attention admin about comments trackbacks you may also like

FC2ブログでまだSSL設定してないブログは今からでも「管理ページでSSL設定したら大丈夫」なんですよ

2019年11月16日
AOSSL
4
FC2ブログ SSL設定 混在コンテンツ 鍵マーク

Google が2019年10月03日に、下記ブログカード記事のようにとても重要な公式アナウンス行っておりました。


No More Mixed Messages About HTTPS

Posted by Emily Stark and Carlos Joan Rafael Ibarra Lopez, Chrome security team Today we’re announcing that Chrome will gradually start e...


要は、ブラウザChromeの今後のアップデート予定( 直近は Chrome 79 =12月 / 現在は バージョン: 78.0.3904.97 )から順次のアップデートに於いて「サイトURLが既にセキュアな https になっているにも関わらず記事等コンテンツに http のままの画像アドレスで表示させている Mixed Content(混在コンテンツ) )」に対して、表示ブロック強化や強制 https アクセスを実施すると言うアナウンスです。

平たく言えば「 安全ではない http アドレスのセキュリティ的に危険なコンテンツなんてもう表示させないよ! 」と言う意味なんですが、これはいま急にGoogleが唱え始めたことではなくて、もう既に何年も前から告知されて来ていたことが、予定スケジュールによって順調に進捗して来ていると言うことなんです。 ですから「 こんなこといま急に言われても困るじゃん 」ってのは通用しません( そう言うWeb情報に無関心で来たあなたが悪い、あなたのブログ友達にはそういう進言をしてくれるブロガーさんはいなかったんですか? あなたが耳を傾けようとしなかったんですか? )。

それを受けて、FC2運営さんも 2019年11月14日 に下記ブログカードの記事のように公式アナウンス致しました。 FC2ブロガーにはとても重要なアナウンスですから、まだ読んでいないブロガーさんは必読です。


【重要】 Google Chrome で混合コンテンツがブロックされることが発表されました。

平素は、FC2(fc2.com)をご利用いただき、誠にありがとうございます。2019年10月03日 Google Security Blog にて、今後 Google Chrome では混合コンテンツのブロックを強化していくことが発表されました...


FC2でも同様に「ブログのSSL化」については何年も前から運営さんから「 FC2総合インフォメーション 」を通じてアナウンスされて来ており、弊ブログでも 2017年 年初よりSSL化をスタートさせて以降、FC2ブログのSSL化についてはもう何度も何度も「 カテゴリ: AOSSL 」に同様記事を書き溜めて来ておりました。


筆者推論ですが、いよいよFC2ブログの強制SSL化が近づいた?

あくまでもそれは筆者の推論ではありますが、下記のような事実は既にあります(笑)

FC2の非SSLブログでも記事欄に貼った画像アドレスは既に https になっている

FC2ブログでも、ブログURL先頭が http のままの非SSL設定ブログでも「 記事欄に貼った画像表示URLは既に https で表示されるようになっている 」んです。 ブログ管理人がそれを意識しなくても記事内に画像を貼れば、セキュアな https アドレスで表示されるようになっているんです。( このようなWeb知識に疎いブログ管理人さんには気がついていないかもしれませんね )

え? ちょっと表現が判りにくいですかね?(笑) ではスクショで説明致しましょう。

つまりですね、FC2ブログ管理人さん自身が未だに「 ブログ管理ページでSSL化設定を行っていない 」非SSLなブログは下図スクショのような表示になっております。 「保護されていない通信」と表示されておりますから、ブラウザChromeからの閲覧では、そのブログの管理人だけでなく閲覧者さんからもそれは丸見えで、今の時代ではそれは実にみっともないことです。

非SSLなブログのURL欄画像

そんな未だに非SSLの設定のままなブログでも、自身のブログ記事に貼ってある画像アドレスは既にセキュアな https アドレス表示になっているということなんです。

サンプルになるブログはFC2の他人様ブログですから、その記事の画像をここに貼るわけには行きませんので、代わりにその画像のデータ表示を貼ることにします。

非SSLブログでの画像表示URLが https になった様子
非SSLブログでの画像表示URLが https になった様子 その2

ほらほら、画像URLが https になっております

ただし、FC2以外の他社サービスのバナー画像などは古い http のままであることがあり、気をつけましょう

既に自身のFC2ブログをSSL設定済みでも、ブログ歴が長いと、ずっと昔にブログのサイドバー等に貼った他社サービスのブログランキング等のバナー画像が、まだSSL化される前の http アドレスのままであることが多く、それは自身の手で修正しなくてはなりません。

また、そのサービス元自体がSSL化を諦めて既にサービスが廃止されてしまっているかもしれませんから、放置は絶対に避けなければならず、他社サービスのバナー画像等の表示アドレスについてはとても注意が必要なんです。( https になっているか、サービスが存続しているか要再確認です )

要は、既にブログ管理人自身の手で「SSL設定」を済ませているブログ( https になっている )であっても、そのブログ内の何処かにそのような古い http のままのアドレスである他社サービスのバナー画像等が貼られていると、ブログURLの先頭が鍵マークにならず、下図スクショのような表示状態になります。

SSL化したのにセキュアな鍵マークが付いていないURL表示

せっかくSSL化して、ブログアドレスが https になっているにも関わらず「 このサイトへの接続は完全には保護されていません 」になってしまったのでは「なんやねん!」ととてもストレスですよね。 その原因がたった1つの 古いバナーの httpアドレス が原因 だなんてことにもなるんです。

この状態のことを Mixed Content(混在コンテンツ) があるブログと表現します。

今は未だそんな Mixed Content(混在コンテンツ) なバナー画像でもブログには表示されておりますが、来年2月アップデート予定の Chrome 81 からは強制的に完全ブロックされて表示されなくなります。 従って、表示はされないにも関わらず、ブログのHTMLソースにはずっと残り続けますから、それをブログ管理人さん自身が修正しない限りは「 このサイトへの接続は完全には保護されていません 」からずっと脱し得ないことになってしまいます。

自身が任意で貼ったバナーなんですから修正は出来るんです、当然。 でも表示されない状態になってから焦って修正しようとしても、その場所を目視で見つけ出すことは出来ませんからとても厄介なことになります。 ですから、今のうちに必ず修正もしくは削除するようお勧めします。 もう待ったなしの時期なんですから。

セキュアである筈の httpsアドレスのブログ内に存在する httpアドレス の Mixed Content(混在コンテンツ)が確実に排除されたら、ブログURLの先頭には下図スクショのように 鍵マーク が表示されます。 これはブログのトップページ・個別記事ページに関わらずMixed Content(混在コンテンツ)が無くなれば表示されるセキュアなマークとなります。

正しいSSLであることを知らせるアドレス欄の鍵マーク

2017年10月18日以前に公開した記事に貼ってある画像のURLが https になっているか確認しましょう

上記記事で「 ブログURL先頭が http のままの非SSL設定ブログでも記事欄に貼った画像表示URLは既に https で表示されるようになっている 」と書きましたが、それは実は皆さんが2017年10月18日以降にブログ記事に貼った画像についてのことでして、同日は、FC2運営さんが下記のブログカード記事の公式アナウンスを行った日のことなんです。


【ブログ】 SSL対応につきまして 【重要】

平素は、FC2(fc2.com)をご利用いただき、誠にありがとうございます。この度、ブログ(blog.fc2.com)の管理画面にSSL設定が追加されました。こちらの設定に切り替えていただくことで、現在ご利用いただいているブログのSSL化が可能となります...


同公式アナウンスによって、いよいよFC2ブログユーザーが正式にSSLが利用出来るようになったことが発表されたんでした。 この時点以降からブログ記事に貼るブロガー自身の画像のアドレスは自動的に https 表示がされるようになったんですが、同日より以前に貼られた画像に於いては、ずっと古い期日の画像アドレスはシステム的に https にはならず http のままであることが見て取れるんですが、それはそのままでも修正する必要はないものと思われます。

何故ならばFC2ブログでは既にシステム的 https 対応は出来ておりますから、Chrome 81 の強制的 httpsアクセス が始まっても問題は起きないと見られます。

Chrome 81 リリース(2020年02月予定)はもう直ぐですからね

この時期になっても、まだ非SSLなままでブログを運営なさっているFC2ブロガーさんは、きっともうご自身の手でSSL設定することはないのでしょうね。 困ったものですが、所詮は他人事? って、既にSSL設定を済ませておられるブロガーさんも、結局は見て見ぬふりを決め込むのでしょう(笑)

SSL化をアドバイスをしたら「 お節介め! 」って疎まられるのがオチですかね~ まぁ、なんと申しましょうか(笑)

ほんとは、そうしてSSL化を勧めてあげるのが「 本来のブログ友達 」の姿であって、そのような大切なことを放置無視したままにお義理でコメントしあうのがお友達ってことではないと筆者は思うんですけどね~ (≧ω≦。)プププ

かくなる上はFC2運営さんに期待です

今までFC2ブログのSSL化に於いては、様々な誤解釈やドタバタが筆者視点からも「運営さん、なにしてんねん」と起きて来ておりました(笑)が、最近では運営さんのご努力も大変進捗して来ていることが見て取れて「だいぶセキュアになったよね」と安心感が湧いて来ております(笑)

この様子を見ておりますと、もうそろそろ「FC2ブログの強制SSL化」を実施しないと、未だに非SSLなブログは救われませんよね、どうぞセキュアなブログに導いてあげてくださいね、FC2運営さん。


■ 追記 2019/11/17 08:30
弊記事に於いて「 私はこう思うけど 」のようなご意見をお寄せください、辛口コメントでも筆者は噛みつきませんから、遠慮無くどうぞ~ ^^


FC2ブログの強制SSL化を期待する女子ブロガー

もしそうなったら
SSLの意味が解らないブロガーでも
自動的にSSLになって安心よね~♪


自身のブログを各種ツールで分析しましょう

ブログがスマホで正しく表示されるかテストする!
モバイル フレンドリー テスト

ブログのスマホ表示速度分析は PSI が強力です!
Google PageSpeed Insights

ブログのPC表示速度分析は GTmetrix が強力です!
GTmetrix

検索からの方はトップページへもどうぞ


関連する記事
ぼっちん
Author: ぼっちん
記事に関わらないコメントでもOKですからね~ ^^

コメント(4)

There are no comments yet.

mochi  

2019/11/16 (Sat) 21:34

記事更新お疲れ様です。

こんばんは。ぼっちんさん。

なんかムリヤリ記事書かせてしまったみたいですみません。(笑)
今回のChromeの混在コンテンツへの対応は来るべくしてきた感じですね。

個人的には非SSL状態のサイトに対して、画面上のURL欄に【保護されていない通信】とだけ表示されるぐらいで済まされているのに、それよりも先に混在コンテンツの方への対応を厳しくしてしまうと、なおさらSSL化が進まなくなってしまうのではないか?という懸念が出てきてしまいます。

Googleとしては新たなステップに踏み出した形ですが、日本においては未だにSSL化の認識が乏しいですからね。「SSL化したら混在コンテンツで画像が表示されなくなった!」といって逆ギレする方々が大量発生しそうで怖いです。(;・∀・)
このような状況下でFC2ブログが強制SSL化の英断を下すことができるか?といった感じですね。まぁ空気読めなそうなんで平気でやってくる可能性は十分考えられますが…(笑)

>ずっと古い期日の画像アドレスはシステム的に…必要が本来はあるんです。
ここは誤解を招きそうなので「本来はあるんです」の部分について補足することをおススメします。
FC2ブログでは古い期日にファイルアップロードした画像は、編集画面上HTTPアドレスのままですが、FC2システムによってブログ表示の際にHTTPSアドレスに書き換えられるようになっています。従って、基本的には古い記事の画像アドレスを修正する必要はないと考えています。あくまでもFC2ブログにファイルアップロードした画像に限りますけど。

ただ昨年の今頃でしたっけ?FC2運営さんのチョンボによってHTTPアドレスのままプリロードで画像アクセスしてしまうことがあって、FC2ブログにおいて混在コンテンツ状態が多発する事態に陥ってしまった事がありました。
そのようなシステム側の不具合の影響をできるだけ避けたいというのであれば、過去記事掲載画像を編集画面においてHTTP→HTTPSへ書き換える必要も出てくるでしょうが、こういう特殊な不具合の可能性を気にしだしたらブログ運営自体がままならないことになってしまうわけで、ほとんどの方にとっては現在混在コンテンツになっていないのであれば、そのままにしておくというのが現実的な選択肢だと思います。

ぼっちん  

2019/11/17 (Sun) 07:50
ぼっちん

To mochiさん

mochiさん、おはようございます ^^

> なんかムリヤリ記事書かせてしまったみたいですみません。(笑)

いえいえ、一旦公開して5分も経たないうちに取り下げた「【筆者推論】いよいよ始まる? FC2ブログの強制SSL化」の記事の件もありましたから、早急に代替記事でも書かなくちゃねって思ってましたから、気になさらなくて良いんですよ~(笑)
記事管理からは削除しても、メモ帳での下書きまでは削除してなかったものですから、けっこうパパパっと書けたんです、でも端折りすぎた感がある記事になってしまったようです(爆)

> 今回のChromeの混在コンテンツへの対応は来るべくしてきた感じですね。

そそそ(笑)「とうとうその時が来たか」って感じですよね(笑) まぁ、Google的には数年前からの既定路線ですけど。

> 個人的には非SSL状態のサイトに対して、画面上のURL欄に【保護されていない通信】とだけ表示されるぐらいで済まされているのに、それよりも先に混在コンテンツの方への対応を厳しくしてしまうと、なおさらSSL化が進まなくなってしまうのではないか?という懸念が出てきてしまいます。

それ、実はですねぇ、日本人の人間性に関わる部分がとっても大きい気がします。
海外サイトなんてもう信じられないくらい(日本人的目線)の高率でSSL化になっているんですよね。
だから、周りの様子をうかがいすぎる日本人気質はヤメにしないとだめだと思うんです(笑)

> このような状況下でFC2ブログが強制SSL化の英断を下すことができるか?といった感じですね。まぁ空気読めなそうなんで平気でやってくる可能性は十分考えられますが…(笑)

(〃^▽^〃)oあはははっ♪ いやぁ、私はむしろ「空気読めなくてもどんどん強制SSLやってよね! 運営さん!」って気持ちなんですけどね~(笑)
それで仮にFC2ブログから逃げ出すユーザーが増えても、私には知ったことではありませんから(笑)
いま無料ブログでも「広告非表示」を続けているFC2運営さんですから、多少のユーザー減にはさほどビクつかないでしょうし ^^

それよりも「FC2ブログは完全SSL化になって安心でっせ」と謳った方が、新たなユーザー獲得のネタになると思うんです。

> ずっと古い期日の画像アドレスはシステム的に…必要が本来はあるんです。
> ここは誤解を招きそうなので「本来はあるんです」の部分について補足することをおススメします。

はい、mochiさんの仰るとおりでしたね、もうすっかりAkiraさん・mochiさんも交えて「SSL化談義と画像URL検証」を行って「3者確信」したことをすっかり忘れ切ってました(爆)
どうも当時のその件部分が、私の記憶からスッポリと抜け落ちてしまっておりました、やっぱりもう歳ですねぇ、私は (^_^; アハハ…
キチンと記事修正して於きましたが、如何でしょうか? (^^ゞポリポリ

> 過去記事掲載画像を編集画面においてHTTP→HTTPSへ書き換える必要も出てくるでしょうが、こういう特殊な不具合の可能性を気にしだしたらブログ運営自体がままならないことになってしまうわけで、ほとんどの方にとっては現在混在コンテンツになっていないのであれば、そのままにしておくというのが現実的な選択肢だと思います。

(笑)その心配もないではないんですけど、、、(~ヘ~;)ウ~ン もうちょっと「 Chrome 81 の挙動 」について、調査してみる必要もある気がして来ました。

ただ、私時には、そのmochiさんのご心配って「 Chrome 81 で報じられている 強制httpsアクセス が上手くさばいてくれる 」って気がしているんですけどね ^^
現状 http 画像でも手動で https とアクセスすれば、キチンと表示出来ているんですから ^^

mochi  

2019/11/17 (Sun) 11:03

僕も思い違いをしていました。(^^ゞ

こんにちは。ぼっちんさん。

>いま無料ブログでも「広告非表示」を続けているFC2運営さんですから、多少のユーザー減にはさほどビクつかないでしょうし ^^
僕のところみたいに有象無象のブログなら余所に行ったところで気にはならないんでしょうけど、多くのアクセス数がある有名FC2ブログでもSSL化していないところもありますので、そういったブログについてはある程度意識しているんじゃないかと思います。…って、超日本人気質的な考え方ですね (笑)

>ただ、私時には、そのmochiさんのご心配って「 Chrome 81 で報じられている 強制httpsアクセス が上手くさばいてくれる 」って気がしているんですけどね ^^
そっかそっか。「強制httpsアクセス」の部分をほぼ読み飛ばしてしまっていました (;・∀・)
まだ確定事項ではないのかもしれませんが、Chrome側で「強制httpsアクセス」してくれるとありがたいですね。
おそらくChromeに追随する形だとは思いますが、他ブラウザ勢がどのように対応してくるかが楽しみです (*^^*)

やはり、ぼっちんさんの記事は新たな知見が得られて楽しいです。ありがとうございます。督促して正解でした (笑)

ぼっちん  

2019/11/17 (Sun) 11:19
ぼっちん

To mochiさん

> 多くのアクセス数がある有名FC2ブログでもSSL化していないところもありますので、そういったブログについてはある程度意識しているんじゃないかと思います。

あっ なるほどなるほど(笑) 私って、そういうアクセスを大量に稼げる著名ブロガーさんとの交流がない(興味が無い)ものですから、まったく眼中になかったです (^_^; アハハ…
でも、そのような著名ブロガーさんが「未だに非SSLって、なんで?」とキョトンとしてしまいますけど(笑)

> そっかそっか。「強制httpsアクセス」の部分をほぼ読み飛ばしてしまっていました (;・∀・)
> まだ確定事項ではないのかもしれませんが、Chrome側で「強制httpsアクセス」してくれるとありがたいですね。

そうなんです、Googleとしたらきっと伝家の宝刀って感じなんじゃないでしょうか、その高尚なるテクニック(爆)
それでしたら、未だに非SSLな大量のFC2ブロガーさんも救われる筈なんです ^^

> やはり、ぼっちんさんの記事は新たな知見が得られて楽しいです。ありがとうございます。督促して正解でした (笑)

も~(笑) でも、マジな気持ちで、この時期になっても未だに非SSLな大量のFC2ブロガーさんがそれで救われたらサイコ~じゃないですか ^^
「やっちゃえやっちゃえ、FC2ブログの強制SSL化」 ( ̄∀ ̄*)イヒッ