はじめに
”あトん”です。随分ご無沙汰してます。
先月過去記事をhttps化したFC2ブログに里帰りさせたので、はてなブログでの記事数はこれを含め21記事に激減しました。
月にたった2つ記事しかアップしない典型的なさぼり管理者になってしまいました。
3週間ぶりの記事は、またか!と思われるかもしれませんが、SSLに関する内容です。
先月はてなブログはSSL化の計画を説明しましたが、期待していた進捗がありませんでした。9月25日に告知したスケジュールは遅れているみたいですね。
第一段階:はてなブログのダッシュボード・管理画面をHTTPS化します
まず、はてなブログをお使いのすべてのユーザー様に関係し、移行が比較的容易な管理画面からHTTPS化を実施します。早ければ来週にも、ダッシュボード(blog.hatena.ne.jp)をはじめとして、同ドメイン以下にある管理画面がHTTPSで配信されるようになります。
もうすぐ一月経ってしまいますよー、はてなさん。
Chrome62のリリース
はてなさんがモタモタしている中、10月17日(アメリカ時間)にChrome62が正式リリースされました。
10月18日(日本時間)朝にChrome61をアップデートしようと開いたら時差の関係で出来ませんでした。
夕方帰宅後、Chromeの「右上設定アイコン」→「ヘルプ」→「Chrome Chromeについて」を順にクリックすると自動的に「62.0.3202.62」にアップデートされました。
Chromeユーザはお早目にChrome62にアップデートして見て下さい。
残念なこと
はてなブックマーク(b.hatena.ne.jp)には検索バーがあるので、文字入力時に「保護されていません」の表示が出ないようhttpsに変わると思っていたのですが、まだ未対応な状況には残念です。
唯一変わったのは、Hatenaにログインする画面がhttpsに変わっただけでした。
(たぶん。。。)
"あトん"はスマホでブックマークを閲覧するのが多いのですが、中途半端な変更になったおかげで、スマホでスターを付けたり、読者登録しようとすると、毎回、IDとパスワードを入力しなければならなく大変不便です。
一刻も早く、はてなブックマーク(b.hatena.ne.jp)をhttpsに変えて欲しいですね。
スマホのChrome62リリース日は10月24日ですが、まさかこの日迄に間に合えばよいとでも、はてなさんは思っているのでしょうか。
10月23日追記
上記説明は間違っていたので訂正します。スマホのChrome62は10月18日にアップデートされてました。
或いは最終リミット迄に常時SSL化されれば良い、と考えているのでしょうか。
では、GoogleがHTTPで配信されるすべてのページを「保護されていません」と明示するのは、いつ頃なのでしょうか。
Xデーはいつ?
これは2017年9月11日に公開された「Google Online Security Blog」の中にヒントが隠されていると思います。
このブログの内容を要約すると、以下のことが書かれてました。
①GoogleはSymantec社が発行した証明書への信頼を段階的に削除する。
②2018年3月15日の「Google Chrome 66」Beta版より、2016年6月1日より前に発行された証明書への信頼を削除する。
③2018年10月23日頃リリース予定の「Google Chrome 70」より、発行日に関わらずSymantec社の古い証明書への信頼を完全に削除する。
④Symantec社の証明書を利用しているサイト運営者は13カ月以内に証明書を入れ替える必要がある。
Symantec社の証明書は市場で30%以上利用されていると言われており、Googleは大きな混乱を避ける為に、上記スケジュールを提案しているようです。
この事から、HTTP(非SSLサイト)のすべてのページに「保護されていません」と明示するのは、2018年10月23日以降になるのではと”あトん”は予想します。
2018年2月12日 追記
2月8日に公開されたGoogle Security Blogによると、Chrome68からHTTP で配信しているすべてのページに「保護されていない通信」のラベルがURLアドレス欄の先頭に表示されることになりました。
まだまだ先だと安心していた皆様、大変申し訳ありません。心からお詫び申し上げます。
まとめ
即ちGoogleは「常時SSL化してないサイトは2018年10月23日迄に完了してね」と遠回しに言っているのです。
よってXデーはChrome70のリリース日と考えて良いでしょう。
XデーはChrome68のリリース日:2018年7月24日に決定しました。
Chromeのリリース日程が気になる方は下記サイトをウォッチングして下さいね。
ところで、皆さんもお気づきだと思いますが、知見と感が良い優良ブロガー様はWordPressにどんどん流出してますね。大変さびしい状態です。
一方多くの「はてなProユーザ」は9月25日の下記告知を見てSSL証明書について安心したのではないでしょうか。
※ドメインの証明書は外部サービスを利用した自動取得を検討しており、独自にご用意いただく必要はありません。また、独自に取得した証明書を利用できる機能を提供する予定もありません
しかしアフェリエイトで儲けようと思っている「はてなProユーザ」は、どのレベルのSSLサーバ証明書かを多少気にする必要があると思います。
なぜなら、Googleが信頼しないCAから証明書を取得した場合、検索順位が大きく下がってしまう恐れがあるからです。
長期的に考えるとCT:Certificate Transparency(証明書の透明性)に対応できていることが理想です。
はてなブログの親が持つがSSL証明書はサブドメンも継承されますが、「はてなProユーザ」に提供されるSSL証明書がこれよりランクが低いものだった場合、サブドメインのブログの方が、独自ドメインより検索順位が高くなる逆転現象が起きる可能性があります。
はてなブログは「はてなProユーザ」にどのようなドメインの証明書を提供する予定なのか早くアナウンスしないと、更新まじかのProユーザは、はてなから離脱して行くのではないでしょうか。
なお誤解のないように言っておきますが、常時SSL化の遅延は、はてなブログにおいては、それ程深刻な問題ではありません。
今後のWEBはMFIが主流になるのですが、"あトん"が最近すごく気になった現象があります。
それははてなブログは robots.txt によってGooglebot をブロックしていることです。
このことに気づき、はてなブログは他のブログに比べMFIが劣っているのでは、と思い始めました。
この件は常時SSL化よりとっても気になるので別記事で解説したいと思います。
それでは最後の余談で締めたいと思います。
余談
ChromeでSSL証明書を簡単に表示できる方法を紹介したいと思います。
ご存知の方は読み飛ばして下さい。
SSL証明書の表示方法
通常操作でChromeでSSL証明書を表示するには5クリックする必要があり少し面倒です。一応手順を説明します。
①右クリック ②”検証(I)”をクリック
③”>>”をクリック ④”Security”をクリック
⑤”View certificate”をクリック
サーバ証明書が表示されます。
2クリックでの表示方法
これを2クリックで表示させる場合は以下の設定を行って下さい。
②”Show certificate link”を検索 ③”有効にする”をクリック
④”今すぐ再起動”をクリック
以上で設定は終了です。
それでは、2クリックで表示してみましょう。
①緑色の表示をクリック ②証明書をクリック
サーバ証明書が表示されます。
以上で説明は終わりです。
それでは眠いのでお休みします。