パスワードを忘れた? アカウント作成
12625045 story
Google

Google、HTTPSを優先的にインデックスへ登録する方針を発表 85

ストーリー by hylom
SSL化したいですね…… 部門より

Googleが、同一のコンテンツを掲載しているページであればHTTPSで提供されているページをHTTPで提供されているページよりも優先して検索インデックスに登録することを発表した(Googleのウェブマスター向け公式ブログ)。

Googleは昨年HTTPSをランキングシグナルに使用することを発表している。なお、「対応するHTTPSページがどのページからもリンクされていない場合にも対象となります」とあり、HTTPSで接続できるURLを公開していない場合でも、GoogleのBotがHTTPSでの接続を試行してくる可能性があるようだ。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • ウェブのブラウジングはウェブサイトとユーザーとの間の私的な体験となるべきであり、傍受、中間者攻撃、データ改ざんの対象となってはいけません。Google が「HTTPS everywhere」の推進に取り組んできたのはこのためです。

    上記の文章が書かれている Google の公式ブログ(平文) [blogspot.jp] に、HTTPS でアクセスしようとすると「302 Found」で HTTP(平文)ページにリダイレクトされる [blogspot.jp] なんていうのは、冗談としか思えないぐらい酷いです。

    「HTTPS everywhere」なんていう偉そうなキャッチフレーズを挙げて他社・他者に行動を要求する前に、自分のサイトをなんとかしてください。

    • by Anonymous Coward
      そうだよね。
      インターネットに生まれて初めて接続する人向けの手順解説が印刷本だなんてのも笑止千万だよね!

      #「鍵は部屋の中」って知ってる?
  • 実際に Webサイトを HTTPS に移行するのにあたって、多くの人が不安に思うことは、広告収入の低下ではないでしょうか?

    Google AdSense は、シェアNo1の広告ネットワークな上、2000以上の広告ネットワークが Google が「親」となる形で Google AdSense と提携しており(例えば、Google AdSense 経由で MicroAd の広告ネットワークの広告が配信されることがあり、その場合中間マージンは Google と MicroAd で按分される)、Web 上の広告ネットワークの支配者のような存在となっています。そのため、多くのWebサイトオーナーは、月極め広告(直接契約)の相手方を見つける以外の方法では、Google の支配から脱却できない状況下におかれています。

    従って、「HTTPS everywhere」の推進をしているのであれば、Google は HTTPS化により広告収入が低下しない環境を作り出し、それについての各種データを公開すべきだと思います。

    HTTPS サイトで AdSense をご利用いただけるようになりました [blogspot.jp](Google 公式ブログ) には、

    HTTPS 対応サイトでは、広告を含むページ上のすべてのコンテンツが SSL に準拠している必要があります。

    SSL 非準拠の広告は、HTTPS 対応ページに掲載する広告を決めるオークションから除外されるため、SSL 非準拠の広告は表示されません。そのため、HTTP サイトを HTTPS サイトにした場合、HTTP ページに広告を掲載する場合よりも収益が低くなる可能性がございます。

    なんて不安を煽る文章が書かれていますが、

    • Google AdSense の自社ネットワークで配信する広告は、全部 HTTPS 対応なのか? HTTPS 非準拠は提携広告ネットワークのみなのか?
    • HTTPS 非準拠の提携広告ネットワークの割合(会社数、出稿広告数、金額ベースなどでの統計データ)
    • 「HTTP ページに広告を掲載する場合よりも収益が低くなる可能性」について、具体的にどの程度収益が低下するのかといった統計データ

    が一切公開されていません。

    徐々に改善傾向にあるのなら、どの程度 HTTPS 準拠の広告(あるいは提携広告ネットワークの数)が増えているのか、収益の低下がどの程度抑えられるようになったのかも、データとして公開すべきでしょう。

    HTTPS 化で、収入がどの程度変化するのかのデータが無ければ、広告収入を得ているサイトが不安に感じてしまい HTTPS に移行しにくいのは明らかです。

    AdSense について一番正確な統計データを持っているのは Google な上、Google は守秘義務契約で具体的な収益情報の公開を禁止しているので、Google 自体がそういったデータを公開してくれないと他の人は何もできません。

    # 私のサイトでは、現在 Google AdSense の自社ネットワーク(Google AdSense の提携広告ネットワークではなく、Google 自身が管理している公告ネットワーク)による広告配信については HTTPS 化による収益の低下はあまり感じられないぐらい改善されており(ひょっとしたら、提携広告ネットワークを使用しない設定にしているサイトならば、HTTP → HTTPS で Google AdSense の収益は全く低下しないのかもしれない)、Google AdSense 経由で配信される他社の広告ネットワークの広告(提携広告)についてのみ収益低下が発生しているような印象ですが、具体的なデータは Google との守秘義務契約違反になるので出せません。

    • by Anonymous Coward

      検索結果のポリシーを変えるよって話なのに
      それに付随する変化全てを追従できるわけないでしょう。
      なんで一度に全てをそろえてからやれよ、と思うのか。
      嫌なら使わなきゃいいんだよ。

    • by Anonymous Coward

      安全性と自分の儲けを天秤にかけたいなら好きなようにすればいいんじゃないかな

      • by Anonymous Coward

        安全性と自分の儲けを天秤にかけたいなら好きなようにすればいいんじゃないかな

        広告収入がどの程度減るのかが分からないなら、
        安全性と天秤にかけることすらできないでしょ

        天秤にかけるための資料要求でしょう

        # 儲け度外視の完全趣味サイトなら好きにすればいいんでしょうけど

  • by Anonymous Coward on 2015年12月21日 15時09分 (#2938325)

    セキュリティ対策と称して社内とのSSL通信を遮断するのだった。

    • by Anonymous Coward

      意味不明

      • by Anonymous Coward

        日本の大企業だとセキュリティ対策で通信内容を記録(監視)しているために、
        外部との暗号化通信は禁止・遮断されることが多いのを揶揄しているのでしょう。

        • でも「社内とのSSL」と書いてあるけど、どの点がやゆなのかな
          親コメント
        • by Anonymous Coward

          外部より内部を疑うのか…

        • by Anonymous Coward

          「社外とのSSL通信を遮断」の間違いだとして、それはセキュリティ対策として正しいだろ。
          ゲートウェイでのマルウェアチェックもできないし、機密データをアップロードしていたとしても、
          全く記録に残らない。

          プロキシでSSL通信を復号化した方が良いのは勿論だが、全部の通信を復号化するのは、プロキシの
          負荷的に厳しいだろうから、不要と思われるSSL通信を遮断するのは仕方ない。

        • by Anonymous Coward

          某NTT系列も全滅だよな、Google系のサービズ一切使えなくてYahoo久々に使ったわw

          • by Anonymous Coward

            ブロックしたい理由がバグ隠蔽暴露対策だけどな。

      • by Anonymous Coward

        softetherあたりを使うヤツ対策なんじゃないかな

  • by Anonymous Coward on 2015年12月21日 15時27分 (#2938335)

    エネルギー消費考えろよ

  • by Anonymous Coward on 2015年12月21日 15時51分 (#2938348)

    全く無関係の外部サイトがコンテンツを丸コピーして乗っ取ってGoogolがHTTPSに優先インデックスされたら別のコンテンツにすり替えが流行りそう

    • by Anonymous Coward

      リンク先より、

      >同じドメインの 2 つの URL が同じコンテンツを掲載していると思われ、
      >かつ、両者が異なるプロトコル スキームで配信されている場合、通常、
      >以下の条件を満たしていれば HTTPS URL を選択してインデックスに登録します。

      つまり、従来から存在する「httpでもhttpsでも同じコンテンツが見えるURL」について、
      https側を優先的に表示しますよって話。あなたの例ではURL違うから関係ない。

      #と、言う理解なんだけど違ったらツッコミ希望

      • by Anonymous Coward

        その理解であってると思うけど、

        >あなたの例ではURL違うから関係ない。

        「https://」も、「http://」も含んでのURLなので、この話ではそもそもURLが一致することはあり得ない。

        ので、リンク先とやらの説明文も「同じURLで同じコンテンツが、httpsとhttpの両方で配信されている場合」と
        書けば分かりやすそうだけど、それはあり得ないので、そうは書けずにまどろっこしいんだと思う。

        # ツッコミ希望とあったので細かいツッコミ

  • by Anonymous Coward on 2015年12月21日 16時16分 (#2938361)

    OSDN [osdn.jp]はAOSSLになってるんだけどなあ…
    なぜかショボいDomain Validated 証明書なのは激しくアレゲだが…
    なお残念ながらコーポレートサイト [osdn.co.jp]は非AOSSL

    # ぜひここはExtended Validation 証明書でアドレスバーに "OSDN Corporation" を表示してほしいものだが。。
    # っていうかせめてOrganization Validation 証明書にしなよ…

    • by Anonymous Coward

      そういや別に日本語でもいいんだっけね
      "サイバートラスト株式会社 [JP] [cybertrust.ne.jp]"なんて例もあるし

      OSDN Corporation [JP]
      OSDN株式会社 [JP]

      うむ、なかなか悩ましいな

    • by Anonymous Coward

      そりゃプログラムなどのファイルを配信するサイトなら、信頼性の面でもhttpsにするのは当然かと。

      スラド程度(と言ったら失礼だが)にhttpsは不要だ。
      そんな信用の必要な情報もないし(これも失礼か)。
      カジュアルに楽しむサイトだ。

      • by Anonymous Coward

        HTTPSが必要な理由はあっても不要な理由はないんですが

        • by Anonymous Coward

          通信を暗号化すると、NSAの要監視対象にリストアップされて、ミッションインポッシブル部隊がサーバに何か仕掛けに来ます。平文通信なら安心です。

          # 情勢の終わってる地域では、書留とか現金書留を使っちゃダメ、という話を聞いた。
          # 信頼性の向上分以上に、「そこに何か良いモノが入っている」と示す悪影響の方が大きいから、
          # その他、多くの郵便物と見分けが付かないように紛れ込ませた方が、結局、安全性は高くなるとか。

        • by Anonymous Coward

          あるよ
          なぜ、そうなのかは自分で考えてみよう

          • by Anonymous Coward

            つまりは、ありません。
            ご解説どうもありがとうございます。

      • by Anonymous Coward

        それって常時SSLを否定しているのとほとんど同じですよね。っていうかDV 証明書に信頼性なんて皆無ですよ?
        それに、スラドにはIDの仕組みがあるわけですが、なりすましなんてやろうと思えば簡単にできますよね、だってログインページすらSSLじゃない [srad.jp]ですもの…

        • by Anonymous Coward

          DV証明書については何も言っていない。
          IDで書き込まれる内容も「信用の必要な情報」ではないのか。

          # 信用の必要のないAC

        • by Anonymous Coward

          そう、常時SSLなんていらない。
          いるサイトといらないサイトがあるってこと。それは各自が判断すればいいこと。自分はスラドにはいらないと考える。
          IDがあっても、別にスラドアカウントを盗まれても困らない。
          AmazonやFacebookだと困るから常時SSLであってほしいけど、Amazonは認証部分だけだね。

          なにがなんでもどんなクソ情報を垂れ流してるサイトでも常時SSLにすべき、っていうのもどうかと思うよ。
          そりゃSSLの方がいいけど、なくても全然困らないもの。

          • by Anonymous Coward

            ●HTTPのWEBサイト→誰でも簡単に公開できる→詐欺サイトも簡単に公開できる

            ●HTTPSのWEBサイト→正規の手続きで証明書を取得しないと警告が出る→詐欺サイトが簡単には公開できない

            なので、GoogleはHTTPサイトを撲滅したがってるのです。
            今でも、HTTPSサイトの方が優先的に検索結果上位に来るように、調整がかかってます。
            サイト運営者にはメリットないだろうけど、将来的にはユーザ側にメリットがあると考えられます。

      • by Anonymous Coward

        スラドはログインするとパスワードが平文で流れるんだが

    • by Anonymous Coward

      広告の一部にSSL非対応のが混ざってるとか? 1つでも混ざっているとhttpsになりきらない。
      最近、そういう理由でSSL化を断念したという記事をなんかで読んだ。

      一方で、こないだ、Chromeのhttpsの鍵表示の方針変更のストーリーを見ていたら、
      「httpsと出ているのに鍵が出ない(全コンテンツがhttpsではない)」=
      「サーバの設定を何かミスっている、早急に対処すべき事態」と断定するヒトが結構居た。

      そこから考えると、広告の一部がSSL非対応なのを無視して本体をhttps化すると、
      httpsなのに鍵が出ない! 何か大変な事が起こっている! 死ぬ! と大騒ぎされるんじゃなかろうかと。

      • by Anonymous Coward

        三菱東京UFJ銀行なんか、せっかくEV 証明書とっているのに、いまだにSHA-1を署名アルゴリズムに使っているせいで鍵がなくなってしまった。もったいない。

  • by Anonymous Coward on 2015年12月21日 16時47分 (#2938384)

    …や議会・首相官邸のたぐいが軒並み http なのでこれを機に https 化に期待

    • by Anonymous Coward

      更新忘れてて、有効期限切れ警告が表示されるトラブルが頻出しそうだなぁ。
      自治体のサイトは、そんなイメージ。

      • by kalb (19692) on 2015年12月22日 0時05分 (#2938641)

        新宿区のWEBサイトが今月突然見れなくなったので焦っていたらhttps化してそのうえドメインまで変わっていた
        http://www.city.shinjuku.tokyo.jp/ [tokyo.jp]
        から
        https://www.city.shinjuku.lg.jp/ [shinjuku.lg.jp]
        tokyo.jpは東京都のドメインらしいのでサイト的に独立したのかな
        気がつかなかったがいつの間にか企業広告まで入っている
        #新宿区のトップページに池袋法律相談センターって・・・

        親コメント
      • by Anonymous Coward

        更新忘れててというより、予算がつかなくてとかベンダが決まらなくて放置、のイメージ。

        • by Anonymous Coward

          暫定予算 [mof.go.jp]に対応して数十日間の有効期間を持つ証明書を発行する…とか…

      • by Anonymous Coward

        自治体っぽいところの中で働いておりますが、内部の業務ウェブシステムがオレオレ証明書です。

        ただ、ちゃんとフィンガープリントが印刷物として回ってきて、各自で適切に証明書をインストールせよとの業務命令もあったので、
        全職員がその通りに適切に行動できている…という無理げな前提で言うなら、正しい運用と言えます。

        ただまあ、その正しいオレオレ証明書もこないだ期限が切れてエラーが出るようになったわけですが…。

    • by Anonymous Coward

      GPKIあるから使えばいいのにね。
      とはいえダウンロード可能なPDFやらエクセル文書等に署名入りにするほうが先のような気がする。

typodupeerror

吾輩はリファレンスである。名前はまだ無い -- perlの中の人

読み込み中...