14152514_l
ChromeはHTTPの死を早めている…1月からHTTPSでないページに警告を表示
という、なにやら「ざわざわ」する記事を見つけました。
いよいよ世の中は「http」に冷たくなってきたようです。

まただいぶ前にSSL化すると、ちょびっとだけSEO的にも効果があると
Google先生がおっしゃっていたので、サイトSSL化の宿命から逃れることは出来ないようです。

HTTPS をランキング シグナルに使用します
Byウェブマスター向け公式ブログ

弊社で開発しているサイトも、少し前にSSL化を無事(?)終えました。
で、今回は、その際に「ハマった事」「気をつけなければならない事」をご紹介させていただきます。


1.URLを「http」⇒「https」に変更する


【 内容 】
「URLを//から始まる絶対URLで書くと、表示中のページの:(コロン)より前のプロトコルをそのまま引き継いで参照する」
これを利用してサイト内のすべての「http://」記述を「//」に一括置換すると大問題に!

【 結論 】
●CSS内にある画像URL
プログラムやテンプレート内のURLに気をとられて、対応が漏れますね。。。
気をつけましょう

●ユーザー目視の表記部分
「//www.XXXXXXXXXX.com/」となるので機能としては支障はないですが違和感があります。
「https://www.XXXXXXXXXX.com/」「www.XXXXXXXXXX.com/」のどちらかにするのが一般的でしょうか。

●QRコード
リダイレクト処理を入れておけば、そのままでもいいですが気持ち悪いので忘れずに対応しましょう。新人さんに、どうしてここだけ対応してないんですか?と指摘されます。

●メール内のURL記述
各種メールに添付されるサイト内アドレスについて「//www.XXXXXXXXXX.com/」の状態だとメーラーやフリーメールによってはリンク不正になります。
ユーザーからリンク飛べない・・・というクレームが多数寄せられます。
メールに添付されるURLには「https:」を忘れずに付与しましょう。

●metaタグ(canonical,next,prev)
https://~で記述しなければいけません。Google先生が誤った解釈をしてしまいます。


2.Flash関連の挙動が不安定になる


【 内容 】
動画再生、動画アップロードの挙動が不安定になります。

【 結論 】
弊社でもActionScriptの使い手が絶滅寸前ということもあり、URLを気軽に変更するのも四苦八苦の状態でした。

「Flash停止がついにChromeでデフォルトの初期設定になり再生ブロックされることが決定」
という記事もありまして、最終的には「videoタグ」の利用を推奨します。

ただ、むやみやたらに変更するとAndroid系で動かないなんてこともあるのでご注意を!
詳しくは、デザイン課の友蔵さんの記事などを参照してください。


3.中間証明書問題


【 内容 】
動画再生においてAndroidの一部端末でhttpsでアクセスできない問題が発生します。

【 結論 】
サーバーの証明書に中間証明書が含まれていないことによるものでした。
中間証明書を含む証明書に置き換えないとうまくいかないようです。

※参考ページ
アンドロイド(スマホ)でSSLエラー
By omnioo lab. records様


4.証明書の種類問題


【 内容 】
証明書の種類によって、ブラウザ側で不具合が生じて警告メッセージが表示される

【 結論 】
外部サイト連携の際に相手側の証明書の種類が古い(SHA-1証明書)と警告メッセージが表示されて思った挙動にならないことがわかりました。
外部サイトの担当者に事前に更新してもらうようにお願いしておきましょう。

※参考ページ
サイバートラスト様


5.リファラー問題


【 内容 】
弊社サイトに掲載いただいているクライアントから、「オフィシャルサイトへのアクセス(解析数値)が少なくなってきているよ~。」という問い合わせがありました。

【 結論 】
SSLサイトから非SSLサイトへのリファーラーの受け渡しができないことが原因と予測されます。
<meta name=”referrer” content=”XXXXXXXXXX”>を全ページに挿入すればある程度回避できますが、ブラウザによっては対応されていないタグのため
クライアント様には事前に連絡をして「アクセス落ちてるんじゃないです、仕様ですよ!!!」と告知が必要です。

※参考ページ
meta name=”referrer”は、HTTPS→HTTPでもリファラを出す新しい仕様
Byインプレス様

Yahooの検索結果がSSL化したことによるGoogleアナリティクスの現状とこれから
Byアユダンテ株式会社様


6.外部JS読み込み問題


【 内容 】
ブラウザの開発者ツールのデバッガで、以下のような警告を受ける箇所があるとJSが機能しません。
『SEC7111:HTTPSセキュリティが http://ajax.googleapis.com/ajax/libs/jquery/1.7.2/jquery.mi.jsによって危害を受けています』

【 結論 】
可能な限り、ダウンロードしてローカル内で読み込むように変更しましょう。
但しライセンスの確認してくださいね。


7.ログインできない問題


【 内容 】
SSL化したらブラウザに記憶してあったID・PWが消えてログインできなくなったとの問い合わせが、ガンガン寄せられました。

【 結論 】
ブラウザ記憶は、あくまでも「http://www.XXXXXXXXXXX.com/」に関連して記憶されるのでs付きの「https://www.XXXXXXXXXXX.com/」には関連がなくなります。
回避方法としては、
●パスワード記憶推奨告知を出す
●リマインダー箇所を目立たせておく
●ログイン画面にCookie保存でID/PW記憶するプログラムを仕込んでおく
Cookie保存の場合は、「www.XXXXXXXX.com」のドメインに関連するのでhttpでもhttpsでアクセスしてもID・PWを呼び出すことが可能です。

いずれにしても、ユーザー様には「●月●日からSSL化するからパスワードをメモしておいてね!」という告知が必要です。
何も知らされずに、突然ログインできなくなるとクレームや、最悪ユーザー様がサイトから離れてしまいます。


*** 総括 ***


なんだかんだありましたが、弊社では無事、「サイトSSL成功!」を迎えることが出来ました。
SSL化でお困りの方がこのページに万が一たどりついて少しでもお役に立てたのであれば幸いです。

Good Luckです。
システム課のティーン・カネオカでした。

この記事を書いた人

ティーン・カネオカ
ティーン・カネオカ
システム開発担当。
無類の円安好き、1円上がったり下がったりで一喜一憂する今日この頃。
厄年の影響を半端なくうけていて、外出するのが怖い・・・