲＬアドレスに対応していないので、Chromeブラウザで「はてなブログ」のテキスト入力フィールドに対して、この１０月から警告表示するから、よろしくね！問題です。

 

Google Search Consoleより以下のメッセージがきておりました。

Chrome のセキュリティ警告を表示します。
2017 年 10 月より、ユーザーが Chrome（バージョン 62）で HTTP ページのフォームにテキストを入力すると、「保護されていません」という警告が表示されるようになります。また、シークレット モードを使用している場合は、HTTP ページにアクセスするだけで「保護されていません」と表示されます。

貴サイトでは、たとえば以下に示す URL に、Chrome の新しい警告が表示されるテキスト入力フィールド（< input type="text" >、< input type="email" > など）が見つかりました。これらの例を参考にどのページで警告が表示されるかを確認し、ユーザーデータを保護するための措置を講じていただきますようお願いいたします。なお、下の URL の一覧は、すべてを網羅したものではありませんのでご注意ください。

 

この問題を回避するには

HTTPS に移行する！

これは僕らが何かする訳ではなく、「はてなブログ」さんが現在のブログシステムを改修することとなります。僕ら「はてなブロガー」は移行されるのを待つしか手がないのです。

 

１０月まであと一ヶ月ちょいですが、「はてなブログ」さんが対応できなかった場合、Chromeブラウザで、はてなブックマークおよびコメント入力すると

「保護されていません」と警告メッセージが表示される。ポップアップ表示の仕様だと非常にウザいです。

 

入力できなくなる訳ではなく、警告メッセージが出てウザいといった程度の問題です。

これだけなら、まっいいか、なんですが

 

実は少し深刻なのかもしれません。

ブラウザシェアでChromeユーザー数は多く、ＩＴスキルおよびＩＴリテラシーも様々なユーザーが「はてなブログ」に訪れますので、いきなり「保護されていません」と警告メッセージが出てしまうと

「なんだこのブログ？怖ぇ～！」ってなってしまう人がいるはずなのです。

 

そしてそういった人をさらに増やしてしまう可能性のある

もっと重大な問題の可能性が迫っているかもしれない

それは

 

 Googleは第二警告フェーズを予定している

メッセージの最後に以下の文言が添えられてました。

長期的には、HTTP で配信されるすべてのページを「保護されていません」と明示することを計画しており、この新しい警告はその一環です。

１０月以降どこかの時点で、https以外のＵＲＬをChromeブラウザで参照すると、即時、「保護されていません」警告メッセージが表示されるようになる。

 

実は１０月から実施されるブラウザのシークレットモードの仕様がデフォルト仕様として昇格する事を指していて、つまりその機能の実装はChromeに終えている訳で、いつでもスイッチＯｎでスタートできる状態でGoogleはスタンバってる訳です。

 

つまり「はてなブログ」さんが、https対応しなければ

「はてなブログ」見ただけで、警告メッセージ出すよ！よろしく！って事になる。

まっこれも、ブログ見れるは見れるので、まっいいか、なんですが

 

「なんだこのブログ？怖ぇ～！」ってなってしまう人が確実に増える。

つまり技術的な問題でなく

何だか怖いメッセージが出てきて、はてなブログ読むの怖いわ心理へ誘う問題がありはしないかということです。

 

そしてこの仕様をきっかけに世の中、https化の流れが加速すると、全ブラウザがChromeブラウザと同じ仕様を採用する可能性があります。

これにより通常の(http)の企業サイトおよびホームページ等のＳＳＬ暗号化通信(https)対応が加速すると思われます。

最終的には、httpサーバーが消滅、残るのは個人自宅で立ててる野良サーバーぐらいになるのかも

 

なりより問題なのは、ブラウザシェアでこのChromeユーザー数が１位なのです。

WebブラウザシェアランキングTOP10(日本国内・世界) – ソフトウェアテスト・第三者検証ならウェブレッジ

 

今、思いつく、その他問題

※他のブログ記事へのリンクを貼っているブログカード、これは問題となりそうです。

ブログ記事が抱える直接データとしてhttpの文字データが入っていますので、「はてなブログ」さんが、https対応後、このhttpの文字列をhttpsへ誰が書き換えるの？

例えhttpのままhttpsへ転送できたとしても、ブログ記事内のHTMLにhttpが残ったままであるとGoogle先生に問題視される可能性があるのです。

ユーザーさんで書き換えて下さいとなった場合、記事数多いブロガーさんは無理じゃね

なので「はてなブログ」さんのシステム側で、記事のデータを一括で書き換えて頂きたいです。

 

※アナウンスされている対象

HTTP で配信されるすべてのページ 

これについて写真ファイルも含まれると考えておくべきです。

 

※ブログ記事内で使用している写真ファイルのURLについても、httpsの場所から貼られていなければいけません。（現在、通常の手順なら画像はhttps化されている）

httpのURLの画像の過去記事や変な場所から貼り付けてるブログ記事の場合、「はてなブログ」さんが、https対応したとしても、個人の個別の案件で警告メッセージが表示されてしまうケースがあるので、今のうちに記事を点検しおくのがいいかと 

 

これと関連する問題として、ブログ村等のランキングサイトのhttpバナーです。ブログ村のhttps化については触れませんが、ここでいうところの変な場所から貼り付けてる画像となる訳です。

 

さらに第三警告フェーズの可能性

「はてなブログ」さんは、Googleの第二警告フェーズまでには対応すると思われますが、気になることが、もうひとつあります。

 

Googleはhttps化の流れを実効力を持って加速させてたいと思惑があり、この警告メッセージの仕様を発表していると思われます。

なので一番、実効力が伴うであろうことが、Google検索において、httpsに対応していないサイトは野良サイトとみなして、検索結果の掲載順位を下げてしまうペナルティを課す、これによりhttps化の流れはさらに加速される。

といった内容のアナウンスが第三警告フェーズとして発表されるかもしれませんし

アナウンスなしで、こっそり始めてしまうのかもしれません。

という問題の可能性です。

 

これについての問題の当事者は「なんだこのブログ？怖ぇ～！」の読者側でなく、はてなブロガーに降りかかってくる問題でしょうか、新着記事で似たような内容だと、httpsのサイトのブログが、まずは優先的にインデックス化される仕様の可能性は容易に想像がつきます。

 

さらに最悪なケースを想定するなら

そもそも入力データが保護されてませんと、暗号化を迫るのなら

アドセンス広告もパーソナルデータを利用したりしてますので、利用した時点でそれは入力データでもございます。よりこちらを暗号化で保護すべてきデータなのですが、実際にはアドセンス広告の貼り付けスクリプト内はhttpsのＵＲＬになっていない！運営しているブログのhttps化に依存、委ねられている。

（スクリプト内のＵＲＬを自分で修正、httpsに変更することでSSL対応となる）

 

これはGoogleにとっては少し不都合な部分があるのではないかと

要はhttps化を推し進める動きの中で、今回の対象となる「はてなブックマークのコメント入力」の入力データについて、保護されてませんと警告するなら、その問題の非https化のブログ上で、より保護すべき対象のアドセンス広告のパーソナル情報が発生していた場合、どちらをより警告メッセージの対象にすべきかという部分です。

あえて結論は言いませんが、その辺りに触れた、第四警告フェーズもあるかもと

 

まぁ言ってみりゃ

「はてなブログ」さんが１０月までに、https対応すりゃ全部心配なしのオールOKで、僕らも余裕をもって、その後の警告フェーズに個人で個別対応していけるのですが、対応がなければ、１０月以降、さらなる警告フェーズの恐怖に慄きながらブログを書き続けることになりそうです。

 

あと興味深いところを含め、思うこと

はてなブログのHTTPS化について、お問い合わせを多数いただいております。以前の告知で「検討しており」とお伝えしましたが、現在は実施に向けて開発を進めております。詳細は追って開発ブログ等でお知らせいたしますので、しばらくお待ちください。近日中にお知らせできればと考えております。

— はてなブログ (@hatenablog) 2017年8月18日

 

「はてなブログ」のSSL対応は、Proユーザーのみサポートしますとした場合

無料ユーザーがProユーザーに変更するケースが増えるのではないかと

仮にそうした場合、結果、Proユーザー増えないとなっても

それはつまり無料ユーザーも含め全体をSSL化しなくてもいいという事でもあります。

今回の問題で、無料ユーザーがブログが運営できなくなる訳ではないし

それよりも

無料ユーザーとの差別化を計る要素としては使えるネタになるのでは！って事です。

以前よりもProユーザーに変更したい動機のひとつにはなるでしょうし

反対に去って行く無料ユーザーもいるかもしれません。

 

はてなブログ・メディア（ビジネス向けＣＭＳサービス）

こちらに手がかりとなる先行情報があるのか

business.hatenastaff.com

こちらのサービスをまずは優先させて、https対応を行うと思われますが

なんのアナウンスも書かれていない、こちらも未対応のままなのである。

検索エンジンから評価されやすいサイト構造により、さまざまなメディアで導入されています。

これがセールスポイントのようですが、もうすぐ１０月なんですけど心配です。

なにより心配なのが、https化の情報について

今のところ、はてなブログのツィートの１フレーズの情報のみでございます。

 

このhttps化で予想される結末

アメーバブログの場合の以下のURL構成でhttps化されています。

ｈｔｔｐｓ：／／ameblo.jp／ユーザーID／記事のパス

 

はてなブログも、このような形態で https化してくるなら

当ブログのURLは、独自ドメインでないので

現在このURLです→　ｈｔｔｐ://tommyoctopas.hatenablog.com

こう変わる→　ｈｔｔｐｓ：／／hatenablog.com／tommyoctopas／記事のパス

 

「はい！https化できましたよ！あとは、よろしく！」ってなる事が予想されます。

 

自分のブログのURLが変わるので、各人で、google先生へアドレス変更を依頼しなければいけません。

まぁこれも面倒ですが、Google Search Consoleで申請すればいいだけなので、一時的には問題でしょうが、その後、解決できるので、OKといばOKですが

独自ドメインでない人は、Google Search Consoleでアドレス変更するの初体験になるでしょうから、かなり戸惑うと思われます。このあたりのサポートも必要ですね。

 

  一番の疑問は途中に「／ユーザーID／」が入ってて、これで引継ぎ移行できるの？

あくまでも予想してみただけで、当然、確定の話しではありません。

もしこの仕様になった場合は、システム側でURLの旧から新へ自動変換またはリダイレクトをお願いしたいです。

 

なので「はてなブログさん」様！！

何卒！いつものアドレスにS付くだけの

「httpS://tommyoctopas.hatenablog.com」でお願いします！

さてどうなりますか

 

ということで

 

お勧めな事前対策として

独自ドメインを、取得して所持しておくことです。ドメイン結構、安いです。

そして事前に「はてなブログさん」からヤバい仕様が発表されたら

https化が開始される前に！、その独自ドメインを使って、ブログの設定変更を行ってしまう。Google Search Consoleでアドレス変更を申請する。

（これは通常ケースなので、参照記事は豊富）

独自ドメインによる対応の方が、問題を回避できる可能性が高い場合に備えてのリスクヘッジです。

 

そういった事態の本番に備えて、練習でドメインを取ってみました。

複数ブログが持てるので、写真専門ブログをもうひとつやっております。

そのブログを練習で、独自ドメイン化してみました。

Google Search Consoleでアドレス変更を申請もやってみました。ちょっと難しかった場面がありましたが、無事成功！

おそらく皆さんが戸惑うであろう２と３を両立させる部分をメインに記事にしてみたいと思います。

 

 

独自ドメインについて 

はてな(http)toはてな(https)の初のケースでありますから、事例とか「やってみた情報」が、当然、まだ無いのです。SSLの費用とかも気になりますし、あとhttps化の開始タイミングをユーザー側で設定できるのが望ましいです。

独自ドメインの場合は、SSLの設定事情が各ブロガーさんごと様々でしょうから、「はてなブログ」さんは、早めにhttps化に向けてのロードマップおよび独自ドメインの場合、Proユーザーさんにどういった作業をお願いしないといけないのか技術情報を早めに発表してほしいところです。ドメイン業者ごとの設定方法、トラブルシューティングが揃っていれば、リスク回避で、はてなブログからの避難も考えてる人もいるようなので、そういった事前情報が更新されていく特設サイトを設けてくれれば安心できると思います。急ぎ要SSL事前作業情報の公開をしてほしいところです。

今後の「はてなブログ」さんのアナウンスに注目です。 

 

Chromeのシークレットモード

現行のChromeのシークレットモード、一度使ってみる事をお勧めします。

１０月からこのモードを使って、自分のブログに問題ないかテストに使えますので

「保護されていません」と警告メッセージが表示されれば、どこかにhttpの部分が残っているって事になり、Chromeが完全https化モードになるまでに事前に自ブログの問題箇所を見つけるのに使えます。※１０月からですよ！

 

興味深いところ

あと、https化の世界的な流れが来ているとするならば

ＳＳＬ暗号化通信、つまり電子認証関連株の銘柄に注目しても面白いかも

メジャーどころでは、ＧＭＯクラウド、セコムでしょうか

買えとは言ってませんよ！買えとは！

 

僕は一生、はてな村の住人として生き続けますので

「はてなブログ」さん、１０月までに何卒よろしくお願い致します。

では

 

追記　

最新情報、こちらをご覧下さい。

staff.hatenablog.com