更新:2018/3/13
先週はてなブロガーが待ちに待ったHTTPS配信(常時SSL)提供を開始しましたね。
残念ながら独自ドメインは、まだ未対応ということでしたのでスルーしていたのですが、ちょっと時間があったのでどんな状況なのか調べてみました。
設定可能ドメインと対応状況
はてなブログが提供するドメインは、ブログ開設時に選択できるhatenablog.com、hatenablog.jp、hateblo.jp、hatenadiary.com、hatenadiary.jpの5つです。
今回HTTPS配信を開始したドメインは上記の5種類。ただし全てのアカウントで使えるわけではないようで、わたしの既存のブログは全て配信状況「無効」となっていました。
記事数がほとんどないブログでも配信状況が「無効」となっていたのと、新規で作成したブログはすぐ対応できるとのことでしたので既存のブログは記事数など関係なく順番待ちだけなのかもしれません。
なお、現在ブログを新規作成するとデフォルトでhttpsになっておりhttpは選べないようになっています。
はてなで使用している認証局はComodo(コモド)
ここではSSLの詳しい内容は省略しますがSSL化するには認証局(CA、Certificate Authority、Certification Authority)のデジタル証明書が必要になります。
ひょっとしたらはてなブロガーの方だとSSLが有料だということを知らない人がいるかもしれませんが、本来はサーバー証明書は有料のものがほとんどです。(安心してください最近は無料のものもあります)
認証の種類は以下の3つがありますが、個人で利用する場合はドメイン認証が一般的で価格も安い。
- 実在認証(EV - Extended Validation)
- 組織認証(OV - Organization Validation)
- ドメイン認証(DV - Domain Validation)
はてなブログのドメインで使用している認証局はComodo(コモド)。COMODO RSA Domain Validation Secure Server CAということなのでドメイン認証のようです。
PositiveSSL Multi-Domainという複数のドメインで使えるタイプでサーバ証明書の拡張機能:SANs(Subject Alternative Names )に 複数のドメイン名(サブドメイン名)を指定できるものを利用しているようです。
無料SSLでおなじみのLet's Encryptになるのだろうと思っていたのでちょっと意外でした。
Let's Encryptはエックスサーバー
やさくらのレンタルサーバ
などレンタルサーバー会社でも無料SSLオプションとして提供しているメジャーな証明書です。
独自ドメインのHTTPS対応ではこの証明書になるではないかなと思っています。
その他ブログサービスSSL対応状況
非HTTPSサイトの場合、Google Chrome のセキュリティ警告を表示します。という通知がSearch Consoleから届いたのが2017年8月頃。実際にChromeのバージョンが上がり警告が表示されるようになったのが2017年10月。
約5ヶ月程度経ちその他のブログサービスがどの程度SSL化対応しているのか調べてみたところほとんどが対応済みでした。
ただ独自ドメインが使えるLivedoorブログは未対応、Bloggerも独自ドメインでの設定はベータ的な扱いのようです。
独自ドメインを対応するためには技術的に解決しなくてはならない問題がいろいろあるのでしょうね。
| Yahoo!ブログ | 対応済み | 独自ドメイン不可 |
|---|---|---|
| FC2 | 対応済み | 独自ドメイン不可 |
| アメブロ | 未対応 | 独自ドメイン不可 |
| Livedoorブログ | 対応予定 | 独自ドメイン可 |
| 楽天ブログ | 対応済み | 独自ドメイン不可 |
| Blogger | 対応済み | 独自ドメイン可 |
| Seesaaブログ | 未対応 | 独自ドメイン可 |
はてなブログで独自ドメイン対応する際準備すべきこと
混合コンテンツ
安全でない HTTP プロトコルのコンテンツを読み込んでいるとページのセキュリティが低下します。
混合コンテンツ(Mixed Content)を解決するには画像やjavascript、cssなどの読み込みをHTTPSに統一する必要があります。
そのままだとSNSのシェアボタンカスタマイズ、カエレバのコード、アフィリエイトのタグ、画像など・・・非HTTPSになっているコンテンツが多数あると思います。
WordPressなどでは差し替え用のプラグインがありますが、はてなブログ公式ではそのようなツールは用意されていません。
記事単位で差し替えるのは現実的ではないのですが、シロマ (id:shiromatakumi)さんが素晴らしいツールを作ってくれていますので必要に応じて活用したいと思います。
Analyticsの設定変更
Google AnallyticsのURL設定はプロトコルの指定があります。プロパティ設定とビューの設定のプロトコルを変更して「保存」をします。
SearchConsoleの登録
Search Consoleはプロトコルの変更ができないので、httpsでプロパティを新規追加します。
サイトマップの送信
Search ConsoleにHTTPS化したサイト登録をしたら、サイトマップを送信します。
はてなブログはURLの後ろにsitemap.xmlを追加するとサイトマップが表示されますので、URLを送信するだけです。
Adsenseコードの差し替え
最近のAdsenseコードはプロトコルが省略されているので特に何もしなくても良いのですが、古いコードの場合「http://」が含んでいます。
以下のようにスクリプト読み込み部分がsrc="//となっている場合はそのままで大丈夫です。
非同期
<script async src="//pagead2.googlesyndication.com/pagead/js/adsbygoogle.js"></script>同期
<script type="text/javascript"
src="//pagead2.googlesyndication.com/pagead/show_ads.js">
</script>
リダイレクト設定?
通常は非HTTPSでアクセスしたとき、HTTPSに301リダイレクトをして正規化するのですが、はてなブログは.htaccessが使えないためどのようになるかは現状不明です。
はてなドメインでは非HTTPSでアクセスした際、特に設定なしでリダイレクトされるので同じ挙動になるのではないかとは思います。
最後に
いよいよ、はてなブログもHTTPS配信が始まり独自ドメインの対応を待つばかりとなりました。
一時はWordPressに移転も考えましたが、今のところ非HTTPSによる大きな影響はないので(わたしの体感では)、気長に待ちたいと思います。
追記
混在コンテンツ(Mixed Content)に関する質問が追加されました。はてなフォトライフの画像の置き換えが場合によってはかなり面倒になりそうです。
