本日より、本サイトのアクセスのデフォルトをTLS（暗号化）通信としました。URLは https://oritsubushi.net/ となり、httpsではじまるようになります。
特に、PCからのアクセスについては、強制的にhttpsへと転送する設定となっております。

これにより、みなさまの個人情報を含むデータの、本サーバーとPCとのやりとりは、すべて暗号化されるようになりました。

なお、スマホについては、httpsでのアクセスはもちろん対応しておりますが、強制的にhttpsへと転送することはありません。また、両スマホアプリと本サーバーとの同期機能については、暗号化されるのは本年3月4日早朝にリリース予定の次期バージョンからとなります。

以下に、技術情報、今回このような設定に至った理由と経緯を詳解しますので、ご興味がおありの方はお読みください。

暗号化対応の理由

対応期限が延期はされましたが、近々、iPhoneアプリについて「アプリと外部サーバーとの通信を行う場合、TLS1.2対応は必須、TLS1.1以下の暗号化もだめ、まして非暗号化なしは論外」という審査方針が適用されます。

もちろん、アプリの設定で「このサイトはTLS1.2に未対応です」という設定を行い、かつアプリ審査時に「かくかくしかじかで未対応にならざるを得ません」と説明しそれが認められれば、アプリのリリースは可能です。そして実際、i降りつぶしではiOS9対応版からこの例外設定を行っております。
しかし、本サイトについては、アプリと同じく合資会社ダブルエスエフが自社運用しているものです。それをTLS対応しないままであることが審査で認められる可能性は、今後きわめて小さくなるものと思われます。

スマホアプリの同期機能が次回リリースまで暗号化されない理由

本サイトは、パスワード認証の他、TwitterアカウントによるOAuth認証にも対応しています。
この認証に対応する画面遷移を行い、かつTwitter認証画面内にある認証とは関係ない画面へのリンクがタップされた場合に標準ブラウザーに表示を移すためには、アプリ内部で「今はどのサイトのどのURLにいるか」を監視する必要があります。
現在のスマホアプリでは、この判定を http://oritsubushi.net に対して行ってしまっており、その判定をhttpsに切り替えない限り、対応ができない、ということになります。

スマホでの閲覧がhttpsに強制転送されない理由

これを行ってしまうと、上記のとおり、「httpでしか同期ができない」まま、更新ができなくなっている、iOS7以下およびAndroid2.2の古いアプリ利用者のみなさんが、同期機能を利用できなくなってしまうためです。

もちろんこれは、サイトURLのうち認証および同期に関係するもののみhttpsに転送しない、という設定を行うことで回避可能ですが、その対応は、そもそも本サイトの閲覧をスマホ対応デザインに変更する際に同時に行いたいと考えております。

技術情報

• 証明書発行者: FujiSSL
• 証明書認証方法: ドメイン認証（DV）
• ルート証明書: セコム
• RSA鍵長: 2048bits
• 署名アルゴリズム: SHA256
• 対応プロトコル: TLS1.0, TLS1.1, TLS1.2
• セキュリティー設定: SSLv3無効化、RC4無効化
• SNI対応: なし（WinXP IE8以前やAndroid 2.3以前でもアクセス可能）