数学やプログラミングや映画など

新米SEがwebと数学と映画についてつらつら書きたいブログです。

はてなブログがHTTPS対応していない話

はてな インターネット

概要

そろそろブログ更新するかと思ってこのブログにアクセスしてみたらHTTPでアクセスしていてびっくりした。

この記事ではHTTPSって何ぞや、という話とHTTPのままだとどうなるの?っていう話をまとめます。

世の中の流れ的にHTTPSになっていないのはまずいんじゃないのと思いつつ、まぁでもはてなブログさんが対応してくれるまでどうしようもないなー、と思うのでとりあえず記事を書く。

なぜHTTPSにするのか

HTTPではなくHTTPSにするべき理由は以下です。

  • 情報の流出を防ぐため
  • サーバの認証をするため

ざっくり言って上記がHTTPSを使うべき本来の理由です。

これに加えて最近の風潮として、以下の理由も出てきました。

  • 世の中の流れ

これらについて詳しく書きます。

HTTP/HTTPS って?

HTTPとはWebサーバとHTMLなどのWebサイトの情報をやり取りをする際に使われるプロトコル(通信手順)のことです。

目の前のパソコンでChromeとかのブラウザを開き、URLを入力してエンターキーを押したときに、パソコンとWebサーバの間でHTTPを使ったやり取りが行われます。

HTTPを使った際にインターネット上を流れるデータは以下のものが挙げられます。

  • Webサーバから送られるデータ
    • HTMLやCSSなどのWebサイトの表示に必要なデータ
  • クライアントPC(目の前のパソコン)からWebサーバに送られるデータ
    • リクエストしたURL
    • 使用しているブラウザや機器を識別できる情報
    • CookieなどのクライアントPCに保存されている情報
    • フォームに入力したデータ

他にもありますが、ざっくり言って上記の情報がインターネット上に流れます。


HTTPSはHTTPと同様に上記のデータをやり取りするための通信手段のことですが、HTTPより安全性を高めたものです。

具体的には、HTTPで行うことに加えてデータの暗号化サーバの認証を行います。

データの暗号化ができると嬉しいこと

インターネット経由でWebサイトを閲覧する際に、色々な経路で目的のWebサーバと通信を行います。

例えば自宅に回線を引いている人であればプロバイダが提供しているルータを通ってインターネットにデータが出ていくと想定できます。

HTTPでWebサイトにアクセスした際に、データは平文でインターネット上を流れます。

平文とは暗号化されていないデータの事を指していて、インターネット上を流れるデータを盗み見られた場合にすぐに内容が分かってしまいます。

HTMLやCSSなどの情報が見られても問題ないことが多いと考えられますが、フォームに入力したデータ、例えばログインIDパスワードクレジットカード情報などが見られてしまった場合、悪用されてしまいます。

盗み見る、ということがいまいちピンと来ないかもしれませんが、データを中継するルータなどの装置にアクセスすることが出来れば流れるデータを盗み見ることは容易にできてしまいます。

自宅のルータであれば少しは安心かもしれませんが、Wifiスポットなどの誰が管理しているか分からないものを使ってインターネットにアクセスする場合はデータが盗み見られている可能性があると考えてよいでしょう。


一方でHTTPSであれば、データが暗号化されます。

データを暗号化する、ということは元のデータがどのようなものか分からない状態にすることを指します。

WebサーバとクライアントPCのみそのデータを解析する方法を持っておりそれ以外の人には分からない、という状態でデータのやり取りを行います。

これであれば万が一データが盗み見られてしまった場合でも、盗み見た人にとってはそれがどのような内容なのかが分かりませんので安心です。


はてなブログを利用する上でインターネット上を流れる重要な情報としてログイン情報が挙げられ、これを守るためにHTTPSで通信を行うことが必要です。

サーバの認証ができると嬉しいこと

サーバの認証とは、アクセス先のサーバが正式なものであると確認することを指します。

HTTPSでWebサイトにアクセスした際にサーバの証明書の情報が送られてくるので、その情報をもとにクライアントPCはアクセスしているサーバは正式なものであることを判断します。

証明書を発行するには認証局(CA)と呼ばれる機関に申請を行う必要があるので、偽造は基本的に出来ないものと考えてよいです。

これにより、アクセス先のWebサーバが本当に正しいのか否かを判断することができるので、フィッシング詐欺などに引っかからずに済みますね。

はてなブログではこれがあったところでそんなに嬉しく無いかもしれませんね。

世の中の流れ

全てのWebサイトはHTTPSで通信を行うべきである、という流れがここ数年であります。

例えばGoogleですが、Google検索による検索結果はhttpsが有効であるWebサイトに対しては常にhttpsが表示されるようになっています。

Google ウェブマスター向け公式ブログ: HTTPS ページが優先的にインデックスに登録されるようになります


Chromeブラウザを使用してHTTPでWebサイトにアクセスした際に警告が出るようするかも?という発表をしたのは記憶に新しいですね。(実際はまだなっていませんが。)

ChromeはHTTPの死を早めている…1月からHTTPSでないページに警告を表示 | TechCrunch Japan


また、Mozilla FirefoxブラウザではFirefox 52から、HTTPでWebサイトにアクセスした際にフォームに入力しようとすると警告が出るようになっていますね。

このように海外の巨大な企業が全てのWebサイトをHTTPS化しよう、という動きになっています。


日本の企業でもyahooがサービスを全てHTTPS化しましたね。

Yahoo! JAPANサービスは常時SSL(AOSSL)に対応します - Yahoo! JAPAN


ブラウザを作っている企業や検索エンジンのサービスを提供している大きな企業がこのようにHTTPS化の動きを進めているので、恐らく近い将来にHTTPで通信するWebサイトは無くなると考えても良いのではないかと思います。
はてなブログもなるべく早く対応してほしいものですね。


※ 2017年7月17日時点での情報です。