/
709.txt
262 lines (182 loc) · 12.9 KB
/
709.txt
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
237
238
239
240
241
242
243
244
245
246
247
248
249
250
251
252
253
254
255
256
257
258
259
260
261
262
[30] [[Webサイト]]の[DFN[HTTPS化]]とは、[[素のHTTP]]から [[HTTPS]]
へと [[Webサーバー]]と[[Webブラウザー]]の間の[[プロトコル]]を変更することをいいます。
[1] [DFN[AOSSL]] ([DFN[Always-On SSL]]、[DFN[常時SSL]]) は、 [[素のHTTP]]のかわりに[[HTTPS]]を使うことを指す[[バズワード]]です。
一部の[[証明書]]発行業者等が自社製品の販促等で使っているようです。
[27] 昔から[DFN[HTTPS固定]]と呼ばれることもありました。 [[AOSSL]] も [[HTTPS固定]]も、
文脈なしで通用するほど普及した用語ではありません。
[29] [CITE[HTTPS Everywhere]] は、 [[EFF]] らによる [[HTTPS]]
移行のための[[ブラウザー拡張]]の製品とそのプロジェクトの名前ですが、
[[HTTPS Everywhere]] あるいは [[HTTPS everywhere]] は [[Webサイト]]の [[HTTPS]]
移行を表す用語としても用いられています。単一サイトの移行というよりは、
[[Web]] 全体の移行を目指すという社会的意義を含んだニュアンスがあります。
* 関連
[28] [[プロトコル]]については [[HTTPS]] を、
[[Webブラウザー]]の [[HTTPS]] 移行については [[POWER]] を参照。
* メモ
[FIG(quote)[
[FIGCAPTION[
[2] [CITE@ja[Yahoo! JAPANサービスは常時SSL(AOSSL)に対応します - Yahoo! JAPAN]]
([TIME[2017-01-16 19:51:20 +09:00]])
<http://docs.yahoo.co.jp/info/aossl/>
]FIGCAPTION]
> Yahoo! JAPANではお客様により安全にサービスをご利用いただくため、2016年4月から2017年3月にかけて、Yahoo! JAPANトップページやYahoo!ニュースを含むすべてのサービスにおいて常時SSL(AOSSL)に対応いたします(※1)。
]FIG]
;; [3] >>2 は[[素のHTTP]]でしか提供されていません。 [TIME[2017-01-16T10:51:41.200Z]]
[FIG(quote)[
[FIGCAPTION[
[4] [CITE@ja[常時SSL | シマンテック]]
([TIME[2017-01-16 19:52:47 +09:00]])
<https://www.symantec.com/ja/jp/page.jsp?id=always-on-ssl>
]FIGCAPTION]
> 常時SSLとはウェブサイトの全てのページをHTTPS化(SSL/TLS暗号化)するセキュリティ手法です。これまでは個人情報を入力する場面など、重要な情報をやり取りする場面のみで通信を暗号化する方法が用いられてきましたが、これをウェブサイト全体に広げる方法が常時SSLです。
]FIG]
;; 「常時SSL」・「常時SSL化」・「常時SSL/TLS化」
[FIG(quote)[
[FIGCAPTION[
[5] [CITE@en[Always-On SSL (AOSSL) for IT Administrators | DigiCert.com]]
([TIME[2017-01-16 19:53:30 +09:00]])
<https://www.digicert.com/aossl-it-admins.htm>
]FIGCAPTION]
> Always-On SSL (AOSSL) is considered a best practice by many standards bodies because it encrypts user sessions the entire time they are on your site, not just on certain pages. Many large companies like Twitter, PayPal, Facebook, and Microsoft have already enabled AOSSL on their sites to better protect their users.
]FIG]
[FIG(quote)[
[FIGCAPTION[
[6] [CITE@en[httpをすべて「http"s"」に! ユーザーの安全を守るAOSSL対応 - Yahoo! JAPANコーポレートブログ — httpをすべて「http"s"」に! ユーザーの安全を守るAOSSL対応]]
([TIME[2017-01-16 19:54:41 +09:00]])
<http://yahoojapanpr.tumblr.com/post/155737158787/aossl>
]FIGCAPTION]
> 現在、Yahoo! JAPANは、ユーザーのみなさんの安全を守るための施策として「ウェブサイト全体のSSL(※)化」(AOSSL対応)を行っています。
]FIG]
;; 「AOSSL対応」
[FIG(quote)[
[FIGCAPTION[
[7] [CITE[常時SSLとは|AOSSL|常時HTTPS化|常時SSL化|Always On SSL - 意味 / 定義 / 解説 / 説明 : IT用語辞典]]
([TIME[2017-01-16 19:55:43 +09:00]])
<http://e-words.jp/w/%E5%B8%B8%E6%99%82SSL.html>
]FIGCAPTION]
> 常時SSLとは、WebサイトのすべてのページをSSL/TLSで暗号化して送受信すること。サイト内のすべてのページのURLが「https://」で始まるようになる。
]FIG]
[FIG(quote)[
[FIGCAPTION[
[8] [CITE@ja[DigiCert代理店のアールエムエス、常時SSL(AOSSL)への移行ガイド資料の提供を開始 | 共同通信PRワイヤー]]
([TIME[2017-01-16 19:56:07 +09:00]])
<http://prw.kyodonews.jp/opn/release/201610185411/>
]FIGCAPTION]
> DigiCert(デジサート)の正規代理店である株式会社アールエムエス(本社:東京都多摩市、代表取締役:望月 忠雄)では、Webサイトの常時SSL(AOSSL)化を行うメリットや手順、注意点などをまとめたガイドライン資料の提供を開始しました。
>
]FIG]
[FIG(quote)[
[FIGCAPTION[
[9] [CITE@en-US[Bluetent Adopts AOSSL | Bluetent Digital Marketing ]]
([TIME[2017-01-16 19:56:44 +09:00]])
<https://www.bluetent.com/blog/bluetent-adopts-aossl/>
]FIGCAPTION]
> Therefore, with great enthusiasm, Bluetent is now adopting Always On SSL (AOSSL) as the default for our new websites.
]FIG]
;; [10] とか言っているが、この記事自体が[[素のHTTP]]で普通に提供されており
([CITE@en-US[Bluetent Adopts AOSSL | Bluetent Digital Marketing]] ([TIME[2017-01-16 19:57:39 +09:00]]) <http://www.bluetent.com/blog/bluetent-adopts-aossl/>)
[[HSTS]] も使っていない。「Always」とはどういう意味なのだろうか。
[TIME[2017-01-16T10:58:00.200Z]]
[11] [CITE@ja[ヤフオク!常時SSL(AOSSL)対応への変更作業承ります。 | 店舗集客.com]]
([TIME[2017-01-16 19:58:42 +09:00]])
<http://xn--ubtr2e801cfkr.com/%EF%BD%93%EF%BD%93%EF%BD%8C%E5%AF%BE%E5%BF%9C/%E3%83%A4%E3%83%95%E3%82%AA%E3%82%AF%E5%B8%B8%E6%99%82ssl%EF%BC%88aossl%EF%BC%89%E5%AF%BE%E5%BF%9C%E3%81%B8%E3%81%AE%E5%A4%89%E6%9B%B4%E4%BD%9C%E6%A5%AD%E6%89%BF%E3%82%8A%E3%81%BE%E3%81%99%E3%80%82.html>
[12] [CITE[常時SSL化(AOSSL)に向け、合わせて点検・対応すべきこと - Qiita]]
([TIME[2017-01-16 20:00:43 +09:00]])
<https://qiita.com/y-okuda/items/6db521b49be0aee964f4>
[FIG(quote)[
[FIGCAPTION[
[13] [CITE@ja[業界初!中古車検索サイト「車選び.com」が常時SSL化(AOSSL)に対応」~セキュリティを高めた環境で安全にご利用いただけます~ » ファブリカコミュニケーションズニュース]]
([TIME[2017-01-16 20:02:06 +09:00]])
<http://www.fabrica-com.co.jp/news/press/1713/>
]FIGCAPTION]
> AOSSLとは、Always On SSLの略で、ホームページのトップ画面からSSLを使用(https://)してサイト全体の暗号化を行いユーザーが訪問する全てのウェブページを 常にエンド・ツー・エンドで守るセキュリティ対策です。
]FIG]
;; [14] >>13 は運営会社の企業サイト。 [[HTTPS]] でアクセスすると[[素のHTTP]]
に[[リダイレクト]]される。サービスサイトと企業サイトで別サイトだから (ドメインも違う)、
嘘はついていないが・・・。 [TIME[2017-01-16T11:03:32.800Z]]
[FIG(quote)[
[FIGCAPTION[
[15] [CITE@ja[常時SSL | J-Stream CDN情報サイト]]
( 2015年4月10日 by 鍋島 公章 [TIME[2017-01-16 20:04:21 +09:00]])
<https://tech.jstream.jp/blog/ssl/always_on_ssl/>
]FIGCAPTION]
> 非SSL通信の危険性のため、常時SSL(AOSSL: Always on SSL)という流れが本格化してきています。
]FIG]
[FIG(quote)[
[FIGCAPTION[
[16] [CITE@en-US[Moving to Always On SSL - 97th Floor]]
(August 19, 2014 [TIME[2017-01-16 20:07:31 +09:00]])
<https://97thfloor.com/blog/move-to-ssl/>
]FIGCAPTION]
> As you’ve probably already heard, on August 6 Google announced
<https://googleonlinesecurity.blogspot.co.uk/2014/08/https-as-ranking-signal_6.html>
that they are now giving an SEO boost to sites secured with SSL. HTTPS everywhere/Always On SSL (AOSSL) is the practice of securing your entire site with SSL, not just pages that handle sensitive information like login or checkout pages.
]FIG]
;; [17] リンク先の [[Google]] の記事には「Always On SSL」どころか「SSL」とも書いていない
(「TLS」か「HTTPS」のみ)。
[FIG(quote)[
[FIGCAPTION[
[18] [CITE@en-US[Always On SSL (AOSSL) Whitepaper Published | UNMITIGATED RISK]]
(April 24, 2012 [TIME[2017-01-16 20:10:52 +09:00]])
<http://unmitigatedrisk.com/?p=40>
]FIGCAPTION]
> There is a trend to move to protecting all site content with SSL, this effort has been dubbed Always On SSL; the OTA has just recently published a whitepaper on this topic that I had a chance to contribute to.
]FIG]
[FIG(quote)[
[FIGCAPTION[
[19] [CITE@en[Always on SSL | Symantec]]
([TIME[2017-01-16 20:12:09 +09:00]])
<https://www.symantec.com/page.jsp?id=always-on-ssl>
]FIGCAPTION]
> Always On SSL is a fundamental, cost-effective security measure for websites that helps protect the entire user experience from start to finish, making it safer to search, share, and shop online.
]FIG]
[20] [CITE[常時SSLサーバ証明書 AOSSL | 年額2,037円のセキュリティ対策]]
([[株式会社ハイパーボックス]]著, [TIME[2017-01-16 20:13:31 +09:00]])
<https://www.aossl.jp/>
;; [21] 「AOSSL」という商品名で[[証明書]]を売っている業者。
[FIG(quote)[
[FIGCAPTION[
[22] [CITE@en-US[AlwaysOnSSL – Free and automated SSL/TLS certificates for your Hosting Business]]
([TIME[2017-01-16 20:15:55 +09:00]])
<https://alwaysonssl.com/>
]FIGCAPTION]
> We’ve partnered with Symantec, the most trusted Certification Authority in the world, to create a new, free SSL Certificate, exclusively for the Web Hosting Industry. But CertCenters’ AlwaysOnSSL isn’t just a fully automated Certification Authority, it’s a concept.
]FIG]
[FIG(quote)[
[FIGCAPTION[
[23] [CITE@en-US[Always-On SSL - Entrust, Inc.]]
(Updated February 24, 2014 [TIME[2017-01-16 20:21:59 +09:00]])
<https://www.entrust.com/always-on-ssl/>
]FIGCAPTION]
> Always-On SSL is an approach to securing your website to mitigate attacks against your users. When I think of Always-On SSL, I think of three concepts: SSL across your entire site, SSL deployed to the best practices, and SSL with leading technology.
]FIG]
[24] [CITE@ja[「BASE」が独自ドメインのSSL証明書の無料発行・自動管理を開始 ‐常時SSLで安心安全なネットショップ運営を‐ | BASE, Inc.]]
([TIME[2017-03-23 09:47:42 +09:00]])
<https://binc.jp/news/pr_20170322/>
[25] [CITE@ja[独自ドメインのショップでhttpsでアクセスできるようになりました - BASE開発チームブログ]]
([TIME[2017-03-23 09:47:53 +09:00]])
<http://devblog.thebase.in/entry/2017/03/22/111015>
[26] >>25 しかしこのブログ記事 ([[はてなブログ]]) は[[素のHTTP]]なんだよなーw
[31] [CITE@ja[Web サービスの完全 HTTPS 化 - クックパッド開発者ブログ]]
([TIME[2017-04-20 00:43:55 +09:00]])
<http://techlife.cookpad.com/entry/2017/04/19/190901>
[32] [CITE@ja[HTTPS化に関するポエム - catatsuyとは]]
( ([TIME[2017-04-23 02:39:30 +09:00]]))
<http://catatsuy.hateblo.jp/entry/2017/04/22/204158>
[33] [CITE@ja[はてブのHTTPからHTTPSの以降についてはてなは有料個別サービスとして実施しているので、タダで対応するまでにはまだ時間がかかるんじゃないかな。うちは見積したけどアホみたいな金額だったのでやめました - masatomo-m のコメント / はてなブックマーク]]
( ([TIME[2017-04-23 02:40:19 +09:00]]))
<http://b.hatena.ne.jp/entry/333144467/comment/masatomo-m>
[34] >>33 これって既に[[ブックマーク]]された [CODE(URI)@en[http:]] [[URL]]
の扱いってことですよねぇ。事実なら、あくどい商売だな。
シェア1位は業界を先導する立場であって、殿様商売するべきものではないと思いますが。
[FIG(quote)[
[FIGCAPTION[
[35] [CITE@ja[お問い合わせ - はてな]] ([TIME[2017-04-23 16:48:42 +09:00]] 版) <https://www.hatena.ne.jp/faq/qa/bookmark#263464954364778146>
]FIGCAPTION]
> Firefoxの仕様変更により https:// から始まるページではブックマークレットが動作いたしません。https:// から始まるページでもご利用いただけるよう修正を検討しておりますが、修正に時間がかかる可能性もございますので、はてなブックマークFirefox拡張をご利用下さい。
]FIG]
[37] >>36 が書かれた[TIME[2016年4月][2016-04]]時点で既に >>35
が掲載されているらしい (それ以前のいつからかは不明)。
時間がかかるといっても、1年かかってなお修正できないとはどれだけ大層なシステムなのか。
(「簡易」とはいえ外部の人が >>36 で作れてるみたいですが・・・。)
[36] [CITE@ja[URLがhttpsで始まるサイトで「はてなブックマーク」のブックマークレットが動作しないので簡易ブックマークレットを作成]] ([TIME[2017-04-23 16:45:56 +09:00]] 版) <http://hitoriblog.com/?p=39473>