神戸新聞社 デジタル事業局 技術開発部
北村 周様 初瀬川 文範様
https://www.daily.co.jp/
“ブレないデイリー”としてマツコ&有吉の怒り新党でも認められた、全国紙のスポーツ新聞「デイリースポーツ」は、月間3億ページビューあるニュースサイト「デイリースポーツonline」を、2017年1月に常時SSL化しました。業界に先駆けて、常時SSL化を進めた理由や、実現までの舞台裏をお伺いしてきました。
ヤフーニュースやスマホアプリでニュースが表示されなくなる!?
会社の説得はスムーズでした。
― 常時SSL化したきっかけは?
本格的に検討を開始したのは、2016年6月にAppleが、APP Storeで配信するアプリのHTTPS接続を義務付けるApp Transport Security(通称ATS)を発表したのがきっかけです。
デイリースポーツは、グノシーやスマートニュース等にも記事を提供しています。
ヤフーも常時SSL化を発表していましたし、ヤフーニュースでもデイリースポーツの記事が見られなくなるかも、と会社に状況を説明すると、それは困るよねと、すんなりと進めることが決まりました。
公開中の環境にサーバー証明書を入れ、3ヶ月かけてHTTP通信部分を潰していきました
― 常時SSL化の計画と実施にどれくらい時間がかかりましたか?
調査と計画に3ヶ月、プロジェクトに3ヶ月、合計で約半年かけて実行しました。
当初はHTTPS用にテスト環境を準備して進めることも考えていましたが、日々刻々と変わるコンテンツや、クローズな環境ではテストできないであろう広告表示などもあることから、公開中のサーバーに証明書をインストールして進めることにしました。
HTTPとHTTPSと両方で同じコンテンツを表示し、3ヶ月かけて、HTTPS接続ができていない部分を1つずつ潰していきました。サイトを常時SSL化する時、内部リンクの変更が一番苦労すると思います。
デイリースポーツの場合は、2年ほど前から海外を中心に常時SSL化が進んでいることを意識していて、http://からの直書きをやめて相対パスに変えるなど、準備をしていましたので、スムーズに進めることができました。
広告やレコメンド表示など、自社だけでは常時SSL化できないところが大変でした
― 苦労したところはどこですか?
広告や記事のレコメンド表示で外部サービスを利用しているのですが、1社ずつ確認しHTTPS対応をお願いしました。
意外にも広告系サービスの8割ほどは対応済みで、まだのところは、一緒にSSL化を進めてもらいました。
アドサーバでもSSL非対応を一部使用していたため、SSL化に対応してもらいましたが、リリース日ギリギリだったことなど、広告まわりの対応に苦戦しました。
一部の情報を外部から取得しているのですが、外部サービスによっては例えば野球シーズンに合わせたHTTPS化スケジュールを組んでいるところもあり、そこの部分はHTTPSにリダイレクトしない設定にすることもしています。
また、すべて事前に確認したつもりでも、実際にHTTPSにリダイレクトしてエラーに気付いた問題もありました。プログラムを利用して記事を出力している部分では、ドメイン名は変わっていないのにHTTPとHTTPSでクロスドメインとされてエラーが出てしまったので急いで直しました。
.co.jpの企業サイトなので企業認証(OVSSL)を選びました
― SSLサーバー証明書は何をつかいましたか?
daily.co.jpにはサブドメインをいくつか設定していることや、別のドメイン名もサイトに関係していること、複数台構成で運用しているという条件から、ワイルドカードとマルチドメインが利用できる企業認証SSLを採用しました。
お客様に安心して見てくださいと言える、商品に責任をもてるようになりました
― 常時SSL化してよかったことは?
守りの面では、ブラウザでアクセスしたときに「信頼できる接続先です」と出るのは、やはり嬉しいし気持ちがいいです。お客様に安心して見てくださいと自信を持って言えるし、自分たちの商品に責任をもてるようになりました。セキュリティリスクの心配もなくなりました。
攻めの面では、HTTPS化することでHTTP/2やWebPushなど今後やりたい課題の第一歩が踏み出せたという感じですね。
サービスの断捨離、URLが変わるので名刺など印刷物の変更も
― 意外なところへの影響はありましたか?
たくさんのサービスを出しているのですが、全てを把握しきれていたわけではなくて、これをキッカケに断捨離ができました。動いているけれど忘れていた設定など、イチから見直しをして大掃除ができました。
常時SSL化しても、HTTPからのアクセスをHTTPSに転送するので、大きな影響はないと思っていたら、名刺や配布物に印刷しているURLが変更になるので、急遽、社内説明の場を設けました。
― 常時SSL化を検討されている方へアドバイスをお願いします
正直、現時点では守りの要素が多く、大きなメリットはありませんでした。
でもこれから出てくるサービスはHTTPS接続がベースになると思いますし、近い将来、早くやっておいてよかったと思えるはずです。
ブラウザやアプリのアップデートで突然見れなくなって、急いで対応しなきゃとなっても困りますから、まだの方は早めの検討と対策をおすすめします。