常時SSL/TLS化

HTTPS 化 (Web)

[30] WebサイトHTTPS化とは、素のHTTPから HTTPS へと WebサーバーWebブラウザーの間のプロトコルを変更することをいいます。

[1] AOSSL (Always-On SSL常時SSL) は、 素のHTTPのかわりにHTTPSを使うことを指すバズワードです。 一部の証明書発行業者等が自社製品の販促等で使っているようです。

[27] 昔からHTTPS固定と呼ばれることもありました。 AOSSLHTTPS固定も、 文脈なしで通用するほど普及した用語ではありません。

[29] HTTPS Everywhere は、 EFF らによる HTTPS 移行のためのブラウザー拡張の製品とそのプロジェクトの名前ですが、 HTTPS Everywhere あるいは HTTPS everywhereWebサイトHTTPS 移行を表す用語としても用いられています。単一サイトの移行というよりは、 Web 全体の移行を目指すという社会的意義を含んだニュアンスがあります。

背景

[43] スノーデン事件を契機にインターネット盗聴問題への関心が高まりました。 これまで標準的に用いられてきた素のHTTPでは盗聴改竄等を回避できないこと、 これがECサイト企業だけでなく、すべての Webサイトに関わる重大なセキュリティー問題であることが認識され、 Web 全体を HTTPS に移行させることが急務となりました。

[44] HSTSUIR のような移行技術の Webブラウザーへの搭載、 無料の証明書を発行する認証局 Let's Encrypt の設立、 Google をはじめとする主要 WebサービスHTTPS化といった各方面の環境整備を経て、 現在は一般の Webサイトも徐々に HTTPS化が進行しています。

課題

[37] 業界の主要プレイヤーが HTTPS への移行を促進する施策を進めていますが、 日本企業は対応が遅い傾向が見られます。 2016年頃からようやく日本の主要な Web企業が自社サイトの HTTPS化をはじめました。

[42] 業界でシェアを握っている Webサービスが対応に消極的で、 そのサービスを利用する WebサイトHTTPS化に踏み切れない事例も観測されています。

関連

[28] プロトコルについては HTTPS を、 WebブラウザーHTTPS 移行については POWER を参照。

メモ

[2] Yahoo! JAPANサービスは常時SSL(AOSSL)に対応します - Yahoo! JAPAN () <http://docs.yahoo.co.jp/info/aossl/>

Yahoo! JAPANではお客様により安全にサービスをご利用いただくため、2016年4月から2017年3月にかけて、Yahoo! JAPANトップページやYahoo!ニュースを含むすべてのサービスにおいて常時SSL(AOSSL)に対応いたします(※1)。

[3] >>2素のHTTPでしか提供されていません。
[4] 常時SSL | シマンテック () <https://www.symantec.com/ja/jp/page.jsp?id=always-on-ssl>

常時SSLとはウェブサイトの全てのページをHTTPS化(SSL/TLS暗号化)するセキュリティ手法です。これまでは個人情報を入力する場面など、重要な情報をやり取りする場面のみで通信を暗号化する方法が用いられてきましたが、これをウェブサイト全体に広げる方法が常時SSLです。

「常時SSL」・「常時SSL化」・「常時SSL/TLS化」
[5] Always-On SSL (AOSSL) for IT Administrators | DigiCert.com () <https://www.digicert.com/aossl-it-admins.htm>

Always-On SSL (AOSSL) is considered a best practice by many standards bodies because it encrypts user sessions the entire time they are on your site, not just on certain pages. Many large companies like Twitter, PayPal, Facebook, and Microsoft have already enabled AOSSL on their sites to better protect their users.

[6] httpをすべて「http"s"」に! ユーザーの安全を守るAOSSL対応 - Yahoo! JAPANコーポレートブログ — httpをすべて「http"s"」に! ユーザーの安全を守るAOSSL対応 () <http://yahoojapanpr.tumblr.com/post/155737158787/aossl>

現在、Yahoo! JAPANは、ユーザーのみなさんの安全を守るための施策として「ウェブサイト全体のSSL(※)化」(AOSSL対応)を行っています。

「AOSSL対応」
[7] 常時SSLとは|AOSSL|常時HTTPS化|常時SSL化|Always On SSL - 意味 / 定義 / 解説 / 説明 : IT用語辞典 () <http://e-words.jp/w/%E5%B8%B8%E6%99%82SSL.html>

常時SSLとは、WebサイトのすべてのページをSSL/TLSで暗号化して送受信すること。サイト内のすべてのページのURLが「https://」で始まるようになる。

[8] DigiCert代理店のアールエムエス、常時SSL(AOSSL)への移行ガイド資料の提供を開始 | 共同通信PRワイヤー () <http://prw.kyodonews.jp/opn/release/201610185411/>

DigiCert(デジサート)の正規代理店である株式会社アールエムエス(本社:東京都多摩市、代表取締役:望月 忠雄)では、Webサイトの常時SSL(AOSSL)化を行うメリットや手順、注意点などをまとめたガイドライン資料の提供を開始しました。

[9] Bluetent Adopts AOSSL | Bluetent Digital Marketing  () <https://www.bluetent.com/blog/bluetent-adopts-aossl/>

Therefore, with great enthusiasm, Bluetent is now adopting Always On SSL (AOSSL) as the default for our new websites.

[10] とか言っているが、この記事自体が素のHTTPで普通に提供されており (Bluetent Adopts AOSSL | Bluetent Digital Marketing () <http://www.bluetent.com/blog/bluetent-adopts-aossl/>) HSTS も使っていない。「Always」とはどういう意味なのだろうか。

[11] ヤフオク!常時SSL(AOSSL)対応への変更作業承ります。 | 店舗集客.com () <http://xn--ubtr2e801cfkr.com/%EF%BD%93%EF%BD%93%EF%BD%8C%E5%AF%BE%E5%BF%9C/%E3%83%A4%E3%83%95%E3%82%AA%E3%82%AF%E5%B8%B8%E6%99%82ssl%EF%BC%88aossl%EF%BC%89%E5%AF%BE%E5%BF%9C%E3%81%B8%E3%81%AE%E5%A4%89%E6%9B%B4%E4%BD%9C%E6%A5%AD%E6%89%BF%E3%82%8A%E3%81%BE%E3%81%99%E3%80%82.html>

[12] 常時SSL化(AOSSL)に向け、合わせて点検・対応すべきこと - Qiita () <https://qiita.com/y-okuda/items/6db521b49be0aee964f4>

[13] 業界初!中古車検索サイト「車選び.com」が常時SSL化(AOSSL)に対応」~セキュリティを高めた環境で安全にご利用いただけます~ » ファブリカコミュニケーションズニュース () <http://www.fabrica-com.co.jp/news/press/1713/>

AOSSLとは、Always On SSLの略で、ホームページのトップ画面からSSLを使用(https://)してサイト全体の暗号化を行いユーザーが訪問する全てのウェブページを 常にエンド・ツー・エンドで守るセキュリティ対策です。

[14] >>13 は運営会社の企業サイト。 HTTPS でアクセスすると素のHTTPリダイレクトされる。サービスサイトと企業サイトで別サイトだから (ドメインも違う)、 嘘はついていないが・・・。
[15] 常時SSL | J-Stream CDN情報サイト ( 2015年4月10日 by 鍋島 公章 ) <https://tech.jstream.jp/blog/ssl/always_on_ssl/>

非SSL通信の危険性のため、常時SSL(AOSSL: Always  on SSL)という流れが本格化してきています。

[16] Moving to Always On SSL - 97th Floor (August 19, 2014 ) <https://97thfloor.com/blog/move-to-ssl/>

As you’ve probably already heard, on August 6 Google announced <https://googleonlinesecurity.blogspot.co.uk/2014/08/https-as-ranking-signal_6.html> that they are now giving an SEO boost to sites secured with SSL. HTTPS everywhere/Always On SSL (AOSSL) is the practice of securing your entire site with SSL, not just pages that handle sensitive information like login or checkout pages.

[17] リンク先の Google の記事には「Always On SSL」どころか「SSL」とも書いていない (「TLS」か「HTTPS」のみ)。
[18] Always On SSL (AOSSL) Whitepaper Published | UNMITIGATED RISK (April 24, 2012 ) <http://unmitigatedrisk.com/?p=40>

There is a trend to move to protecting all site content with SSL, this effort has been dubbed Always On SSL; the OTA has just recently published a whitepaper on this topic that I had a chance to contribute to.

[19] Always on SSL | Symantec () <https://www.symantec.com/page.jsp?id=always-on-ssl>

Always On SSL is a fundamental, cost-effective security measure for websites that helps protect the entire user experience from start to finish, making it safer to search, share, and shop online.

[20] 常時SSLサーバ証明書 AOSSL | 年額2,037円のセキュリティ対策 (株式会社ハイパーボックス著, ) <https://www.aossl.jp/>

[21] 「AOSSL」という商品名で証明書を売っている業者。
[22] AlwaysOnSSL – Free and automated SSL/TLS certificates for your Hosting Business () <https://alwaysonssl.com/>

We’ve partnered with Symantec, the most trusted Certification Authority in the world, to create a new, free SSL Certificate, exclusively for the Web Hosting Industry. But CertCenters’ AlwaysOnSSL isn’t just a fully automated Certification Authority, it’s a concept.

[23] Always-On SSL - Entrust, Inc. (Updated February 24, 2014 ) <https://www.entrust.com/always-on-ssl/>

Always-On SSL is an approach to securing your website to mitigate attacks against your users. When I think of Always-On SSL, I think of three concepts: SSL across your entire site, SSL deployed to the best practices, and SSL with leading technology.

[24] 「BASE」が独自ドメインのSSL証明書の無料発行・自動管理を開始 ‐常時SSLで安心安全なネットショップ運営を‐ | BASE, Inc. () <https://binc.jp/news/pr_20170322/>

[25] 独自ドメインのショップでhttpsでアクセスできるようになりました - BASE開発チームブログ () <http://devblog.thebase.in/entry/2017/03/22/111015>

[26] >>25 しかしこのブログ記事 (はてなブログ) は素のHTTPなんだよなーw

[31] Web サービスの完全 HTTPS 化 - クックパッド開発者ブログ () <http://techlife.cookpad.com/entry/2017/04/19/190901>

[32] HTTPS化に関するポエム - catatsuyとは ( ()) <http://catatsuy.hateblo.jp/entry/2017/04/22/204158>

[33] はてなブックマークHTTPS化に消極的なようです。 詳しくははてなブックマークを参照。

[38] はてなダイアリーの新規開設受付停止、はてなカウンターのサービス終了に伴い、はてなブログProのメニューを変更します - はてなブログ開発ブログ () <http://staff.hatenablog.com/entry/2017/06/05/152400>

HTTPSに対応していない「はてなカウンター」終了後には、はてなブログのHTTPS化について検討し、状況に応じて開発を進めていく予定です。

[39] はてなカウンターを2017年8月7日に終了します - はてなカウンター日記 - 機能変更、お知らせなど () <https://hatena.g.hatena.ne.jp/hatenacounter/20170605/1496643808>

昨今のインターネットの潮流として、Webサイトの常時SSL化(HTTPS化)が推進されていますが、はてなカウンターは古いサービスということもあって現在もHTTPSに対応しておらず、今後の対応も難しい状況です。はてな内のサービス(はてなブログなど)でもHTTPSについて検討していることもあり、はてなカウンターをこの時点で終了することといたしました。

[34] はてな匿名ダイアリーをHTTPS化しました - Hatelabo Developer Blog () <http://labo.hatenastaff.com/entry/2017/06/14/143806>

[35] このブログを HTTPS 化した - 9mのパソコン日記 () <https://blog.kksg.net/posts/https>

当時は AdSense 以外の広告が軒並みHTTPS非対応だったし、AdSense は HTTPS にすると対応広告が少ないため単価が下がると公式のヘルプに書いてあった。これでは広告駆動運営されてるほとんどのWebサイトには厳しい。

しかし、現在は AdSense から単価が下がるという注意書きは消えているし、nend などその他のアドネットワークでも HTTPS が使えるようになった。なので、このデメリットはあまり気にしなくて良くなっているかもしれない。

[36] HTTPS Everywhere: Encryption for All WordPress.com Sites — The WordPress.com Blog () <https://en.blog.wordpress.com/2016/04/08/https-everywhere-encryption-for-all-wordpress-com-sites/>

[40] 「Yahoo!検索」SSL化のお知らせ - ヤフー株式会社 () <https://about.yahoo.co.jp/info/notice/150812.html>

[41] 常時SSL化(WebサイトのHTTPS化)に対応いたしました : NAVERまとめ公式ブログ () <http://navermatome-official.blog.jp/archives/67332539.html>

[45] 【追記あり】アメーバブログの常時SSL化に伴う仕様変更について|スタッフブログ () <https://ameblo.jp/staff/entry-12247397187.html>

アメーバブログではサイトセキュリティ強化・SEO向上を目的として、2017年春以降にかけて常時SSL化を予定しております。

それに先立ちまして、アメーバブログの仕様を下記の通り変更とさせていただきます。

[46] Amebaヘルプ|常時SSL化以降、ご利用可能なプラグインについて () <http://helps.ameba.jp/faq/blog/1006/ssl.html>

アメーバブログでは2017年3月以降、サイトセキュリティ強化・SEO向上を目的として、常時SSL化を随時行って参ります。 それに伴い、以下に許可された提供元サービスのプラグイン以外の設置は禁止となり、外部会社が提供するブログパーツなどは設定が行えなくなります。許可された提供元サービスは、随時追加して参ります。

[47] 更新履歴 - Graph API ( ()) <https://developers.facebook.com/docs/apps/changelog/>

新しいリアルタイムアップデートはHTTPSのみで可能 - HTTPS以外のコールバックURLでは、新しい購読を作成できなくなりました。 これによりUser、Page、App、Paymentのアップデートが影響を受けます。

[48] 「動画埋め込みコード」HTTPS対応のお知らせ|ニコニコインフォ () <http://blog.nicovideo.jp/niconews/49321.html>

[49] NHKオンライン (日本放送協会著, ) <https://www.nhk.or.jp/>

最近 HTTPSリダイレクトされるようになった。

[50] ニート株式会社WEBサイト常時SSL化のお知らせ - NEET株式会社NEET株式会社 (04 Sun 2017.06 ) <https://neet.co.jp/news/neet%e6%a0%aa%e5%bc%8f%e4%bc%9a%e7%a4%beweb%e3%82%b5%e3%82%a4%e3%83%88%e5%b8%b8%e6%99%82ssl%e5%8c%96%e3%81%ae%e3%81%8a%e7%9f%a5%e3%82%89%e3%81%9b>

[51] 中央省庁の全WebサイトでSSL/TLS対応を義務化する方向 | スラド セキュリティ () <https://security.srad.jp/story/18/04/10/0413235/>

[52] 経産省HPに「警告」表示 閲覧ソフト「クローム」最新版で - 共同通信 () <https://this.kiji.is/394731500563694689>

専門家によると安全対策は「常時暗号化」と呼ばれ、対応していないと利用者がホームページ上で入力した内容を第三者に読み取られたりする懸念がある。

[53] (「常時」と「暗号化」がたまたま組み合わさったのではなく一語と思われる) 「常時暗号化」なんて聞いたことない、 新しいマスコミ用語か、 と思いきや、 マスコミ以外にも複数の官公庁の Webサイトやいくつかの民間の Webサイトで使われてるっぽい。

[54] SSLTLS という専門用語をわからない人に納得させないといけない場面で生み出された用語なんだろうか。