2018年にHTTPSへの切り替えが最優先事項の一つとなっている理由とは?
HTTPSへの移行とその影響
インターネットを利用する際のプライバシーとセキュリティを強化するため、Google ChromeやMozilla Firefoxなどの主要ブラウザベンダーは、HTTPSを使用してすべてのWebトラフィックを暗号化する動きを始めました。 この流れを受けて、SuperSaaSのスケジュールもHTTPSに切り替えることを検討する必要があります。
ここでは、HTTPとHTTPSの基本と、ブラウザベンダーの計画、ユーザーのスケジュールへのアクセス方法の変更手順について説明します。
HTTPとHTTPSの違い Webサイトアドレスを入力すると、ブラウザはWebサーバーとの接続を確立し、要求されたWebページに関する情報の送信を要求します。 ブラウザとサーバとの間のこの通信は、HTTP(ハイパーテキスト転送プロトコル)またはHTTPS(ハイパーテキスト転送プロトコルセキュア)のいずれかのプロトコルが用いられます。
HTTPプロトコルは情報をプレーンテキストとしてを用いて接続し、HTTPSプロトコルは情報を暗号化されたデータとして接続します。
一般的な電子通信の内容は、その性質上、ネットワークに公開され目的地へ向かいます。 公開された電子通信の内容は、そのネットワークに接続できる環境であれば、基本的に通信内容を取得可能です。
HTTPプロトコルはプレーンテキストデータを用いるため、その発信された情報がそのまま読み取ることが可能となります。
発信者は通信が盗み見られていても、それを認識するすべがありません。
もし、その通信内容が入力されたパスワードなどの場合、気づかないうちに簡単に悪用されてしまいます。
HTTPSプロトコルは暗号化されたデータとして通信するため、内容を傍受されたとしても、その解読を困難にすることができます。
HTTPSへの移行の影響 ChromeとFirefoxは、HTTPの通信でパスワードを入力すると警告を表示し始めました。 ブラウザベンダーは、今後のセキュリティ機能強化として、より多くのページで厳しい警告を表示する意向を表明しています。
警告の第1段階として、URLバーの南京錠アイコンに赤い "x"を表示することで、HTTPサイトを安全でないと警告するブラウザが生まれました。
図:Mozilla FirefoxがHTTPおよびHTTPSのWebサイトに関する警告を表示する仕組み
次の段階の警告は、ユーザーがセキュリティで保護されていないHTTPページに個人情報やパスワードを入力しようとしたときに表示されます(下図参照)。
さらに、次の段階では、大部分のサイトがHTTPSプロトコルに移行するまで警告が増加します。 SuperSaaSスケジュールを利用しているサイトでHTTPリンクを使用した場合、ユーザーがアクセスした時に安全でないサイトととしてブラウザから警告されます。
ユーザーをいたずらに不安にさせることとなり、関係に悪影響が出る可能性があります。
この変更を避けるためにもHTTPSのリンクに切り替える検討が必要です。
SuperSaaSスケジュールへのHTTPSリンクに変更 基本的には、単純に「http」となっている箇所を「https」に変更するだけです。しかしながら、電子メールの確認のリンクや、自分のドメイン名でSuperSaaSを活用している場合は少し複雑になります。
supersaas.comでカレンダーを使用している場合
ステップ1:リンクを更新します。 サイト、Facebookページ、電子メールなどのスケジュールへのリンクを共有している場合は、スケジュールリンクにHTTPの後ろに「s」を追加するだけで、リンクが適切に動作するはずです。
たとえば、スケジュールリンクが現在:
http://www.supersaas.com/schedule/demo/Therapist の場合
単純に次のようになります。
https://www.supersaas.com/schedule/demo/Therapist
ステップ2:送信した電子メールでSSLを使用するようにアカウントを更新します。
「アクセスコントロール」ページに移動し、「SSL / TLS(HTTPS)接続暗号化を強制する」を選択します。 これにより、古いHTTPリンクを使用しているユーザーは、自動的にHTTPSにリダイレクトされます。
独自のドメインでカレンダーを使用する場合 schedule.yourbusiness.comなどのカスタムドメイン名でスケジュールを使用している場合は、プロキシを介してHTTPS接続を許可するように再構成する必要があります。 詳しくはカスタムドメインチュートリアルを参照ください。