WebサイトのHTTPS化の不備

• Shingo Takahashi


• 2018/05/14

ある時、国税庁のWebサイトを訪れようとした際に検索結果で表示された『国税庁（www.nta.go.jp）』の部分をクリックしました。

その際、表示されたのは暗号化されていない『www.nta.go.jp』でした。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

さて、WebサイトのHTTPS化は結構進んできたということは間違いないのですが、そのHTPPS化が中途半端な状態で行われていることがよくあります。

では、実際にどのような状態になっているのでしょうか？

WebサイトのHTTPS化での不備とは

まず、この国税庁のサイトを例にあげると、検索結果に表示されるリンク先が『HTTP』のものと『HTTPS』のものと混在しているようです。

今年の3月末、国税庁のホームページはリニューアルされたわけですが、その際、各ページのサイトマップはHTTPSに書き換えを行っているはずです。

ここから推察すると、まずは検索エンジン側のインデックスが間に合っていない可能性が高いと言えます。

しかし、これに関しては簡単に対処できます。

HTTPでのアクセスをHTTPSにリダイレクトすれば問題は起きません。

例えば、以下のようなルールを.htaccessに記述しておけば防げます。

RewriteEngine on

RewriteCond %{SERVER_PORT} !^443$ [OR]
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://www.example.com/$1 [R=301,L]

この他にも、せっかくHTTPS接続で読み込まれたHTMLでも、中に含まれているコンテンツのURLが『HTTP』となっている場合には『mixed content』となってしまい、『保護された通信』とはなりません。

これらのことにも気を配り、何度が表示確認をした上で、日々問題が発生している部分は改修していくことも重要です。