SSLとは

SSLとは、Secure Socket Layerの略で、暗号通信に使われる技術のことだ。
これをWebサイトの配信に用いたものがhttps。最後のエスがセキュアであることを示す。

これまでの常識では、単に情報を発信するページは暗号化されていないhttpで行い、訪問者にフォーム入力させるようなページ(とりわけクレジットカード番号や個人情報など)では、そのページだけSSLに対応したhttpsで通信するのがセオリーだった。

しかし米国NSAがhttpの性質を利用して、本来無害なサイトへのアクセスを改ざんしてスパイプログラムをインストールさせているという事実がエドワード・スノーデン氏により暴露され、以降は単に情報を発信するだけのサイトであっても全てのページをhttpsで通信させる方法(常時SSL)が常識化しつつある。

アドレスバー表示について

サイトがhttpsに対応して通信が暗号化されているとき、ブラウザのアドレスバーがそれぞれ次のように変化する。

混合コンテンツについて

サイト本体がhttpsで暗号化されているとき、画像やCSSやJavascriptなど、ページのパーツとして同時に読み込まれる資源へのアクセスがhttpだと、保護されていない通信という扱いになってしまう。

これらの資源はページ本体をリクエストした際にサブリクエストで同時にダウンロードされるため、資源への通信がhttp通信だと折角ページ本体をhttpsで通信していても暗号化されていない通信が混じってしまう。
これを混合コンテンツ(Mixed-Contents)といい、ブラウザによっては通信が保護されていないと表示されてしまう(あるいは保護された通信と表示されない)。

単なる他ページへのリンクがhttpになっている分には問題ない。なぜならそれは資源ではないので、同時に読み込まれることはないから。
ただし常時SSL化の流れが加速すれば、将来ブラウザでHTTPサイトへのリンクをクリックした際に警告が表示されるなんてことになるだろうと私は予測している。

はてなブログ全体のhttps化

冒頭で述べたように、まずはダッシュボードの詳細設定で切り替えるだけ。ただし元のhttpには戻せないので注意。

それからデザインでサイドバー等に資源リンクがあればhttpをhttpsに書き換えるか、http:を消す必要がある。まぁ自分でカスタマイズした方であればそのあたりは大丈夫かと思う。HTMLタグだと単純にhttp:を消して//からアドレスを始めればサイトと同じ方式で通信してくれるので便利。※はてな記法でこの方法が使えないのが残念。

個別の記事のhttps化

これが一番大変。上手く行かないパターンは2つある。

Mixed-Contentsが存在する個別記事をスクリプトで探す方法

全ページ開いて。。なんてやってられない。
以下のサイトで良さげなスクリプトが紹介されているのでこれを活用させていだいた。
tech.innovation.co.jp

ただこのサイト、ソースコードが画像になっててとても残念。。
コピペできるようにこちらに引用再掲させていただく。
これをerror_scan.jsというファイル名でc:\workなど分かりやすいところに保存しておく。
※私の場合はe:\scriptに置いた。

//出典：https://tech.innovation.co.jp/2017/09/17/mixed-content-checker.html
var system = require('system');
var url = system.args[1];
 
if (!/^https?:\/\//.test(url)) {
	console.log( 'URLを指定して下さい');
	phantom.exit();
}

var page = require('webpage').create();

page.onResourceRequested = function(request) {
	if (request.url.substr(0, 8) !== 'https://'
      && request.url.substr(0, 5) !== 'data:') {
        console.log('[mixed content]', request.url);
    }
};

page.open(url, function(status) {
    phantom.exit();
});

次にこれを使うためにはPhantomJSというツールが必要。
PhantomJSを使うと、コマンドでWebコンテンツにアクセスできるようになるので、以下のサイトからまずこれを入手して任意のパスに解凍しておく。
http://phantomjs.org/download.html

PhantomJSのbinがあるフォルダを環境変数Pathに登録しておく。

次にコマンドプロンプトでerror_scan.jsを保存したフォルダに移動し、
「phantomjs error_scan.js チェックしたいURL」とコマンドを打つ。

上のように、mixed-contentsと表示されていたらHTTPS通信できてない資源があるということ。
問題ない時は何も表示されない。

次に、先ほど紹介したサイトにはPythonでSitemap.xmlを解読しつつ全ページスキャンするコードも書かれている。
こちらも画像なので、テキストで引用させていただく。
このスクリプトはchecker.pyというファイル名でerror_scan.jsと同じフォルダに入れておく。

# 出典：https://tech.innovation.co.jp/2017/09/17/mixed-content-checker.html
import re
import sys
import ssl
import subprocess
import urllib.request
from bs4 import BeautifulSoup

def getMixedContentError(url):
    msg = ""
    result = subprocess.getoutput("phantomjs error_scan.js " + url)
    for line in result.split("\n"):
        if ("[mixed content]" in line):
            msg += line + "\n"
    return msg

ssl._create_default_https_context = ssl._create_unverified_context
sitemap_url = sys.argv[1]

sitemap = urllib.request.urlopen(sitemap_url).read()
soup = BeautifulSoup(sitemap)

for url in soup.findAll("loc"):
    errorMessage = getMixedContentError(url.text)
    if (errorMessage):
        print("x " + url.text)
        print(errorMessage)
    else:
        print("v " + url.text)

Pythonのインストール方法はググっていただくとして、このスクリプトを使うにはbs4というライブラリをインストールする必要がある。
Python3.4以降に同梱されているpipというツールを使ってインストールするけど、Pythonをインストールしただけではpipにパスが通ってなかったので、環境変数にパスを追加しても良いけど、とりあえずpipのあるパスで実行することにした。

whereコマンドでPythonの場所を調べ、そこのScriptsフォルダに移動し、「pip install bs4」を実行。

これでPythonスクリプトの方も実行できるようになった。

実行するにはコマンドプロンプトでchecker.pyを保存したパスに移動し、
「python checker.py サイトマップのURL」を実行する。

はてなブログのサイトマップは「ブログURL/sitemap.xml」にある。
例えばこのブログなら、https://thom.hateblo.jp/sitemap.xml

そのxmlに更にページ番号がついたサイトマップが記載されており、実際にはこのページ番号付きのサイトマップをcheckr.pyに引き渡すことになる。
1ページ目はこんな感じ。
「python checker.py https://thom.hateblo.jp/sitemap.xml?page=1」

暫く待ってればpage1の中の全URLがチェックされるので、コマンド結果をコピペしてエディタに張り付ける。

先頭にvと付いたURLは問題なかったということ。
先頭にxと付いたURLは混合コンテンツなので要修正。
Mixed-Contentsと表示されているものはページ内で具体的にどれがhttp通信なのかを表示している。

余談だけど、EmEditor(エムエディタ)だと、リンククリックでそのままページを開けるので楽。
また一度開くと赤くマークされるので完了チェックリストとしても使える。

修正が終わったら、サイトマップの次のページのURLをchecker.pyに引き渡して実行する。
「python checker.py https://thom.hateblo.jp/sitemap.xml?page=2」

これの繰り返し。
ものすごく面倒くさかったけどまぁなんとか全ページSSL化完了した。

作り方

標準モジュールを挿入し、プロパティウィンドウからオブジェクト名をConfgに変更する。

Configモジュールに以下のコードを張り付ける。

Option Explicit
Private configurations As Variant   '<- configulations is keepd here as variant array.

Private Property Get InitialSettings() As Collection
    Set InitialSettings = New Collection
    InitialSettings.Add Array("Name", "Value", "Description")   '←見出しです。
    
    '以下のサンプルに従って設定を定義してください。
    '書式は　InitialSettings.Add Array([設定名] As String, [値] As Variant, [説明] As String)　です。
    'ここに示したサンプルは削除して構いません。
    InitialSettings.Add Array("BackgroundColor", rgbWheat, "rgbWheat")
    InitialSettings.Add Array("Margin", 5, "how many blank cells put between pictures")
    InitialSettings.Add Array("InsertTime", True, "Write scraptime or not")
    InitialSettings.Add Array("StartRow", 5, "")
    InitialSettings.Add Array("StartColumn", 3, "")
End Property

Sub LoadConfig(Optional ByRef void = Empty)
    If Not existConfigSheet Then ResetConfig
    configurations = ThisWorkbook.Worksheets("Config").Range("a1").CurrentRegion.Value
End Sub

Public Sub ShowConfig()
    If Not existConfigSheet Then ResetConfig
    With ThisWorkbook.Worksheets("Config")
        .Visible = xlSheetVisible
        .Activate
    End With
End Sub

Public Sub HideConfig()
    If Not existConfigSheet Then ResetConfig
    ThisWorkbook.Worksheets("Config").Visible = xlSheetVeryHidden
End Sub

Public Property Get Value(conf_name As String)
    Dim i As Long
    For i = LBound(configurations, 1) To UBound(configurations, 1)
        If UCase(conf_name) = UCase(configurations(i, 1)) Then
            Value = configurations(i, 2)
        End If
    Next
End Property

Public Function LetValue(conf_name As String, conf_value As Variant) As Boolean
    Dim sh As Worksheet: Set sh = ThisWorkbook.Worksheets("Config")
    Dim i As Long
    For i = 1 To sh.Range("A" & Rows.Count).End(xlUp).Row
        With sh.Range("A" & i)
            If UCase(.Value) = UCase(conf_name) Then
                .Offset(0, 1).Value = conf_value
                LetValue = True
                Exit Function
            End If
        End With
    Next
End Function

Public Sub ResetConfig()
    If existConfigSheet Then
        With ThisWorkbook.Sheets("Config")
            Application.DisplayAlerts = False
            .Visible = xlSheetHidden
            .Delete
            Application.DisplayAlerts = True
        End With
    End If
    
    Dim configSheet As Worksheet
    With ActiveSheet
        Set configSheet = ThisWorkbook.Worksheets.Add(Sheets(1))
        .Activate
    End With
    configSheet.Name = "Config"
    Dim i, j
    Dim c As Collection: Set c = InitialSettings
    For i = 1 To c.Count
        Dim arr: arr = c(i)
        For j = LBound(arr) To UBound(arr)
            configSheet.Cells(i, j + 1).Value = arr(j)
        Next
    Next
    configSheet.Cells.EntireColumn.AutoFit
End Sub

Private Function existConfigSheet() As Boolean
    Dim ret As Boolean
    Dim sh As Object
    For Each sh In ThisWorkbook.Sheets
        If UCase(sh.Name) = UCase("Config") Then
            existConfigSheet = True
            Exit Function
        End If
    Next
End Function

ResetConfigマクロをF5で実行すると、Configシートが作成され、InitialSettingsプロパティで定義した内容が転記される。

使い方

別の標準モジュールを挿入し、次のコードを張り付けて実行すると、アクティブシートの背景色がConfigシートで定義されたBackgroundColorの値になる。

Sub hoge()
    Call Config.LoadConfig
    ActiveSheet.Cells.Interior.Color = Config.Value("BackgroundColor")
End Sub

ResetConfigは設定をめちゃくちゃにしてしまった時のための初期化用マクロなので普段は実行せずに、手でシートを書き換えるか、マクロからConfig.LetValueを呼び出して値を書き換える。

カスタマイズ方法

InitialSettingsプロパティで指定されている5つのサンプルと同じように設定名、値、説明を定義する。
サンプルは消してOK。
ResetConfigを実行するとConfigシートが再作成される。

一度LoadConfigを読んでおけば、以降はConfig.Value([設定名])とすることで設定を参照できる。

説明

Config.LoadConfigを呼び出すと、Configシートの内容が2次元配列としてConfigモジュールに保持される。
Cellへのアクセスは低速なのでこのように配列に保持する仕組みにしている。

Config.Value([設定名])を呼び出すと、その設定名に応じた値を配列から検索して返す。

先日プロシージャの呼び出し順について言及したが、InitialSettingsはResetConfigから呼び出されるにも関わらずあえて先頭に置いた。
これはInitialSettingsがプロシージャの形をとっているものの実質は定数定義の代替手段に過ぎないためだ。
仕様が許すならGeneral領域に置きたいけどプロシージャである以上そうもいかないので呼び出しの原則を破って先頭に置いた。

Configをシートモジュールに統合してオブジェクト名でアクセスするというアイデアを採用すればもっとシンプルに出来たけれど、今回その手段を取らなかったのは人に配布するマクロではConfigシートそのものが誤って消されてしまう可能性があり、オブジェクト名によるアクセスが破綻する危険があるため。

標準モジュールだって消されるだろうって？
それはマクロに対する直接的な破壊行為なので、そもそもプログラムで対処すべき問題領域ではない。

以上