「強制」というのはあまり良い表現ではありませんが、現在FC2ブログのSSL化ユーザーの任意設定になっています。いずれ 全てのブログにおいて完全SSL化を予定 している旨のアナウンスが既に行われています。
【ブログ】 SSL対応につきまして 【重要】
平素は、FC2(fc2.com)をご利用いただき、誠にありがとうございます。この度、ブログ(blog.fc2.com)の管理画面にSSL設定が追加されました。こちらの設定に切り替えていただくことで、現在ご利用いただいているブログのSSL化が可能となります。...
具体的な日時等不明ですが、もうそろそろかなぁ、と思う (´・ω・`)
個人的には夏(6月下旬から7月初頭)か9月頃じゃないかと予想。9月だと個人設定SSLのリリースからちょうど2年です。
SSLに関する記事はこれまでに幾度かUPしていますので、今回は「まとめ」として重要点と作業工程などをまとめようと思います。まだ何もしていない、という方はもうそろそろ着手した方が ^^;
場合によっては「何もしなくて済む」方もいらっしゃると思います。
行うべき作業
テンプレートについてはテンプレート製作者が対応します。それが大原則です。ただし共有テンプレートの場合は既に作者がFC2を離れていたり、連絡が取れなくなっていることもあります。
みなさんが行う作業は
- テンプレートのhtml, スタイルシートに追加したウィジェットやファイルのスキームチェック
- 個別記事(全記事が対象です)内に掲載したファイルのスキームチェック
です。これらは自己責任ですから自身でチェック及び修正が必要です。
* ウィジェット = 小型アプリ, Twitterタイムライン表示やRSSパースプラグインなど含む
* スキーム = URLの https://xxx.com/ 緑の部位
この「各ファイルのスキームチェック及び修正」という作業が何を目的としているかというと 混在コンテンツの発見と対処 です。混在コンテンツについては以降の章で説明します。
httpとhttpsの違い
SSLの意味がわからない、とか言っている段階ではありませんので意味は理解しておいてください。http と https は 通信の仕組み(プロゥトコル)が違います。
簡単に言うと https はセキュリティレベルの高い通信方法です。
GoogleによるSSL化推進の目的は 全世界のインターネットを対象としたセキュリティレベル向上計画 です。
また、「ブログがSSL化される」ということは「ブログのアドレス(URL)が変更になる」ということです。ブログアドレスは人間の「住所」と同じです。1文字でも違えばそれは別の住所です。
住所が変わるわけですから、人間の生活同様それなりの手順を踏まなければいけません。住所変更を届けないと税金の納付や郵便物の配達などに支障が出ますよね?web上でもそれは同じです。それにまつわる煩雑な手続きについてはFC2が リダイレクト という形でサポートしてれます。
SSL対応済みテンプレートに変更する
公式・共有テンプレートのSSL対応状況は把握しておりません ←
ただ公式テンプレートについては原則 外部サーバーを経由させない 方針のようなのでほとんどテンプレートで修正不要ではないかと思います。
共有テンプレートの場合注意すべきは script要素(JSファイル) のスキームです。jQueryなどのプラグインを用いている場合、SSL化以前のCDNサーバー を指定していることがあります。
弊テンプレートは 2017年09月22日 の時点で全テンプレート SSL対応済み です。スタイルシート最上部 Latest update の日付がこれ以前になっているものについては非対応の場合があります。ご自身が利用中のテンプレートと照合をし、再DLを行うか、カスタマイズなどの関係で再DLが困難な場合は手順に従って自主修正を行ってください。
【重要】FC2ブログのSSL対応に伴うテンプレート修正
ようやくFC2ブログがAOSSLに対応しました。 その件について詳細は別途記事にしますが、本件は リリース済みテンプレートの一部が修正必須 という旨のお知らせですー ( ̄∀ ̄;) 公式DLページの方は修正済みです。 カスタマイズ済みなど何らかの事情で再DLが難しい方は 本記事をご参照の上、修正をお願いします。 特に複雑な内容ではありません。 また、中には「任意」となる修正も含まれます。...
記事の修正をしたところでテンプレート自体がSSLに対応していなければ意味がありません。SSL対応しているかどうかの判断は多少難しいですが、最近(2018年以降)リリースされているものであればまず間違いないでしょう。絶対とは言いません。
外部サイトのウィジェットを確認
例えば「ブログ村等ランキングバナー」「アクセス解析(FC2アクセス解析含む)」「RSSパース関連プラグイン」など。各サービスでSSLについてのアナウンスが入っているはずですから確認を行ってください。
- FC2アクセス解析
- カウンター
- メールフォーム
- ショッピングカート
等々、FC2サービス関連は以下のページから。
【重要なお知らせ】 FC2サービスのSSL化につきまして
平素は、FC2(fc2.com)をご利用いただき、誠にありがとうございます。2015年12月18日にGoogleの公式ウェブマスターブログで「HTTPSページが優先的にインデックスに登録されるようになる」という旨のアナウンスが行われました。https://webmaster-ja.googleblog.com/2015/12/indexing-https-pages-by-default.htmlこれを受けて、FC2のサービスにつきましては随時SSL対応を行っております。...
対象ウィジェットのhtmlソースコード内に http: が含まれている場合は修正必須です。サービスによってはSSL非対応の場合がありますので、その場合は 使用を取り止める ようにしてください。
混在コンテンツの排除
混在コンテンツ とは、ブログが https: 通信であるにも関わらず、ページ内に含まれるファイルのスキームに http: が紛れていることを指します。ブログ全体が https: だとしても混在コンテンツが存在するページは SSLページとみなされません ので修正必須です。
混在コンテンツの見つけ方は以下のページを参照のこと。
FC2ブログ SSL対応中にチェックするアドレスバーの警告は鍵マークだけではない
地味に始まって地味に拡がっているFC2ブログのSSL化(笑) SSL化「する」「しない」の根本的なところは、せっかくFC2運営が用意してくれたのですから、よほどの事情がない限り対応すべきだと思います。 セキュリティを度外視してまでページ上で守る「何か」が何なのか私にはわかりませんが、個人的な理由でSSL化に待ったのかかっている方もいらっしゃると思いますし、それを考慮しての302リダイレクトでの提供ですけれど。 ...
SSL化に伴う混在コンテンツ対策の手順と置換ツールの紹介
混在コンテンツ排除のついての総まとめ記事です。 まず最初に、私が制作したテンプレートのみの言及です。FC2ブログテンプレートにはそれぞれの仕様やアップデート状況など環境が常に一定なわけではありませんので、本記事については「Akira制作テンプレート」に限定したいと思います。...
弊テンプレートは全てSSL対応済みです。混在コンテンツが見られる場合、「FCプラグイン」「テンプレートに自分で追加した何か」「記事内にあるファイル」などに起因しています。
もちろんSSL対応化「以前」のバージョンではない、というのが前提です。
ファイルのスキーム修正
FC2ブログサーバーへアップロードしたファイルの修正は不要です。
FC2アップローダーは画像ファイルだけでなくスクリプト(JS)やその他拡張子ファイルもアップロード可能です。いずれにしてもFC2ブログサーバーに置いてあるものについて修正の必要はありません。一時期httpからhttpsへの書き換えが大変不安定な状態でしたが、現在では落ち着いています。
注意すべきは第三サービスサーバーにあるファイル
特に 画像 と JSファイル が多いのではないかと思います。外部ファイルはFC2のサポート外ですから、各サービスの対応状況に左右されます。
画像ファイルは http https の両スキームでアクセス可能な場合が多いとはいえ絶対ではありません。http: のファイルを発見したら、一旦そのファイルを開き、ブラウザアドレスバー内のURLスキームにsを手打ちで追加し、 https: でもファイルが開けるかどうか確認をしてください。開ける場合は https: に修正、開けない場合は 削除 つまり掲載を諦める。
JSファイルに要注意
混在コンテンツが「画像ファイル」の場合はそのまま表示され、エラー警告だけが出ます。
混在コンテンツが「JSファイル」の場合はブラウザによっては「ブロック」されますので、そのJSは動きません。あるいは表示されません。
JSは主にページ上の何かに動きをつける際に用いられます。あるいは何かを表示させる(書き出す)ために用いられることもあります。JSがブロックされて表示されなくなるものの代表に ページ送り があります。ページ送りが前後のみの簡素なものでなく、リスト系のものである場合JSで書き出していることが多いです。これが「混在コンテンツスクリプトのブロックにより表示されない系」です。
またあるいは 展開型のナビゲーションが開かない, スムーススクロールがスムースに動かない など。こちらは「混在コンテンツスクリプトのブロックにより動作しない系」です。
aタグ内のアドレスを迂闊に変更してはいけない
操作してよいのは ファイルアドレス(のスキーム) です。サイトアドレスのスキームを安易に変更してはいけません。スキーム省略も同様です。
ファイルアドレスとサイトアドレス
ファイルアドレス
<img src="ファイルアドレス" alt="">
<script src="ファイルアドレス"></script>
サイトアドレス
<a href="サイトアドレス">ブログ名</a>
ファイルに「アクセス」するには src属性 を使います。サイトに「リンク」するには href属性 を使います。href属性の値になっているアドレスは(場合によっては)書き換えてはいけない、ということです。
サイトアドレスが自分のブログやブログ内の記事URLの場合、自身がSSL化するのであればSSL化後の書き換えは有効です。が、第三者のページへのリンクの場合は スキームを書き換えたらたどり着けない わけです。http://xxx.com なのに勝手に https://xxx.com に修正してしまっては、住所が違いますので開けません。書き換えて良い場合は「相手がたまたまSSL化していた場合」のみです。
そもそもリンクを司る a要素 の href属性 は 混在コンテンツ対象外 ですから書き換える必要がありませんし、相手方がhttpからhttpsに変更された場合でも9割型はリダイレクト処理が入るはずです。
http から https に変更された(SSL化された)サイトに http でアクセスしてもリダイレクトでたどり着けますが、相手が http のままなのに https を指定してはたどり着くことができませんよ、ということです。
href属性が混在コンテンツ対処外である理由は以下の記事を参照のこと。
【FC2ブログがSSL対応になりました】- ユーザー選択制での提供
ようやくというかついにというか。 FC2ブログがAOSSL化致しました。ばんざーい (´・ω・`) ← 冷静 10月に間に合いましたね。 10月からGoogle謹製ブラウザ Google Chrome で警告強化が始まります。 Chromeで小さく表示されるぐらいなんてことない? でもChromeって日本でさえ トップシェアブラウザ だよ (´・ω・`) 今回の実装は予想通り ユーザー選択制 です。 なので自分のタイミングで設定をONにすれば良いですね。 ...
href属性のスキーム省略もダメ
https://vanillaice000.blog.fc2.com/
上記が通常のアドレスの書き方で「絶対パス」と呼ばれる表記方法です。緑部位の「スキーム」がしっかり書かれているものを指します。
//vanillaice000.blog.fc2.com/
上記は「相対ネットワークパス参照」と呼ばれます。スキーム部位が省略されていますね。これが「通信プロゥトコルの参照指定」です。
間違った情報が出回っています。
「スキームを省略すると相手のスキームに合わせてアクセスされます。スキーム省略は万能指定です。」は ウソ
スキームを省略すると 滞在時のページの通信プロゥトコルが自動適用されます。
httpサイトであれば自動で http を。httpsサイトであれば自動で https で通信します。
相手方のサイトが http であるのに、自サイトがSSL化した後にスキームを省略してしまっては https通信が確定してしまいます。相手のブログは開くことができません。
「相対」というのは「参照するものがある」という意味です。参照するのは「滞在ページのプロゥトコル」です。まだ実際にアクセスしてもいない(クリックしていない)遷移先のプロゥトコルが事前にわかるはずがありません。
まとめ
SSL化の失敗例で多いのは以下のような感じ
- アクセス数激減 --- テンプレート選びのミス(URL正規化の有無), テンパって301リダイレクトを解除した
- 画像の混在コンテンツは回避してもスクリプトがブロックされている --- アドレスバーの右側を見ていない
- インデックス数が激減 --- 301リダイレクトを解除した
301リダイレクトは もう絶対にhttpには戻さない という覚悟で行ってください。混在コンテンツの対応中は302にしておくと良いでしょう。混在コンテンツが解消された、と判断できた時に301に切り替えます。そして切り替えたらもう解除は行わないこと。
拍手やSNSのシェアカウントなどが一旦クリアされます。これは「住所が変わるのだ」と理解できれば不可避であることも理解できると思います。早い段階でSSL化した方は既にもう2年経過していますのでカウントも蓄積されていますが、今からクリアされたらゼロからです。それは早く対策しなかった自分のせいですから嘆いてはいけない。厳しいようだけれど。でも他人はあなたのカウントをさほど気にしていません(笑)
Yahoo!から移転された方は、Yahoo!ブログはSSL化が済んでいたブログサービスですから、自主的にSSL設定を有効化しても問題は生じないはずです(理論上は)
FC2ブログで強制SSLが執行されたらあなたが大事にしている 拍手カウントがゼロに戻ります。それが嫌なら今のうちに自分でONにすることです。
つか、拍手と人気度は関係ないからね (∵`)
* 新規でFC2ブログアカウントを取得してお引越しした方はhttpsになっていると思います。過去(2年以上前)に取得したアカウントを利用した方はご確認ください。
There are no comments yet.