Togetter/min.tを安心してお使い頂くためのガイドラインを公開しました。
2020年1月30日

常時https化することの意味

ECサイトやクラウドサービスでhttps化する意味は理解できるのですが、例えば個人のブログサイトでhttps化する意味をSEO対策以外に見いだせなかったのでつぶやいたところ、リプライでものすごく勉強になったので勝手ながらまとめさせていただきました。
27
なつよ🦈夏目葉太@k8s楽しい @infragirl755

その辺のブログがhttps化する理由が要は「googleさまに気に入ってもらえないから」であって、安全性とかって言われるとすごいモニョるんだけどそのへんどうなんですかね・・・・

2020-01-30 15:46:06
けい@カブトム神【公式】 @kei_kabutomushi

@infragirl755 結果きちんと安全性が高まって、グローバルサインとかが儲かるからいいんじゃないですかねー✨

2020-01-30 15:52:32
@け゛な @_GE_NA_

@infragirl755 httpsのほうがカッコいいから!

2020-01-30 15:55:03
なつよ🦈夏目葉太@k8s楽しい @infragirl755

@kei_kabuto https化したフィッシングサイトもありますので、httpsだというだけで安全性が高いとは言えないと思います。nakedsecurity.sophos.com/ja/2019/06/12/…

2020-01-30 15:55:22
なつよ🦈夏目葉太@k8s楽しい @infragirl755

@onishi_feuer その辺わかっててちゃんと割り切ってる人なら全然いいと思います。「httpsだからうちのブログは安全です!!」とか言われると「は?」と思います

2020-01-30 15:56:20
けい@カブトム神【公式】 @kei_kabutomushi

@infragirl755 httpsで担保できるのは盗聴や改ざんですからコレはムリですね😅 それでもhttpアクセスしてフリーWi-fiで盗聴されたりするリスクを考えたら悪い傾向じゃないとは思いますよ✨

2020-01-30 16:00:28
けい@カブトム神【公式】 @kei_kabutomushi

@infragirl755 まぁ、証明書を取得してからDHCPスプーフィングで悪意あるFWを経由させたらhttpsでも安全宣言なんてできませんが、、、

2020-01-30 16:02:59
IWAI, Masaharu @iwaim

@infragirl755 (普通のブログなのに)そういう主張する人には「あなたのブログはhttpを使うときと比べて何が安全になりましたか?」と聞いてみるといいかも。

2020-01-30 16:03:22
なつよ🦈夏目葉太@k8s楽しい @infragirl755

https化を経路の暗号化だけでなく実在証明をセットにして売る案考えた人天才じゃない?(こわい)(なぜ一緒にした)

2020-01-30 16:17:29
りゅうと @_ryutok

@infragirl755 あんなことやこんなことを書いたブログを会社やフリーwifiから見ても中間者にバレないから?

2020-01-30 17:15:24
甕星@Perfect Brown Lunchbox @mikahosi

@infragirl755 ネットワーク管理者でも、何処のサーバに接続していたかはわかっても、その通信内容を把握できないのでプライバシーが守られると言う意味では価値があります。 またDNSポイゾニングなどの攻撃が行われている場合には、鍵がはずれるので、気がつける可能性が高くなります。

2020-01-30 17:25:07
MURAKAMI Ken@お仕事はレガシーだけどWFH @kizetubutter

@infragirl755 逆に表示速度上がる説を聞いたのも導入の理由になりました。メインの理由はカッコいいからです。

2020-01-30 17:28:53
なつよ🦈夏目葉太@k8s楽しい @infragirl755

@taruquin wordpressが乗っててログイン時の情報を盗聴されたくないから暗号がするのならまだ分かりますけど、ブログのテキストを読み込むだけなのに暗号化通信する意味ってあります?

2020-01-30 18:13:26
なつよ🦈夏目葉太@k8s楽しい @infragirl755

ECサイトやクラウドサービスがhttps化するのは分かるんですよ ブログのテキスト閲覧するためだけに暗号化通信いる?って話なんですよ twitter.com/infragirl755/s…

2020-01-30 18:16:33
なつよ🦈夏目葉太@k8s楽しい @infragirl755

@taruquin ちなみにあくまで「そのへんのブログ」の話であって、ECサイトやクラウドサービスはhttps化すべきです。

2020-01-30 18:19:01
うすいノートブック@勉強します @usuinotebook

@infragirl755 Googleだけではなく、 ブラウザにも嫌われてる。 安全なサイトではありません的な強調表示される。

2020-01-30 18:19:01
なつよ🦈夏目葉太@k8s楽しい @infragirl755

@usuinotebook SEO(Google) ブラウザ(GoogleChrome)ですねわかります

2020-01-30 18:19:54
オーニシ@祝!商業版『Python3で学ぶ プログラミングはじめの一歩』 @onishi_feuer

@infragirl755 これGoogleから警告来た時にめっちゃ思いました。なので記事公開してるだけのサイトはhttps化せず放っておいたのですが、Google様から「警告出すよ!検索順位下がるよー」みたいなこと言われたので全部httpsにしました。

2020-01-30 18:20:17
なつよ🦈夏目葉太@k8s楽しい @infragirl755

@tw1tter_8010 SEO対策だと割り切ってやるというのは全然アリだと思います。

2020-01-30 18:21:09
なつよ🦈夏目葉太@k8s楽しい @infragirl755

@usuinotebook 世界的な潮流がそこに向かってるんですね…

2020-01-30 18:23:56
けい@カブトム神【公式】 @kei_kabutomushi

@infragirl755 うーん。 重要度の価値観人それぞれだと思いますが、Cokkie情報の盗聴とか色々あると思いますよ。 ブログ記事本体だけならいいと思いますが、、、

2020-01-30 18:24:17
ゆいゆい @yuiyui12322

@infragirl755 フィッシングサイトの温床になるからやろうなぁ。 どのサイトに必須か?なんて一つ一つ判定できないから、やるなら全部というのも理解できます。

2020-01-30 18:24:21
残りを読む(33)

コメント

一ノ瀬 いろは @ichinose_iroha 2020年1月30日
みんなそんなにTLS(SSL)が好きか。
0
angel (as ㌵㌤の猫) @angel_p_57 2020年1月30日
「認証」の仕組みについては、この記事の中で説明してますので、便乗して宣伝します。 https://qiita.com/angel_p_57/items/446130934b425d90f89d
0
(あ)@お気持ちヤクザ @MutsuniNaruBeam 2020年1月31日
「httpsってなに!? 調べてみました!」が検索上位に出てくるようになる仕組みか。
6
根茂_高性能20mm速射砲提督 @nemo_phalanx 2020年1月31日
我が会社、不正&情報漏洩防止のためファイアウォールで「https://」先は原則一律アクセス遮断。私は会社のポリシーは理解するし賛同もしているんだけど、宅配ピザ屋のメニューまで遮断されるので大変に不便。本当に、ピザのメニューごときに匿名性がいるのかなあ、あと、https://をあえてhttp://で閲覧する機能とかないかなあ、と悩む日々。
0
SAKURA87@多摩丁督 @Sakura87_net 2020年1月31日
Googleに媚びるっていうよりGoogle様が「おいきさん、常時SSLばせんと表示順位下げちゃるけんな」って脅s…言ってくるので「まぁ年額1000円くらいだしなぁ~」という感じ。
0
ねや @AriaSub 2020年1月31日
そもそも、盗聴されても一切問題ないオープン情報すら、証明書購入必須ってのがイケてない
0
_ @wholescape 2020年1月31日
HTTP/2, HTTP/3 による高速化、クライアント証明書によるユーザ認証、いろいろ利点がありますよ
0
さとうあきひろ @akihirosato1975 2020年1月31日
AWSならCertificate Managerで無料で証明書発行してもらえるし。今どきならTLS必須化ってのは「やったから絶対安全というわけではないが、やらないよりはやったほうが絶対いい」ってところ。
1
xi @accountLINKonly 2020年1月31日
Googleさん(とその潮目に乗るその他とそれを利用してサーフィンするユーザー)に頼らなきゃいいのよ
0
アルビレオ@炙りカルビ @albireo_B 2020年8月3日
「httpsにする必要がないものもたくさんあるが、必要かどうかを人間が判断することがリスク要因。それなら思考停止的に全部httpsにした方がまし」というのはあるかな
1
風のSILK @PSO_SILK 2020年8月3日
閲覧者が「ドメインと証明書」が正しい事を確認しないとhttpsの効力は完全に発揮されない。要は見る側のリテラシー次第。
0
あごにー @Agony_01 2020年8月8日
暗号化が不要なサイトも一律暗号化することによって本来暗号化するべき情報がどれかわかりにくくする効果があるっていうのは目からうろこだったな。君の安全のためにHttps化するんじゃなくて、本当に暗号化が必要なものを隠すためにHttps化するってことか。
1