2018年7月24日リリースのChromeから非SSL/TLSのHTTP通信で、「保護されてない通信」と表示されるようになりました。SEO的にもSSL/TLS対応のHTTPS通信の方が有利と言われています。
当サイトを実験サイトとして、完全SSL化前後のアクセスの流入などの変化を見てみたいと思っています。今回はLet’s Encryptのマルチドメイン(SANs)証明書で、Googleが推奨するwwwあり・なしともにSSL/TLS対応し、いままでの非SSL/TLSからSSL/TLSにHTTPのredirectの設定もして、Google Search Consoleも(www有無・TLS有無)の4パターン登録しましたが、当サイトのSEO評価がどうなるか心配です。
残対応としてHTTP/2化があります。HTTP/2対応はApacheかNginxのパッケージをコンパイルして導入すればすぐにでも対応できますが今回は見あわせました。ディストリビューションのメリットとしてはバックポートしてくれることですが、ディストリビューション側よりHTTP/2対応の安定バージョンをリリースしてほしいです。
つまり、現段階では当サイトはHTTP/1.1のままで、TLSのハンドシェイク+α分のHTTPレスポンスは落ちています。あと、証明書状態確認のため、CRLプロトコルでは遅すぎると思い、気休めにOCSP Staplingまでは対応しました(といっても、そもそもdefault設定のChromeはOCSPで失効状態などは確認しないようですが…)。
より具体的な完全SSL化の技術関連の記事は、次回書きたいと思っています。