常時SSL化(AOSSL)対応の完了まで道のり

■対象
 ECサイト 複数
 コーポレートサイト 1サイト
 ダウンロード系サイト 1サイト

 

■事前準備
Google Tag Managerを使用して現在どのぐらいがSSLで回覧しているかを確認
 →現状だと30%ぐらいがSSLでの通信。問い合わせ系を中心に既に一部SSLでインデックスされてるからかな?

・評価環境上のドメインに対して証明書を取得し設定
 →オレオレ証明書だとブラウザ上危険と判定された為。
  今後は評価環境上でも鍵が壊れてないかどうか検証して本番への流れを作成。

 

■対象ファイルの洗い出し
grepでhttp://対象サイト名で変更すべき箇所の洗い出し
 →1サイトあたり1,000ファイルぐらい該当

・一部はCMSを使っている為、設定出来る所を全て確認
 →CMSの場合は対象ファイル自体が少なくて助かりました。

・DB側に登録のあるhttpでの値が入っているテーブル・カラムを特定
 →一括で変更出来る様にSQLを事前に作成

 

■困ったこと
・鍵がしまってないところを自動での検知が難しい
 FF/ChromeでのMix Contentsが無いかを確認が出来ない
 →Tag ManagerでGA上にMix contentsをイベント設定出来るか試みるが重くなるので断念

・社内のリンク全てを修正は難しい(洗い出しが困難)
 →見つけ次第修正する方向に

Ajaxを使用してた所が使えなくなった
 →Ajax部分の修正優先度を上げて対応

 

■実施中の気付き
・メンバー内の認識が甘く、httpで始まるリンク全てをhttpsにしてしまった
 (しまいにはhttps://www.w3.org/TR/html4/loose.dtdまで。。。)
 →最初に意識統一の必要性が浮き彫りになりました。。
  対象などを事前に明確にし、どういった物をどうするかが欠落してしまっていたました。

 

■実施後の困ったこと
・Search Consoleの再登録するまで検索アナリティクスのデータが減ってしまっていた
 →新規でhttpsのサイトを登録しなおしたら解決しました。

・メールなどで使っている署名のURLや紙に印刷している物が案内不足で修正されていなかった
 →事前案内が足らなかったので、再度変更を依頼しました。

・AOSSL化を優先し機能の確認まで手が回らず2,3細かい機能が使用不能になっていた
 →見つけ次第修正しました。

・サイトの別ドメインを使っている所の対応を行っていなかった
 例)expmple.comのSSL化で ex.comの短縮をSSLを使っておらず、httpsで呼び出すとエラーに。
 →そもそもex.comの証明書を取得するか、httpで行くかどうかを検討しました。
  結局証明書は入れず、httpのリンクに修正しました。

・WAFでのキャプチャもWAF側に証明書を入れないと暗号化された物のブロックは出来ない
 +WAF側での復号化出来る暗号方式が限られている
 →WAFの仕様を確認し、対応していない暗号方式はWEBサーバー側で許可しない設定にしました。

 

■実施後の気付き
Googleに渡しているフィード情報などは、プログラム側の仕様にもよるが、
 今回であればhttpsでの画像情報を渡していたので修正は不要でした。

・AOSSL開始後すぐにGoogleにTOPや8割型のコンテンツがインデックスされました

・サーバー負荷自体も目に見える程は上がらず、AOSSL前よりほんの少しCPU負荷が上がった

・次の日にはTag Manager上では98%がSSL。残り2%は前述した別ドメインでのアクセス。