水深1024m

技術的なメモとか日記的なもの

WEB+DB PRESS Vol.100 特集「対応必須!完全HTTPS化」を執筆しました

2017年8月24日発売の WEB+DB PRESS Vol.100 に「対応必須!完全HTTPS化 - 移行手順からつまずくポイントまで」という特集記事を執筆しました。 この特集は、2017年4月に会社の技術ブログに執筆した Web サービスの完全 HTTPS 化 - クックパッド開発者ブログ という記事をベースに、中身をほぼ新規に執筆したものです。

2017年1月にクックパッドという Web サービスを完全 HTTPS 化したので、その経験を4月にブログ記事という形で公開したのですが、これをご覧になった編集部の方からご連絡をいただき今回の話に繋がりました。

WEB+DB PRESS は8年くらい前、本格的に Web 技術者を目指そうかなと思い始めた学生の頃から時折読んでおり、私にとってもかなり身近な雑誌です。しかし執筆はというとVol.92 でちょこーーっとだけ Fluentd によるログ収集話執筆のお手伝いをしたくらいで、ほぼ初執筆に近いです。

特集について

章構成はこんな感じです。全25ページ。

  • 第1章: なぜ完全 HTTPS 化が必要なのか
    • Web サービスを安心して利用してもらうために
  • 第2章: 完全 HTTPS 化はじめの一歩
    • 証明書の選び方、構成の検討、テスト環境の構築
  • 第3章: HTTP リソースの HTTPS
    • mixed content を効率的に修正するには
  • 第4章: リリース時に注意すべきこと
    • 確認すべき事項と、ミスを防ぐリリースの順序
  • 第5章: クックパッド完全 HTTPS 化の影響
    • 収益、ユーザー、パフォーマンスはどう変わったか

クックパッドにおける完全 HTTPS 化をの経験をベースに、Web サービスを完全 HTTPS 化する方法について、その前提知識などから解説しました。 主に AWS を使った環境の話をメインに書いていますが、今回pixivさんに許可をいただき、コラムという形でオンプレミス環境における完全 HTTPS 化についても執筆させていただきました。 コラムなど含め記事全体を私一人で執筆しています。

HTTPS に対して思うこと

「今の時代、新しいサービスは HTTPS であることが多いし、これから解説する必要もないのでは?」と思う方もいらっしゃる方もいるかもしれません。僕も執筆のお話をいただいた時に正直少し思いました。 が、やはりインターネット全体を見渡してみると、まだ十分とは言えない状態にあると思います。 Google が公開しているレポート でも、日本は最下位 (もちろん取り上げられている範囲でですが) です。

記事でも書いていますが、HTTPS への移行はもはや Web サービスにとって避けられないでしょう。利用者の安心や安全を守るということに加えて、これから使われるであろう新しくて面白い技術の多くは HTTPS をその前提としています。 HTTPS への移行メリットがセキュリティだけであった時代はとうに終わりました。みんながもっと楽しくて、安全な次の Web に行くためにも、HTTPS への移行は必要です。

また同時に、それはトラフィックの大小で決まるものではないと思います。「うちのサービスはトラフィックも少ないし、別に良いかな」と感じる方もいらっしゃるとは思いますが、そのサービスのユーザーも"インターネットユーザー"の一人です。 利用者が安全であることを確認しながら使うリテラシーも必要なのかもしれませんが、最低限"利用するどのサービスも HTTPS になっている"状態を作ることで、インターネットを使うために知らなければならないことをわずかでも減らせるんじゃないかなと思います。

執筆について

執筆は、編集の方と GitHub の上で行いました。既に markdown を使った快適な執筆環境ができており、執筆の上で不自由は全くありませんでした。これは本当にすごいなと思います。
進捗が悪い時期も適切にフォローいただき、その後の校正や本当に最後の最後まで修正を一緒に進めていただいた編集部の池田さんには本当に感謝しております。

また、執筆にあたり職場のみなさんや Jxck さん, catatsuy さん にもレビューをいただきました。貴重なレビューをいただき (また catatsuy さんにはブログ記事2本 前編 後編 のコラム化についても快諾いただき) 本当に助かりました。

おわりに

HTTPS というプロトコルの説明や証明書についての解説に加え、 CSP や HTTP/2, TLS1.3 など次世代の技術にも触れています。あまり下手なこと書くと槍が飛んできそうだな 😇 などと思いつつ、気をつけて書いてはいるつもりですが、なにぶん奥深い世界ですので、お気づきの点があれば温かい目でご指摘いただければなと思います。

完全 HTTPS 化について、何がボトルネックになっているかは各サービスによって当然違います。そもそも必要性が認識されていないかもしれないし、担当者は完全 HTTPS 化したいと思っていてもリソースの問題で動けないかもしれない。あるいは技術的な問題や心配で先に進めていないかもしれない。 1 しかし、かつて考慮すべきだったことの多くは現代では心配する必要がなくなっています。もちろんケースによりますが、多くの場合そんなに難しくはない、のだと思います。

本特集は、実際の構成や設定にとどまらず、同僚や上司への説明などにも利用できるよう、できる限り使いやすく書いてみたつもりです。 特集をご覧いただいて完全 HTTPS 化に進めた、なんていう声をもし聞けたなら嬉しい限りです。

記念号となる Vol.100 には、私の特集のほかにもとても面白い特集やエッセイがたくさん掲載されています。本日献本いただいた書籍を読みましたが、とてもおすすめです。 完全 HTTPS 化に興味があってもなくても、ぜひお買い求めください!

  1. このブログが HTTPS ではないのでは、というお声もあるでしょう。しかしはてなブログHTTPS 化も進んでいると伺っており、またユーザーが記事などを自由に書けるようなサービスにおける完全 HTTPS 化は難易度がかなり高いと思っていますので、気長に待つことにしています :)