HTTPで動いてるウェブサービスをHTTPS化するときのメモ

• HTTPで動いてるウェブサービスをHTTPS化したいことがある
  • Google Chromeでは，HTTPのページでは現在位置やカメラの入力など取れなかったりする
    • HTTPSにまつわる怪しい伝説を検証する - Google I/O 2016のセッションから - Qiita
  • 今日の重ね着では現在位置の重ね着情報を出してるけど，HTTPなのでChromeで動かなくなっている
• HTTPのリソースを読んでるところがあればHTTPSにする
  • 外部のリソースは最初から//やHTTPSで読んでおくと楽だった
  • けどHTTPS版は無い場合もある
• コンテンツ書き換えなくてもContent-Security-Policy-Report-Only でも済む? 調べたい
  • Content Security Policy の利用方法 - Web セキュリティ | MDN
• できたらHTTPからHTTPSに301リダイレクト
• canonicalはHTTPSに向けたい
• いいね数を引き継ぎたい場合はog:urlだけはHTTPで，facebookのクローラだけは301リダイレクトじゃなくて200を返す必要がある…
  • Facebookクローラー - シェア機能 - 参考資料 - 開発者向けFacebook
• Application CacheはdeprecatedなのでHTTPS化したあかつきにはService Worker使えるとよさそう
  • Application CacheとGoogle App Engineのキャッシュが二重に動いて地獄だったので脱出したい
• HTTPS化するとpush通知送れるようになって便利そう
• Google App EngineもHerokuもHTTPSで受け付けてくれているので，なにもしなくてもアクセスしれば見えるはず(上に述べたとおり動くとは限らない)
  • http://rokuga.herokuapp.com/
  • https://rokuga.herokuapp.com/
  • こういうの使ってなくて自分でドメイン用意してるときは証明書の用意など必要そう