はてなブログ開発ブログ

はてなブログの新機能など開発に関する情報、公式のお知らせを発信します。

はてなブログへの接続をすべてHTTPSにできる機能の実装予定と、利用を検討するユーザー様に準備いただきたいこと

はてなブログでは、ユーザーの皆様により安全にご利用いただくため、それぞれのブログをHTTPSで配信できる機能のリリースを予定しています。お問合わせも多数いただいておりますが、実施のめどが立ったことから、対応内容とスケジュールをお知らせいたします。

対応内容とスケジュール

はてなブログをHTTPSで配信できる機能は、2017年10月から2018年初頭にかけて以下の三段階でリリースします。段階的に進めることで、さまざまな影響を確認しつつ安全に対応したいと考えています。スケジュールは、状況により変動する可能性もありますのでご了承ください。

第一段階:はてなブログのダッシュボード・管理画面をHTTPS化します

まず、はてなブログをお使いのすべてのユーザー様に関係し、移行が比較的容易な管理画面からHTTPS化を実施します。早ければ来週にも、ダッシュボード(blog.hatena.ne.jp)をはじめとして、同ドメイン以下にある管理画面がHTTPSで配信されるようになります。これは自動で切り替えるため、ブログのオーナーに対応いただく作業はとくにありません。実施時には改めてお知らせいたします。

※ダッシュボードのうち、記事編集画面とデザイン設定画面については、ご利用のブログそのものをプレビューとして入れ子で表示する必要があり、後述する混在コンテンツを避けるため、ブログ自体をHTTPS化したときにあわせてHTTPSで配信する予定です。

第二段階:はてなが提供するドメインのブログをHTTPSで配信できるようにします

次に、はてなブログが提供するドメイン(※下記注釈参照)を利用している既存のブログに対して、HTTPSでの配信を管理画面から選択できるようにします(HTTPに戻すことはできませんのでご注意ください)

後述するようにブログのオーナーが既存記事の混在コンテンツを解決する必要があるため、自動で切り替えることはいたしません。状況にあわせてご利用ください。ただし、これ以降に開設されるブログについては(独自ドメインを利用しない限り)すべてHTTPSで配信されます。

2017年11月ごろの実施を予定しており、詳細については実施前に改めてお知らせいたします。

※はてなブログが提供するドメインとは、ブログ開設時に選択できるhatenablog.comhatenablog.jphateblo.jphatenadiary.comhatenadiary.jpの5つです。

第三段階:独自ドメインのHTTPS化に対応します

最後に、独自ドメインを利用されているブログをHTTPSで配信できるようにします。はてなが提供するドメインのHTTPS化と同様に、混在コンテンツを解決していただく必要があります。詳細は追ってお知らせいたします。

※ドメインの証明書は外部サービスを利用した自動取得を検討しており、独自にご用意いただく必要はありません。また、独自に取得した証明書を利用できる機能を提供する予定もありません。

混在コンテンツ(Mixed Content)について

HTTPSのページを閲覧するときに、HTTPの画像やJavaScriptがあると、Webブラウザが混在コンテンツ(Mixed Content)としてブロックし、表示されません。このときブラウザの「開発者ツール」を利用すると、次のように「Mixed Content」エラーが確認できます。

f:id:hatenablog:20170925141303p:plain
Mixed Contentエラーは開発者ツールなどで確認できます

混在コンテンツは、HTTPSで配信されるWebページに、次のようなHTTPのコンテンツimg要素の画像や、JavaScript、CSS、iframeなど)が貼り付けられていることで発生します。

<img src="http://...">

@import url('http://...' .....

<script src="http://..." ...>

はてなブログにおいてHTTPS配信の利用を検討される方は、記事やサイドバーなどにご自身で配置・掲載した外部サイトの画像や、広告・ブログパーツなどが、下記のようにHTTPShttps://であることをご確認ください。

<img src="https://...">

@import url('https://...' .....

<script src="https://..." ...>

編集サイドバーなどはてなブログの機能における対応について

記事編集画面の編集サイドバーにある各種の貼り付けや商品紹介、はてな記法で展開される画像等の対応については、詳細を追ってご案内いたします。

新規記事においては混在コンテンツとならないよう開発を進めておりますが、HTTPS化が現時点で案内されていないサービスもあり、外部サービスと連携して表示される一部の画像などで対応をまだ検討しているものもあります。

ブログ全体のHTTPS化について

はてなブログではこれまで、はてなブログProの決済など個人情報や機密性の高い情報を扱うページに限り、通信を暗号化する方法としてHTTPS(SSL/TLS暗号化通信)を利用してきました。このように限定されたHTTPSの利用から、サービス全体に拡大していくことを完全HTTPS化と呼びます。

必要最低限なページのみでなくブログ全体をHTTPSで配信できるようにするのは、次の2つの理由によります。

より安全に「はてなブログ」をご利用いただくため

HTTPSを利用すると、通信を暗号化できます。最近では、公衆無線LAN(Wi-Fiスポット)などオープンなネットワークの広がりで、屋外でも手軽にインターネットサービスを利用できるようになりました。オープンなネットワークを利用した通信は、送受信中のデータを第三者に覗き見されるリスクが高いため、常にデータを暗号化した上で送受信する必要があります。

はてなブログでは、ブログごとに公開制限をかけて更新したり、公開前の下書きを保存したり共有したりもできます。「書き残そう、あなたの人生の物語」というキャッチコピーを掲げるサービスとして、さまざまな人生の情報を扱うには、すべての通信が暗号化されていることも必要と考えました。

新たなWeb技術に対応するため

最近では、HTTPS接続であることを前提としてJavaScriptから利用できるAPIがWebブラウザに追加されるなど、セキュアな接続がされていることが新しいWeb技術の前提条件となることも増えています。そういった新しい技術を検討・開発していくためにも、HTTPS化は必要と考えています。

付記・Webブラウザによる警告について

Google Chromeでは、2017年10月に予定されるバージョン62から、HTTP接続のWebページにある入力欄を使用した場合と、シークレットモードでのHTTP接続について、アドレスバーに「保護されていない通信」と表示すると発表しています。これは、すでに実施されている警告の基準をより厳しくするもので、安全性が以前より低下するわけではありません。はてなブログで進めているHTTPS化のスケジュールとは差がありますが、影響を確認しつつ上記のスケジュール通り段階的に実施していきます。ご理解いただければ幸いです。

追記・対応状況について

HTTPS化の対応が予定より遅れており、お待たせすることになり申し訳ありません。状況を順次こちらに追記していきます。

[11/7] はてなブログ6周年の記事において状況を報告しました

[11/20] ダッシュボード・管理画面をHTTPS化しました