| 出題者 | カテゴリ | 作成日 |
|---|---|---|
 事務局 |
Web戦略&スキル担当 | 2015-07-31 19:21:40 |
| 問題 | ヒント | 回答数 |
|---|---|---|
| ■いまさら聞けないサイトのhttps移行
なにかと話題のサイトのhttps化ですが、ここで移行の影響などを含めて基礎知識を確認しておきましょう。 下記10問にYes or No or どちらともいえないでお答えください。 【SSLについての基礎知識】 1.SSLとは、セキュア・ソケット・レイヤーの略であり、もともとネットスケープ社が開発した暗号化通信の仕組みである。現在、公の仕様としてTLS(トランスポート・レイヤー・セキュリティ)に仕組み、名称ともに移行しているが、昔の名残で、TLSも含めてSSL通信とよばれることも多い。 Yes or No or どちらともいえない 2.Googleは、SSL(TLS)を用いたhttpの暗号化通信であるhttps通信をラインキングシグナル(検索順位を決める要素)に含めることを2014年に公式発表している。これは申込みフォームなど、サイトの一部ページだけでも対応すれば良い Yes or No or どちらともいえない 3.https通信を行うためには、ベリサインなどの認証局(CA)から、有償でサーバー証明書を取得することが一般的である。Rapid SSLのような年額数千円の格安サービスも存在するが、そのRapidSSLを使用すると、ユーザのブラウザに「信頼できない証明書です」のような警告文が表示されるので注意が必要である。 Yes or No or どちらともいえない 4.SHA-1というSSL通信の暗号化を実現するハッシュ関数(暗号化するための方法)は現在セキュリティレベルが低く、後継のSHA-2対応が求められてきている。この対応にはサーバー、クライアント両方が対応しなくてはならないが、WindowsXPのSP2以前はSHA-1にしか対応しておらず、長くSHA-1が主流となっていた。しかし、現在はSHA-2を主流にする流れとなっているので、SSL導入時は2048bit以上の公開鍵をSHA-2で暗号化したサーバー証明書を採用する方がよい。 Yes or No or どちらともいえない 5.認証局が発行するサーバー証明書は、あなたのドメイン等が正当であることを証明する身分証明のようなものである。登録時には、ドメインの申請を行うことになるが、そのドメインではwwwのありなしが厳密にチェックされるので、普段使用しているドメインを登録することが望ましい。なお、SAN(Subject Alternative Name)というオプションに対応している認証局もあり、その場合は、二つのドメインを登録できることもある。 Yes or No or どちらともいえない 【既存サイトをhttps化する時の注意点】 6.既存サイトをhttps対応する際は、まず独自ドメインを使っていること、また、現在使用しているウェブサーバー(レンタルサーバー含む)が、独自SSL通信に対応しているかどうかを確認することが大切である。 Yes or No or どちらともいえない 7.既存サイトをhttps対応する際は、Googleアナリティクスのトラッキングコードを変更しなくてはならない。 Yes or No or どちらともいえない 8.Googleにとっては、httpからhttpsへのドメイン移行のような扱いになるので、まずは正しくドメインを301リダイレクトすることが重要となる。この場合、.htaccessというファイルで設定するのが一般的である。 Yes or No or どちらともいえない 9.ソーシャル・ネットワークにとっては、URLがhttpからhttpsに変更された場合、別URLになるので、シェア数のカウントは0からのカウントになってしまう。つまり、はてブの被リンク効果もすべて0になる。この対応策はない。 Yes or No or どちらともいえない 10.IEにおいては、画像のソースがhttps対応していないと警告が表示される。そのため、Amazonやリンクシェアの広告など外部から画像を読み込んでいる場合は、注意が必要である。 Yes or No or どちらともいえない |
SSL/TLS通信についての基礎知識はこちらで学べます。
http://itpro.nikkeibp.co.jp/article/COLUMN/20071002/283518/ 移行についてはこちらのページが参考になると思います。 https://www.suzukikenichi.com/blog/what-i-have-done-to-switch-my-blog-to-full-https/ |
4 |
メンバーの回答一覧 お疲れ様でした!
※講師コメント詳細は冊子に掲載されています。
| なるほど 票数 |
回答 | 講師コメント |
|---|---|---|
| 0 | たけ1. YES
2. No 3.どちらともいえない →調べた所、設問のような警告文は表示されなさそうだが、提供されるサイトシールが動的に証明書を確認できるようなものではなく、単なるGIF画像のようだった。なので、大手に比べたらユーザへの信頼性アピールという面では、若干効果に欠ける部分はありそう。 4.YES →各ブラウザ提供元などの方針?をみると、2016年以降警告が出たりするようになるよう。 https://www.cybertrust.ne.jp/sureserver/productinfo/sha1ms.html#01 5.YES →SANsについては、「wwwあり」のコモンネームで申込むと「wwwなし」でも対応できるよう。 (そうなると、基本的に「wwwあり」で申込む方が良さそうな気がするのですが、「wwwなし」で申込むメリットってあるのでしょうか…?) 6.YES 7.わからない →「プロパティ設定>デフォルトURL」で設定項目がある事は確認できましたが、テストしたサイトにSSLを導入していないため、トラッキングコードの変化を確かめることができませんでした。(知りたいです!) 8.YES →以下記事ではhttpとhttpsをハイブリッド運用している会社さんもあるようですが、特別な理由がない限りは301リダイレクトが良さそうだと判断しました。 http://web-tan.forum.impressrd.jp/e/2015/01/19/18932 9.YES →以下のアユダンテさんの記事を拝見すると、見た目上は引継ぐ事はできそうですが、被リンクの効果を維持するという点では、現状は解決策はなさそうなのかな…と思いました。 http://www.ayudante.jp/column/2015-07-01/17-24/ 10.YES |
銀 (事務局) 非常に良い観点で、調査力も高いですね。9番は少しややこしく正解はNoのため銀ですが、調査力自体は金レベルです。 |
| 0 | kamino1.Yes
2.No 3.Yes 4.Yes 5.Yes 6.Yes 7.No 8.Yes 9.どちらともいえない 10.Yes |
銅 (事務局) 3と9が惜しいです! |
| 0 | yukko1.YES
2.NO 3.YES 4.YES 5.YES 6.YES 7.NO 8.YES 9.NO 10.YES |
銀 (事務局) 3が惜しいです! |
| 0 | chichichi1.Yes
2. No 全ページ対応 3. Yes 4. Yes 5. どちらとも 「普段使用してるドメインを登録~」について、wwwありのURL、もしくはwwwあり/なし両方のURLでSSL接続を利用したい場合、wwwを付きで申し込む。1枚の証明書でwwwありなし両方にSSL対応できたりもするみたいです。 【既存サイトhttps化の注意点】 6. Yes 7. No Analyticsアカウント取得時にhttpsを選択する、またはアカウントやプロパティの追加と共にhttps用アカウントを作る。 8.Yes 9. yes: 別URLになるので、シェア数のカウントは0からのカウントになってしまう。 どちらともいえない:対応策はない Wordpressなら、SNS Count Cacheというプラグインで疑似的にシェア数引継ぎできるそうですが、試してはいません。 10. Yes |
銅 (事務局) 3と9が惜しいです!しかし9の設問に対しての深堀り姿勢はとても良いですね。「既存の情報を鵜呑みにせず再調査する」という力は大切だと思います。 |