【HTTPS Everywhere】「Blogspot」ドメインの「HTTPS リダイレクト」に関する考察と設定オン後に検証して修正した事

概要

グーグル先生が掲げる…

HTTPS Everywhere

…が「Blogspot」ドメインの全てのブログで…

デフォルトになって一ヶ月半が経過しました…

【HTTPS Everywhere】「Blogspot」ドメインの全てのブログで暗号化接続が
デフォルトで有効となり警告·修正するツールが提供された件

「 Blogger」のダッシュボードも…

とうの昔に「HTTPS」化されているのですから

当サイトも当然ながら…即座に…

「HTTPS リダイレクト」を設定しました…

「HTTPS リダイレクト」するというのはどういう事なのか

少しだけ考察してみましょう…

【HTTPS Everywhere】で顕在化する被リンクが多いサイトに潜むリスク

当サイトのような辺境サイトでは全くもって無問題ですが…

被リンクが多い人気サイトの管理者は…早急に「HTTPS」化するべきでしょう…

【HTTPS Everywhere】は…なにせ… グーグル先生の肝いりですからね…

「HTTPS」化されたサイトのリンクから…

「混合コンテンツ」がある…

非暗号化サイトにアクセスすると…

アドレスバーに警告アイコンが表示されます…

このページは承認されていないソースからのスクリプトを読み込もうとしています。

タイムアウト エラー

プライバシー エラー

更に…表示される内容は…

情け容赦ないです…

「HTTPS」化していないだけで…

こんな感じの扱いになります…

「HTTPS」化が進めば…

昨日までの人気サイトが…

一夜にしてマルウェア扱いに…

…などという転換点は…

然程…遠い未来ではないでしょう…

「長いもの」が決断したのですから「巻かれる」以外の選択肢はありません…

そもそも… グーグル先生が「Google Webmaster Central Blog」で…

HTTPS ページが優先的にインデックスに登録されるようになります

…と明言しているのですから反発する理由が皆無です…

 Indexing HTTPS pages by default

source : 2015.12.17 (ボタンクリックで引用記事が開閉)

At Google, user security has always been a top priority. Over the years, we’ve worked hard to promote a more secure web and to provide a better browsing experience for users. Gmail, Google search, and YouTube have had secure connections for some time, and we also started giving a slight ranking boost to HTTPS URLs in search results last year. Browsing the web should be a private experience between the user and the website, and must not be subject to eavesdropping, man-in-the-middle attacks, or data modification. This is why we’ve been strongly promoting HTTPS everywhere.

As a natural continuation of this, today we'd like to announce that we're adjusting our indexing system to look for more HTTPS pages. Specifically, we’ll start crawling HTTPS equivalents of HTTP pages, even when the former are not linked to from any page. When two URLs from the same domain appear to have the same content but are served over different protocol schemes, we’ll typically choose to index the HTTPS URL if:

• It doesn’t contain insecure dependencies.
• It isn’t blocked from crawling by robots.txt.
• It doesn’t redirect users to or through an insecure HTTP page.
• It doesn’t have a rel="canonical" link to the HTTP page.
• It doesn’t contain a noindex robots meta tag.
• It doesn’t have on-host outlinks to HTTP URLs.
• The sitemaps lists the HTTPS URL, or doesn’t list the HTTP version of the URL
• The server has a valid TLS certificate.

Although our systems prefer the HTTPS version by default, you can also make this clearer for other search engines by redirecting your HTTP site to your HTTPS version and by implementing the HSTS header on your server.

We’re excited about taking another step forward in making the web more secure. By showing users HTTPS pages in our search results, we’re hoping to decrease the risk for users to browse a website over an insecure connection and making themselves vulnerable to content injection attacks. As usual, if you have any questions or comments, please let us know in the comments section below or in our webmaster help forums.

寧ろ…リスク管理の側面からも「HTTPS」化は必須です…

「HTTPS リダイレクト」をオンに設定した後に検証して修正した事

外部サイトへのリンク

元来…ニュースの引用記事はページが削除される場合が多々ありますので…

「参照先が見つからないコンテンツ」問題を回避するため…

申し訳ありませんがリンクは入れていませんでした…

なにせ…5月末の時点で…4大紙でさえ…

ウェブサイトに「HTTPS」で接続すると…この惨状でしたからね…

朝日新聞 / プライバシー エラー
読売新聞 / タイムアウト エラー
産経新聞 / タイムアウト エラー
毎日新聞 / 接続は出来ますがセキュアな「HTTPS」接続ではありません

なので…個別に修正する必要は皆無でしたが…

技術系の記事では…外部サイトへのリンクが在りましたので…

5月末の時点で「HTTPS」化に未対応なサイトは…人気記事であろうと

例えば…こんな感じで外部サイトへのリンクを削除しました…

X-Iron　

2016年5月の時点で暗号化接続に未対応なのでリンクを削除

グーグル先生は…アナウンスの通り…

セキュアなネット空間の構築が目的なのですから…

「HTTPS」化に未対応なサイトは…加速度的に…

被リンクから…こぼれ落ちていくのは自明でしょう…

PDF / iframe

同様の理由で…外部「PDFファイル」も削除しました…

サンプルとして「iframe」で読み込んでいた外部サイトは…

「HTTPS」化に未対応だと読み込めないので ⤵

「HTTPS」化に対応済みで安全なサイトに差し替えました…

動画共有サイトからの動画埋め込み

「 YouTube」は… グーグル先生の謹製ですから…

当然ながら…動画埋め込みでも無問題です…

  Straight From The Heart / Bryan Adams


「 Dailymotion」は…かなり微妙で…

埋め込むと…こんな感じ

今それを見る。

…をクリックすると…

「 Dailymotion」に移動して視聴は出来ますが…迷走感がハンパないですね…

おわりに…

ソーシャル・ネットワーキング・サービスに関しては…

お飾りのボタンは置いていますが…

アカウントが無いので…検証すらしていません… （￣＾￣) ｴｯﾍﾝ

何はともあれ…【HTTPS Everywhere】は…セキュアなネット空間の構築のために…

グーグル先生が下した決断である事を…くれぐれもお忘れなきよう…

以上です…最後までお読みいただきましてありがとうございます…

こちらの記事もどうぞ…

【HTTPS Everywhere】Google Chrome「デベロッパー ツール」に追加された
「Security Panel」がとてつもなく便利

Universal Header Sidebar Main Footer Current-Label : Tips