サイトの常時SSL化の際の mixed content 問題

Question

サイトの常時SSL化の際の mixed content 問題

解決済

回答 1

投稿 2016/04/30 11:56

評価
クリップ 0
VIEW 1,468

te2ji

score 11581

googleがSSLサイトを優先する指針を発表しているので、自身のサイトの常時SSL化を検討していたのですが、外部リソースがHTTPSに対応しておらず、断念しておりました。

が、ちょっと気になる記事を発見したので質問です。

アフィリエイトサイトを常時SSL化するということ。。。mixed content の警告を消していこう！

注）このやり方では、mixed content のセキュリティ上の問題部分は残るので、セキュアなページを目指している場合、このやり方は使えません。今回は、モバイルファースト（SPDY対応）のための手段です！

こちらの記事では、サイトを常時SSL化するにあたって、nginxのリダイレクトを使用しているようなのですが、その場合、googleのいうSSL化の条件を満たしているのでしょうか？

他のサイトの記事を見るとリダイレクトはマイナス要因にカウントされているとも読み取れ、ちょっと判断がつきません。
nginxでのリダイレクトはどのように判断されるのでしょう？

また、自サイトの常時SSL化はセキュリティ対策ではなく、あくまでgoogleへの対応であるので、セキュアなデータは取り扱っていないのですが、その場合、訪問してくれるユーザへ何か不都合を与える要素はありますか？

リンクの置き換えの手間はあるものの、面白い手法なので取り入れてみたいのですが、イレギュラーな手法であることも間違いないので、懸念点が洗い出せません＾＾；

お知恵をお借りできればうれしいです。よろしくお願いします。

気になる質問をクリップする

クリップした質問は、後からいつでもマイページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

クリップを取り消します
良い質問の評価を上げる

以下のような質問は評価を上げましょう
- 質問内容が明確
- 自分も答えを知りたい
- 質問者以外のユーザにも役立つ
評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。
質問の評価を上げたことを取り消します

評価を下げられる数の上限に達しました

評価を下げることができません
- 1日5回まで評価を下げられます
- 1日に1ユーザに対して2回まで評価を下げられます
質問の評価を下げる

teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。
- プログラミングに関係のない質問
- やってほしいことだけを記載した丸投げの質問
- 問題・課題が含まれていない質問
- 意図的に内容が抹消された質問
- 広告と受け取られるような投稿
評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。
質問の評価を下げたことを取り消します

この機能は開放されていません

評価を下げる条件を満たしてません

評価を下げる理由を選択してください
プログラミングに関係のない質問やってほしいことだけを記載した丸投げの質問問題・課題が含まれていない質問意図的に内容が抹消された質問広告と受け取られるような投稿
詳細な説明はこちら

上記に当てはまらず、質問内容が明確になっていない質問には「情報の追加・修正依頼」機能からコメントをしてください。
質問の評価を下げる機能の利用条件

この機能を利用するためには、以下の事項を行う必要があります。
- 質問回答など一定の行動
- メールアドレスの認証
  メールアドレスの認証
- 質問評価に関するヘルプページの閲覧
  質問評価に関するヘルプページの閲覧

回答 1 件

評価が高い順
新着順
古い順

同じタグがついた質問を見る

WordPress

7439questions

WordPressは、PHPで開発されているオープンソースのブログソフトウェアです。データベース管理システムにはMySQLを用いています。フリーのブログソフトウェアの中では最も人気が高く、PHPとHTMLを使って簡単にテンプレートをカスタマイズすることができます。
Webサイト

1100questions

一つのドメイン上に存在するWebページの集合体をWebサイトと呼びます。
nginx

876questions

nginixは軽量で高性能なwebサーバーの1つです。BSD-likeライセンスのもとリリースされており、あわせてHTTPサーバ、リバースプロキシ、メールプロキシの機能も備えています。MacOSX、Windows、Linux、上で動作します。
HTTPS

266questions

HTTPS(Hypertext Transfer Protocol Secure)はHypertext Transfer プロトコルとSSL/TLS プロトコルを組み合わせたものです。WebサーバとWebブラウザの間の通信を暗号化させて、通信経路上での盗聴や第三者によるなりすましを防止します。

score 1 · Accepted Answer · 2016-04-30T12:03

ベストアンサー

+1

この処理は、リダイレクトではありません。自前のWebサーバをプロキシにする設定です。

通信の流れは、

ブラウザから、https://（自前のWebサーバ）/（本来必要とする先の情報）をリクエストする
自前のWebサーバがHTTPで本来必要とする情報をリクエストする
自前のWebサーバ宛にHTTPで情報が帰ってくる
ブラウザ宛にHTTPSで情報を送る

というようになっています。ブラウザやGoogleのクローラーから見れば両端しか見えないので、HTTPS通信にはいちおうなっています。

ただ、このような処理をすると、結局はHTTPで送られた信頼出来ないはずのコンテンツをHTTPSにしているので、あまりよろしくないのは間違いないです。

投稿 2016/04/30 12:03

回答の評価を上げる

以下のような回答は評価を上げましょう
- 正しい回答
- わかりやすい回答
- ためになる回答
評価が高い回答ほどページの上位に表示されます。
回答の評価を下げる

下記のような回答は推奨されていません。
- 間違っている回答
- 質問の回答になっていない投稿
- スパムや攻撃的な表現を用いた投稿
評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

2016/04/30 12:11

ありがとうございます。
プロキシの設定なのですね。確かにproxyって書いてありました＾＾；
であれば、googleさんのペナルティはなさそうですね。

下記も気になっています。
---
ただ、このような処理をすると、結局はHTTPで送られた信頼出来ないはずのコンテンツをHTTPSにしているので、あまりよろしくないのは間違いないです。
---
本質論は非常に分かるのですが、実務上、外部リソースのhttps対応が望めないケースが今のところ多くあります。具体的な脅威が正直わからないのですが、どのような場面があり、それに対応するにはどれぐらいの工数がかかるのか試算したいのですが、イメージが掴めそうな情報はありますか？

話題が大きく本件から離れるようであれば、質問を立て直します。
よろしくお願いします。

ありがとうございます。プロキシの設定なのですね。確かにproxyって書いてありました＾＾；であれば、googleさんのペナルティはなさそうですね。下記も気になっています。 --- ただ、このような処理をすると、結局はHTTPで送られた信頼出来ないはずのコンテンツをHTTPSにしているので、あまりよろしくないのは間違いないです。 --- 本質論は非常に分かるのですが、実務上、外部リソースのhttps対応が望めないケースが今のところ多くあります。具体的な脅威が正直わからないのですが、どのような場面があり、それに対応するにはどれぐらいの工数がかかるのか試算したいのですが、イメージが掴めそうな情報はありますか？話題が大きく本件から離れるようであれば、質問を立て直します。よろしくお願いします。

キャンセル

質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう！

サイトの常時SSL化の際の mixed content 問題

関連した質問

同じタグがついた質問を見る

質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう！

サイトの常時SSL化の際の mixed content 問題

15分調べてもわからないことは、teratailで質問しよう！

関連した質問

同じタグがついた質問を見る

SNSアカウントでログイン

teratailアカウントでログイン