常時SSL化でまともに使えるブログパーツってあまりないな

今日は長い間放置してたblogramというブログランキングサイトの設定変更したのですがそこのブログパーツがどうもSSLに対応していないらしく、ブログパーツはもとより投票用タグの貼付は断念しました。SSL通信されていないものを貼るとブラウザ側が警告を出して閲覧者に不安を与えることになりかねないからです。

これに限らず常時SSL化されてる所でまともに使えるブログパーツがあまりないような気がします。このブログに限らず、他のブログでもSSL化されてる所は増えてますし、Wordpress.comというブログサービスなんて有料プランでなくても、標準で常時SSL化されていますし、エックスサーバーというレンタル鯖屋に至っては無料SSLでおなじみの、Let’s Encryptの証明書を自動で発行するサービスを開始するなど徐々にセキュアな接続が浸透している。

近い将来、Yahoo!JAPANも全てのサイトを常時SSL化する予定で当然、Yahoo!ブログやYahoo!ジオシティーズといったサービスも例外ではないだろう。

そもそもなぜ常時SSL化が流行ってるのかというと、CIA・NSAの元局員、エドワード・スノーデン氏がNSAなどが全世界の個人情報を監視するなどの諜報活動（プリズム作戦）を行ってると暴露したことやもう一つはGoogleが常時SSL化を推奨しているからである。その流れにSSL化に必要なSSL証明書の価格破壊へとつながり、企業サイトはともかく、個人サイトでも常時SSL化するという動きをみせた。Googleは近い将来HTTP(SSL化未対応)のサイトについては閲覧時にこの接続は安全ではないと警告を出すようにする予定となっている。

ちなみに一昨年末にこの騒動がきっかけで全てのサイトを常時SSL化を目的としたLet’s EncryptをGoogleやFirefoxの開発元のMozilla Foundationの出資によって設立された。このLet’s Encryptは無料かつ手軽に正規のSSL証明書を取得できるサービスだ。Windows XPを含む大抵のPCやスマホに対応しているのですが、組み込み機器の対応率が低いのが難点。なお、日本国内で利用実績の多いルート証明書を採用した互換性の高いSSL証明書でも年間1,600円程度で購入できる。種類は合ったものを選ぶとよい。

話を戻しまして、常時SSL化そのものはそれほど大きなハードルではない。証明書を適当なディレクトリに入れてWebサーバアプリの設定ファイルにその証明書が置いてある場所を入れて、htaccessでhttpsにリダイレクトするように記述するだけの簡単な作業だ。問題はページ内に存在する外部のサーバーの埋め込みパーツのSSLの対応状況である。ブログパーツといった外部埋め込みパーツや外部APIに至ってはSSL対応化が進んでいないのが現状です。大手のブログランキングでSSL化されている所は「にほんブログ村」のみでそれ以外は全くと言っていいほど対応しておらず、またYoutubeやデイリーモーションの外部プレイヤーは対応していてもニコニコ動画の外部プレイヤーは非対応。アフィリエイトもGoogle AdSenseは既に対応しているがそれ以外のアフィリエイトプログラムの対応率はまだまだ低い。全体的に外部接続を伴うサービスの対応率が低いのが現状だ。それらをそのまま貼るとブラウザ側で警告を発し、閲覧者に不安を与える原因となる。だからといってタグをhttps://や//に書き換える行為は証明書エラーの原因になる上、特にアフィリエイトプログラムはタグを書き換えると規約に抵触する場合が多く、やはりこれも推奨できない。

全てのサイトが常時SSL化するまでにはまだまだ時間がかかるかもしれないな。