GeekWireのHTTPS導入がいかにして阻まれたか:インターネットはGoogleの完全SSL化にまだ準備ができていない
GeekWireによる
Googleは、「HTTPS Everywhere」イニシアチブを通じてインターネットの安全性向上を目指しており、ウェブサイトに対し、ブラウザへの接続をHTTPS暗号化で保護するよう推奨しています。同社は、検索アルゴリズムがランキングシグナルとしてHTTPS暗号化を使用していることを公表することで、ウェブマスターがSSL暗号化を有効にするインセンティブを与えています。
しかし、今週末のGeekWireの展開状況を見ると、インターネットの一部の領域はまだ完全SSL化への準備が整っていないようです。サイト上で一時的にHTTPSを有効化しましたが、記事の暗号化を無効にせざるを得なくなりました。
GeekWireにとって、検索エンジンは重要な読者獲得源です。そのため、短期的には効果は小さいものの、セキュリティ強化とSEO効果の可能性を高めるため、HTTPSの導入を決定しました。Googleが検索アルゴリズムにおいて何が重要かを明確に示すことは稀であり、トラフィックの暗号化に時間と費用を費やしているサイトをGoogleがより高い信頼を置く理由は容易に理解できます。
さらに、この機能に非常に熱心な読者が少なくとも 1 人います 。
聞いてますよ、sleepylemurさん!
私たちにとって、このプロセスは非常に簡単でした。最終的に350ドルを費やしてワイルドカードSSL証明書を取得し、Webサーバーにインストールしました。GeekWireはWordPress上で運用しており、WordPressは絶対URLを多く含んでいるため、ページのコンテンツ内のhttps://www.geekwire.comをhttps://www.geekwire.comに変更する書き換えルールをいくつか適用する必要がありました。その後、すべてのページをHTTPSで配信するようにリダイレクトしました。ページの応答時間は25ミリ秒から約90ミリ秒にわずかに増加しましたが、それでも十分な速度でした。これはすべて非常に簡単で、トラフィックが暗号化されていることを示す南京錠アイコンがページに表示されるようになりました。
私たちにとって問題だったのは、自社コンテンツではありませんでした。自社コンテンツ自体はうまく機能していました。問題が発生したのは、他サイトからの埋め込みコンテンツ、特に大手ニュース企業やメディア企業の動画や音声コンテンツです。報道機関として、私たちは記事を補足するために、ウェブ上の動画や音声の埋め込みコンテンツをよく利用しています。YouTubeの動画埋め込みはSSLをサポートしていますが、ウェブサイトで使用されているメディアプレーヤーの多くはSSLをサポートしていません。ウェブブラウザはHTTPSウェブページ上の安全でないコンテンツをブロックするため、動画や音声の埋め込みはHTTPSページ上では単なる空白として表示されます。
YouTubeの現在の埋め込みコードはトラフィックの暗号化の有無に関係なく機能しますが、数年前のFlashを使用した古い埋め込みコードは、HTTP経由でのみ動画を配信するように設定されていました。その埋め込みコードは数年前に変更されたようで、2011年から2012年にかけて多くのコンテンツが表示されなくなっていました。サイトに数年前のYouTube動画が多数埋め込まれている場合は、それぞれの動画を新しい埋め込みコードに更新する必要があります。この方法の副次的なメリットは、古い動画の埋め込みが、Flash動画コンテンツをサポートしていないiOSデバイスでも表示されるようになることです。面倒ですが、おそらくそれだけの価値はあるでしょう。
動画や音声コンテンツを埋め込むために時々利用するサイトをいくつか調査しました。これはほんの一例であり、網羅的なものではありませんが、結果はほぼ一貫しています。この種の埋め込みコンテンツはSSLでは利用できないということです。
- CNN – 独自の動画埋め込みコードを持っていますが、サーバーは動画のHTTPSリクエストに応答しません。
- NBCニュース – プラットフォームの埋め込みプレーヤーを使用していますが、SSL経由でコンテンツを提供していないためブロックされています。
- ブルームバーグ – 独自の動画埋め込みコードを持っていますが、サーバーは動画のHTTPSリクエストに応答しません。
- TechCrunch/AOL – HTTPSリクエストに応答しないAOLコンテンツ用のカスタムビデオプレーヤーがあります
- King 5 – Brightcoveの埋め込みFlashプレーヤーを使用
- KIRO Radio (GeekWire Radio 番組のホスト) – 独自のオーディオ埋め込みコードがありますが、サーバーは HTTPS 経由の接続を拒否します。
ウェブサイトにきちんと管理されたコンテンツがある場合、HTTPSへの移行はおそらくかなり簡単です。しかし、私たちのように、他のサイトから埋め込まれた音声や動画を時々利用している場合は、おそらくうまくいかないでしょう。コンテンツプロバイダーは、現時点ではインフラでSSLをサポートしていないからです。Googleは、YouTubeのようにコンテンツ配信ウェブサイトにSSLを有効にするよう、より一層強く働きかける必要があるようです。
GeekWireは、サイト管理においてSSL暗号化を維持します。また、eコマース機能のあるサイト部分は、サードパーティベンダーを通じて常に暗号化されています。しかしながら、当面は、コンテンツプロバイダがより広範囲にHTTPSをサポートするまで、Googleの「HTTPS Everywhere」の呼びかけには対応を控える必要があります。
