/
709.txt
401 lines (281 loc) · 19.1 KB
/
709.txt
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
237
238
239
240
241
242
243
244
245
246
247
248
249
250
251
252
253
254
255
256
257
258
259
260
261
262
263
264
265
266
267
268
269
270
271
272
273
274
275
276
277
278
279
280
281
282
283
284
285
286
287
288
289
290
291
292
293
294
295
296
297
298
299
300
301
302
303
304
305
306
307
308
309
310
311
312
313
314
315
316
317
318
319
320
321
322
323
324
325
326
327
328
329
330
331
332
333
334
335
336
337
338
339
340
341
342
343
344
345
346
347
348
349
350
351
352
353
354
355
356
357
358
359
360
361
362
363
364
365
366
367
368
369
370
371
372
373
374
375
376
377
378
379
380
381
382
383
384
385
386
387
388
389
390
391
392
393
394
395
396
397
398
399
400
401
[30] [[Webサイト]]の[DFN[HTTPS化]]とは、[[素のHTTP]]から [[HTTPS]]
へと [[Webサーバー]]と[[Webブラウザー]]の間の[[プロトコル]]を変更することをいいます。
[1] [DFN[AOSSL]] ([DFN[Always-On SSL]]、[DFN[常時SSL]]) は、 [[素のHTTP]]のかわりに[[HTTPS]]を使うことを指す[[バズワード]]です。
一部の[[証明書]]発行業者等が自社製品の販促等で使っているようです。
[27] 昔から[DFN[HTTPS固定]]と呼ばれることもありました。 [[AOSSL]] も [[HTTPS固定]]も、
文脈なしで通用するほど普及した用語ではありません。
[29] [CITE[HTTPS Everywhere]] は、 [[EFF]] らによる [[HTTPS]]
移行のための[[ブラウザー拡張]]の製品とそのプロジェクトの名前ですが、
[[HTTPS Everywhere]] あるいは [[HTTPS everywhere]] は [[Webサイト]]の [[HTTPS]]
移行を表す用語としても用いられています。単一サイトの移行というよりは、
[[Web]] 全体の移行を目指すという社会的意義を含んだニュアンスがあります。
* 背景
[43]
[[スノーデン事件]]を契機に[[インターネット]]の[[盗聴]]問題への関心が高まりました。
これまで標準的に用いられてきた[[素のHTTP]]では[[盗聴]]、[[改竄]]等を回避できないこと、
これが[[ECサイト]]や[[企業]]だけでなく、すべての [[Webサイト]]に関わる重大な[[セキュリティー]]問題であることが認識され、
[[Web]] 全体を [[HTTPS]] に移行させることが急務となりました。
[44]
[[HSTS]] や [[UIR]] のような移行技術の [[Webブラウザー]]への搭載、
無料の[[証明書]]を発行する[[認証局]] [[Let's Encrypt]] の設立、
[[Google]] をはじめとする主要 [[Webサービス]]の [[HTTPS化]]といった各方面の環境整備を経て、
現在は一般の [[Webサイト]]も徐々に [[HTTPS化]]が進行しています。
* 課題
[37]
業界の主要プレイヤーが [[HTTPS]] への移行を促進する施策を進めていますが、
[[日本]]企業は対応が遅い傾向が見られます。
2016年頃からようやく[[日本]]の主要な [[Web企業]]が自社サイトの [[HTTPS化]]をはじめました。
[42] 業界でシェアを握っている [[Webサービス]]が対応に消極的で、
そのサービスを利用する [[Webサイト]]が [[HTTPS化]]に踏み切れない事例も観測されています。
;; [[はてなブックマークのHTTPS対応]]、[[はてなブログのHTTPS対応]]も参照。
* 関連
[28] [[プロトコル]]については [[HTTPS]] を、
[[Webブラウザー]]の [[HTTPS]] 移行については [[POWER]] を参照。
* メモ
[FIG(quote)[
[FIGCAPTION[
[2] [CITE@ja[Yahoo! JAPANサービスは常時SSL(AOSSL)に対応します - Yahoo! JAPAN]]
([TIME[2017-01-16 19:51:20 +09:00]])
<http://docs.yahoo.co.jp/info/aossl/>
]FIGCAPTION]
> Yahoo! JAPANではお客様により安全にサービスをご利用いただくため、2016年4月から2017年3月にかけて、Yahoo! JAPANトップページやYahoo!ニュースを含むすべてのサービスにおいて常時SSL(AOSSL)に対応いたします(※1)。
]FIG]
;; [3] >>2 は[[素のHTTP]]でしか提供されていません。 [TIME[2017-01-16T10:51:41.200Z]]
[FIG(quote)[
[FIGCAPTION[
[4] [CITE@ja[常時SSL | シマンテック]]
([TIME[2017-01-16 19:52:47 +09:00]])
<https://www.symantec.com/ja/jp/page.jsp?id=always-on-ssl>
]FIGCAPTION]
> 常時SSLとはウェブサイトの全てのページをHTTPS化(SSL/TLS暗号化)するセキュリティ手法です。これまでは個人情報を入力する場面など、重要な情報をやり取りする場面のみで通信を暗号化する方法が用いられてきましたが、これをウェブサイト全体に広げる方法が常時SSLです。
]FIG]
;; 「常時SSL」・「常時SSL化」・「常時SSL/TLS化」
[FIG(quote)[
[FIGCAPTION[
[5] [CITE@en[Always-On SSL (AOSSL) for IT Administrators | DigiCert.com]]
([TIME[2017-01-16 19:53:30 +09:00]])
<https://www.digicert.com/aossl-it-admins.htm>
]FIGCAPTION]
> Always-On SSL (AOSSL) is considered a best practice by many standards bodies because it encrypts user sessions the entire time they are on your site, not just on certain pages. Many large companies like Twitter, PayPal, Facebook, and Microsoft have already enabled AOSSL on their sites to better protect their users.
]FIG]
[FIG(quote)[
[FIGCAPTION[
[6] [CITE@en[httpをすべて「http"s"」に! ユーザーの安全を守るAOSSL対応 - Yahoo! JAPANコーポレートブログ — httpをすべて「http"s"」に! ユーザーの安全を守るAOSSL対応]]
([TIME[2017-01-16 19:54:41 +09:00]])
<http://yahoojapanpr.tumblr.com/post/155737158787/aossl>
]FIGCAPTION]
> 現在、Yahoo! JAPANは、ユーザーのみなさんの安全を守るための施策として「ウェブサイト全体のSSL(※)化」(AOSSL対応)を行っています。
]FIG]
;; 「AOSSL対応」
[FIG(quote)[
[FIGCAPTION[
[7] [CITE[常時SSLとは|AOSSL|常時HTTPS化|常時SSL化|Always On SSL - 意味 / 定義 / 解説 / 説明 : IT用語辞典]]
([TIME[2017-01-16 19:55:43 +09:00]])
<http://e-words.jp/w/%E5%B8%B8%E6%99%82SSL.html>
]FIGCAPTION]
> 常時SSLとは、WebサイトのすべてのページをSSL/TLSで暗号化して送受信すること。サイト内のすべてのページのURLが「https://」で始まるようになる。
]FIG]
[FIG(quote)[
[FIGCAPTION[
[8] [CITE@ja[DigiCert代理店のアールエムエス、常時SSL(AOSSL)への移行ガイド資料の提供を開始 | 共同通信PRワイヤー]]
([TIME[2017-01-16 19:56:07 +09:00]])
<http://prw.kyodonews.jp/opn/release/201610185411/>
]FIGCAPTION]
> DigiCert(デジサート)の正規代理店である株式会社アールエムエス(本社:東京都多摩市、代表取締役:望月 忠雄)では、Webサイトの常時SSL(AOSSL)化を行うメリットや手順、注意点などをまとめたガイドライン資料の提供を開始しました。
>
]FIG]
[FIG(quote)[
[FIGCAPTION[
[9] [CITE@en-US[Bluetent Adopts AOSSL | Bluetent Digital Marketing ]]
([TIME[2017-01-16 19:56:44 +09:00]])
<https://www.bluetent.com/blog/bluetent-adopts-aossl/>
]FIGCAPTION]
> Therefore, with great enthusiasm, Bluetent is now adopting Always On SSL (AOSSL) as the default for our new websites.
]FIG]
;; [10] とか言っているが、この記事自体が[[素のHTTP]]で普通に提供されており
([CITE@en-US[Bluetent Adopts AOSSL | Bluetent Digital Marketing]] ([TIME[2017-01-16 19:57:39 +09:00]]) <http://www.bluetent.com/blog/bluetent-adopts-aossl/>)
[[HSTS]] も使っていない。「Always」とはどういう意味なのだろうか。
[TIME[2017-01-16T10:58:00.200Z]]
[11] [CITE@ja[ヤフオク!常時SSL(AOSSL)対応への変更作業承ります。 | 店舗集客.com]]
([TIME[2017-01-16 19:58:42 +09:00]])
<http://xn--ubtr2e801cfkr.com/%EF%BD%93%EF%BD%93%EF%BD%8C%E5%AF%BE%E5%BF%9C/%E3%83%A4%E3%83%95%E3%82%AA%E3%82%AF%E5%B8%B8%E6%99%82ssl%EF%BC%88aossl%EF%BC%89%E5%AF%BE%E5%BF%9C%E3%81%B8%E3%81%AE%E5%A4%89%E6%9B%B4%E4%BD%9C%E6%A5%AD%E6%89%BF%E3%82%8A%E3%81%BE%E3%81%99%E3%80%82.html>
[12] [CITE[常時SSL化(AOSSL)に向け、合わせて点検・対応すべきこと - Qiita]]
([TIME[2017-01-16 20:00:43 +09:00]])
<https://qiita.com/y-okuda/items/6db521b49be0aee964f4>
[FIG(quote)[
[FIGCAPTION[
[13] [CITE@ja[業界初!中古車検索サイト「車選び.com」が常時SSL化(AOSSL)に対応」~セキュリティを高めた環境で安全にご利用いただけます~ » ファブリカコミュニケーションズニュース]]
([TIME[2017-01-16 20:02:06 +09:00]])
<http://www.fabrica-com.co.jp/news/press/1713/>
]FIGCAPTION]
> AOSSLとは、Always On SSLの略で、ホームページのトップ画面からSSLを使用(https://)してサイト全体の暗号化を行いユーザーが訪問する全てのウェブページを 常にエンド・ツー・エンドで守るセキュリティ対策です。
]FIG]
;; [14] >>13 は運営会社の企業サイト。 [[HTTPS]] でアクセスすると[[素のHTTP]]
に[[リダイレクト]]される。サービスサイトと企業サイトで別サイトだから (ドメインも違う)、
嘘はついていないが・・・。 [TIME[2017-01-16T11:03:32.800Z]]
[FIG(quote)[
[FIGCAPTION[
[15] [CITE@ja[常時SSL | J-Stream CDN情報サイト]]
( 2015年4月10日 by 鍋島 公章 [TIME[2017-01-16 20:04:21 +09:00]])
<https://tech.jstream.jp/blog/ssl/always_on_ssl/>
]FIGCAPTION]
> 非SSL通信の危険性のため、常時SSL(AOSSL: Always on SSL)という流れが本格化してきています。
]FIG]
[FIG(quote)[
[FIGCAPTION[
[16] [CITE@en-US[Moving to Always On SSL - 97th Floor]]
(August 19, 2014 [TIME[2017-01-16 20:07:31 +09:00]])
<https://97thfloor.com/blog/move-to-ssl/>
]FIGCAPTION]
> As you’ve probably already heard, on August 6 Google announced
<https://googleonlinesecurity.blogspot.co.uk/2014/08/https-as-ranking-signal_6.html>
that they are now giving an SEO boost to sites secured with SSL. HTTPS everywhere/Always On SSL (AOSSL) is the practice of securing your entire site with SSL, not just pages that handle sensitive information like login or checkout pages.
]FIG]
;; [17] リンク先の [[Google]] の記事には「Always On SSL」どころか「SSL」とも書いていない
(「TLS」か「HTTPS」のみ)。
[FIG(quote)[
[FIGCAPTION[
[18] [CITE@en-US[Always On SSL (AOSSL) Whitepaper Published | UNMITIGATED RISK]]
(April 24, 2012 [TIME[2017-01-16 20:10:52 +09:00]])
<http://unmitigatedrisk.com/?p=40>
]FIGCAPTION]
> There is a trend to move to protecting all site content with SSL, this effort has been dubbed Always On SSL; the OTA has just recently published a whitepaper on this topic that I had a chance to contribute to.
]FIG]
[FIG(quote)[
[FIGCAPTION[
[19] [CITE@en[Always on SSL | Symantec]]
([TIME[2017-01-16 20:12:09 +09:00]])
<https://www.symantec.com/page.jsp?id=always-on-ssl>
]FIGCAPTION]
> Always On SSL is a fundamental, cost-effective security measure for websites that helps protect the entire user experience from start to finish, making it safer to search, share, and shop online.
]FIG]
[20] [CITE[常時SSLサーバ証明書 AOSSL | 年額2,037円のセキュリティ対策]]
([[株式会社ハイパーボックス]]著, [TIME[2017-01-16 20:13:31 +09:00]])
<https://www.aossl.jp/>
;; [21] 「AOSSL」という商品名で[[証明書]]を売っている業者。
[FIG(quote)[
[FIGCAPTION[
[22] [CITE@en-US[AlwaysOnSSL – Free and automated SSL/TLS certificates for your Hosting Business]]
([TIME[2017-01-16 20:15:55 +09:00]])
<https://alwaysonssl.com/>
]FIGCAPTION]
> We’ve partnered with Symantec, the most trusted Certification Authority in the world, to create a new, free SSL Certificate, exclusively for the Web Hosting Industry. But CertCenters’ AlwaysOnSSL isn’t just a fully automated Certification Authority, it’s a concept.
]FIG]
[FIG(quote)[
[FIGCAPTION[
[23] [CITE@en-US[Always-On SSL - Entrust, Inc.]]
(Updated February 24, 2014 [TIME[2017-01-16 20:21:59 +09:00]])
<https://www.entrust.com/always-on-ssl/>
]FIGCAPTION]
> Always-On SSL is an approach to securing your website to mitigate attacks against your users. When I think of Always-On SSL, I think of three concepts: SSL across your entire site, SSL deployed to the best practices, and SSL with leading technology.
]FIG]
[24] [CITE@ja[「BASE」が独自ドメインのSSL証明書の無料発行・自動管理を開始 ‐常時SSLで安心安全なネットショップ運営を‐ | BASE, Inc.]]
([TIME[2017-03-23 09:47:42 +09:00]])
<https://binc.jp/news/pr_20170322/>
[25] [CITE@ja[独自ドメインのショップでhttpsでアクセスできるようになりました - BASE開発チームブログ]]
([TIME[2017-03-23 09:47:53 +09:00]])
<http://devblog.thebase.in/entry/2017/03/22/111015>
[26] >>25 しかしこのブログ記事 ([[はてなブログ]]) は[[素のHTTP]]なんだよなーw
[31] [CITE@ja[Web サービスの完全 HTTPS 化 - クックパッド開発者ブログ]]
([TIME[2017-04-20 00:43:55 +09:00]])
<http://techlife.cookpad.com/entry/2017/04/19/190901>
[32] [CITE@ja[HTTPS化に関するポエム - catatsuyとは]]
( ([TIME[2017-04-23 02:39:30 +09:00]]))
<http://catatsuy.hateblo.jp/entry/2017/04/22/204158>
[33]
[CITE[はてなブックマーク]]は [[HTTPS化]]に消極的なようです。
詳しくは[CITE[はてなブックマーク]]を参照。
[FIG(quote)[
[FIGCAPTION[
[38] [CITE@ja[はてなダイアリーの新規開設受付停止、はてなカウンターのサービス終了に伴い、はてなブログProのメニューを変更します - はてなブログ開発ブログ]]
([TIME[2017-06-06 13:01:01 +09:00]])
<http://staff.hatenablog.com/entry/2017/06/05/152400>
]FIGCAPTION]
> HTTPSに対応していない「はてなカウンター」終了後には、はてなブログのHTTPS化について検討し、状況に応じて開発を進めていく予定です。
]FIG]
[FIG(quote)[
[FIGCAPTION[
[39] [CITE[はてなカウンターを2017年8月7日に終了します - はてなカウンター日記 - 機能変更、お知らせなど]]
([TIME[2017-06-06 13:05:55 +09:00]])
<https://hatena.g.hatena.ne.jp/hatenacounter/20170605/1496643808>
]FIGCAPTION]
> 昨今のインターネットの潮流として、Webサイトの常時SSL化(HTTPS化)が推進されていますが、はてなカウンターは古いサービスということもあって現在もHTTPSに対応しておらず、今後の対応も難しい状況です。はてな内のサービス(はてなブログなど)でもHTTPSについて検討していることもあり、はてなカウンターをこの時点で終了することといたしました。
]FIG]
[34] [CITE@en[はてな匿名ダイアリーをHTTPS化しました - Hatelabo Developer Blog]]
([TIME[2017-06-14 23:13:38 +09:00]])
<http://labo.hatenastaff.com/entry/2017/06/14/143806>
[FIG(quote)[
[FIGCAPTION[
[35] [CITE[このブログを HTTPS 化した - 9mのパソコン日記]]
([TIME[2017-06-21 15:49:20 +09:00]])
<https://blog.kksg.net/posts/https>
]FIGCAPTION]
> 当時は AdSense 以外の広告が軒並みHTTPS非対応だったし、AdSense は HTTPS にすると対応広告が少ないため単価が下がると公式のヘルプに書いてあった。これでは広告駆動運営されてるほとんどのWebサイトには厳しい。
> しかし、現在は AdSense から単価が下がるという注意書きは消えているし、nend などその他のアドネットワークでも HTTPS が使えるようになった。なので、このデメリットはあまり気にしなくて良くなっているかもしれない。
]FIG]
[36] [CITE@en[HTTPS Everywhere: Encryption for All WordPress.com Sites — The WordPress.com Blog]]
([TIME[2017-06-21 15:51:33 +09:00]])
<https://en.blog.wordpress.com/2016/04/08/https-everywhere-encryption-for-all-wordpress-com-sites/>
[40] [CITE@ja[「Yahoo!検索」SSL化のお知らせ - ヤフー株式会社]]
([TIME[2017-06-21 15:53:10 +09:00]])
<https://about.yahoo.co.jp/info/notice/150812.html>
[41] [CITE@ja[常時SSL化(WebサイトのHTTPS化)に対応いたしました : NAVERまとめ公式ブログ]]
([TIME[2017-06-21 15:53:38 +09:00]])
<http://navermatome-official.blog.jp/archives/67332539.html>
[FIG(quote)[
[FIGCAPTION[
[45] [CITE@ja[【追記あり】アメーバブログの常時SSL化に伴う仕様変更について|スタッフブログ]]
([TIME[2017-06-23 15:53:59 +09:00]])
<https://ameblo.jp/staff/entry-12247397187.html>
]FIGCAPTION]
> アメーバブログではサイトセキュリティ強化・SEO向上を目的として、2017年春以降にかけて常時SSL化を予定しております。
> それに先立ちまして、アメーバブログの仕様を下記の通り変更とさせていただきます。
]FIG]
[FIG(quote)[
[FIGCAPTION[
[46] [CITE@ja[Amebaヘルプ|常時SSL化以降、ご利用可能なプラグインについて]]
([TIME[2017-06-15 15:36:54 +09:00]])
<http://helps.ameba.jp/faq/blog/1006/ssl.html>
]FIGCAPTION]
> アメーバブログでは2017年3月以降、サイトセキュリティ強化・SEO向上を目的として、常時SSL化を随時行って参ります。 それに伴い、以下に許可された提供元サービスのプラグイン以外の設置は禁止となり、外部会社が提供するブログパーツなどは設定が行えなくなります。許可された提供元サービスは、随時追加して参ります。
]FIG]
[FIG(quote)[
[FIGCAPTION[
[47] [CITE@ja[更新履歴 - Graph API]]
( ([TIME[2017-09-13 10:01:57 +09:00]]))
<https://developers.facebook.com/docs/apps/changelog/>
]FIGCAPTION]
> 新しいリアルタイムアップデートはHTTPSのみで可能 - HTTPS以外のコールバックURLでは、新しい購読を作成できなくなりました。 これによりUser、Page、App、Paymentのアップデートが影響を受けます。
]FIG]
[48] [CITE[「動画埋め込みコード」HTTPS対応のお知らせ|ニコニコインフォ]]
([TIME[2017-11-07 20:17:13 +09:00]])
<http://blog.nicovideo.jp/niconews/49321.html>
[49] [CITE@ja[NHKオンライン]]
([[日本放送協会]]著, [TIME[2017-12-14 12:29:55 +09:00]])
<https://www.nhk.or.jp/>
最近 [[HTTPS]] に[[リダイレクト]]されるようになった。
[50] [CITE@ja[ニート株式会社WEBサイト常時SSL化のお知らせ - NEET株式会社NEET株式会社]]
(04 Sun 2017.06 [TIME[2018-02-22 17:04:13 +09:00]])
<https://neet.co.jp/news/neet%e6%a0%aa%e5%bc%8f%e4%bc%9a%e7%a4%beweb%e3%82%b5%e3%82%a4%e3%83%88%e5%b8%b8%e6%99%82ssl%e5%8c%96%e3%81%ae%e3%81%8a%e7%9f%a5%e3%82%89%e3%81%9b>
[51] [CITE@ja[中央省庁の全WebサイトでSSL/TLS対応を義務化する方向 | スラド セキュリティ]]
([TIME[2018-04-11 11:56:42 +09:00]])
<https://security.srad.jp/story/18/04/10/0413235/>
[FIG(quote)[
[FIGCAPTION[
[52] [CITE@ja[経産省HPに「警告」表示 閲覧ソフト「クローム」最新版で - 共同通信]]
([TIME[2018-07-30 18:48:53 +09:00]])
<https://this.kiji.is/394731500563694689>
]FIGCAPTION]
> 専門家によると安全対策は「常時暗号化」と呼ばれ、対応していないと利用者がホームページ上で入力した内容を第三者に読み取られたりする懸念がある。
]FIG]
[53]
(「常時」と「暗号化」がたまたま組み合わさったのではなく一語と思われる)
「常時暗号化」なんて聞いたことない、
新しい[[マスコミ用語]]か、
と思いきや、
[[マスコミ]]以外にも複数の官公庁の
[[Webサイト]]やいくつかの民間の
[[Webサイト]]で使われてるっぽい。
[TIME[2018-07-30T09:52:17.000Z]]
[54]
[[SSL]] や [[TLS]] という専門用語をわからない人に納得させないといけない場面で生み出された用語なんだろうか。