★はじめに:世間様の「常時 https 化」の背景★
最近、ウェブページを旧来のhttp方式ではなく、https方式で提供するサイトが増えてきました。実際、弊社の【おたよりはこちらから】で利用している投稿フォームでも、httpsが使える方には極力httpsを利用していただくという方針を採っています。
(以下、詳しい方には百も承知かと思いますが、スマホだけしかお使いでない若い方もたくさんいらっしゃると思うので、やや詳しく説明します。)
そもそもこの2つは何が違うのかというと、httpではデータを暗号化しないで送受信する(つまり、手元の端末からウェブサーバまでの経路のどこかを悪い人に乗っ取られてしまった場合には、通信内容が丸見えになってしまう)のに対し、httpsでは複雑な暗号技術を使っているので、盗聴が非常に困難になっています。
当然ながらhttpsのほうが色々な面でコストがかかるので、旧来は、一部のページ、たとえばパスワードやカード番号などの入力画面などだけをhttps化し、逆に、盗聴されてもあまり問題にならない大半の部分はhttpで素通しにするのが一般的でした。
ところが近年、ネット業界の大御所のひとつであるGoogle社などが、世界中のウェブサイトに対して「サイト全体のhttps化」を強く呼びかけるようになりました。特に、Google製のブラウザ「Chrome」
では Version 69(2018年夏公開)から、httpsになっていないサイトを開いたときにはアドレスの左側に「保護されていない通信」という一言が表示されるようになりました。
【図】Chromeで当社の検索ページを開いたときの画面(2018.11.30撮影)。
「保護されていない通信」という文言が見て取れる。
今はまだこのように控えめな表示ですが、もしかしたら将来的には、もっと派手な警告を出すようになるかもしれません。
そして、この動きに合わせて、ウェブサイトにお金をかけたくない個人などに対しても、httpsを利用するための暗号鍵証明書を無償で発行してくれる事業者が何社か出てきました。そのため、そういったものを利用してウェブサイトをhttps化する人もどんどん増えてきています。
あるいは、ブログサイトの類についても、それぞれの運営業者がどんどんhttps化を進めています。もちろん、TwitterやInstagramなどのSNSは全面的にhttpsに移行済みです。
★でも、弊社はしばらくhttpのままです★
でも、弊社サイトはもうしばらく、sのつかないhttpのままで運用してみようと思っています。理由はいくつかあります。
【理由1】今まで、サーバ業者にやる気がなかった
2020年2月までこのサイトは、SANNETという中小プロバイダ上で運営していました。ところが何年も前からそういう中小のところは設備投資の状況が芳しくなく、SANNETもその例外ではありませんでした。世間で「常時https化」の流れが加速した時期にはもう、新規の会員登録すら終了し、設備投資も極限まで削減、という状況でした。
そして結局、SANNETのサービスは「楽天ひかり」に吸収合併されてしまいました。現在は弊社でも独自ドメイン(teihatsudo.info)を確保し、httpsを導入しようと思えばいつでもできる状況ではあるのですが、導入しない理由は下に述べるようにまだあるので、もうしばらくは様子見をしようかなと考えています。
なお参考までに、SANNET時代に掲載していた文面を画像にして残しておきます。
![[SANNET時代の文面]](botsu/GIJUTSU0001_sannet.gif)
【理由2】古い暗号技術はすぐに使えなくなる
暗号技術の進展は非常に速く、世界中の科学者たちが競って新しい暗号技術の開発をしています。そしてそれと同時に、暗号データを処理するコンピュータの性能アップも非常に速く、今までなら第三者には解読できなかった既存の暗号がどんどん破られていっています。あるいは、それとは事情が少し異なりますが、わずか1-2年前に発表されたばかりの手法でも、簡単に解読できてしまう抜け穴が見つかってしまい、使い物にならなくなることがあります。
なので暗号の世界では、わずか5年前の技術ですら「時代遅れ」になりかねないのです。
たとえば下記の画面は、Windows XP上のGoogle Chrome 49(2015年に公開された、XP/Vista対応の最終バージョンです)で某ウェブサイトを見に行ったときの表示です。表示できないのはおそらく、このバージョンのChromeが最新の暗号技術に対応していないのが原因です。(Windows 7 上で最新版のChromeを使うと、問題なくページが表示されます。)
あるいはガラケーに至っては、今やhttpsなサイトを直接閲覧することは絶望的です。
(1) たとえばYouTubeを開こうとすると…
(2) 接続できない。
なお、ガラケー関係の詳しい情報は、ガラケーSSL|J-Stream CDN情報サイトというサイトに簡潔にまとめられています。これを見れば、それぞれの専門用語の意味は分からなくても、ガラケーでhttpsを利用するのは、既に何年も前から絶望的になっている、ということは分かるでしょう。
【理由3】スマホでも、ずっと大丈夫とはいえない
2012〜13年に出たiPhone 5シリーズ(→Wikipedia「iPhone 5」)は、2017年にiOS 11が出た際に、一部の上位機種(iPhone 5s)を除いて対応機種から外されました(→Wikipedia「iOS (アップル)#11.x」)。iPhone 5 の初登場からわずか5年でのことです。今のところ最新のiOS 12でもiPhone 5sはサポート対象になっていますが、iPhone 5sやiPhone 6シリーズについてはもはや、いつ切り捨てられても全く不思議ではありません。
Androidだとそこまでアコギな話は今のところ聞きませんが、上記の意味するところは、もしいま最新のスマホを買って、それを丁寧に10年くらい使い続けたとすると、そのころにはもう使い物にならなくなっているはずということです。言いかえれば、機械自体はまだまだ元気なのに、それを廃棄して新しいものに買い換える以外の選択肢は極めて限られてしまうのです。個人的には、こういう「使い捨て文化」は好きではありません。
★そんな悠長なことを言っていて大丈夫?★
もちろん、「早くhttps化したほうがいいのでは?」という声があることは弊社としても当然把握しています。でもそれでも、もうしばらくはまだ大丈夫なのです。
少し前には、ウェブサイト作成代行業者などがさかんに、
https化しましょう!そうしないと、
検索エンジンでの
ヒット順位が
ガタ落ちになりますよ!
httpsになっていない」という理由だけでそこまで露骨に順位が下がったという話は今のところ、まったく聞きません。
実際、「剃髪道」でGoogle検索すると、まだまだ弊社がトップ3を独占しています(2018.11.30現在)。
というわけで、まだまだhttpのままでも大丈夫、と悠長に構えてはいますが、将来的にガラケーのサービスが完全に打ち切られるころ(NTTドコモは「2026.03.31に3G回線とiモードを終了する」と告知しています)には弊社もこっそりとhttps化しているかもしれません。
ではでは、今日はこんなところで。
| ↑ | 技術的な話 | > |
| §0002 CSS開発にご協力いただけるエンジニアを募集中です |