お知らせ

  1. ホーム
  2. お知らせ
  3. SSL
  • パソコン関連

すぐにホームページをSSL対応しましょう

noimage

すぐにホームページをSSL対応しましょう

Webサイトの常時SSL対応、https化について必須と呼べるものになりました。 現状最も使われているブラウザでSSL対応していないホームページは「安全ではありません」、「保護されていない通信」とアドレスバーに表示されるようになりました。 これはスマートフォンからの閲覧の際にも表示されることになり、スマートフォンの小さいブラウザの中で表示されるメッセージは大きな存在感があります。 「安全ではない」、「保護されていない」という言葉は過剰な表現ではなく、実際にサーバーとブラウザとの間の通信が安全と保証されていない状態、暗号によって保護されていない状態なのです。 アドレスがhttpsから始まるサイトは暗号化された通信で、表示された内容、入力された内容は盗聴や改ざんをされることはありません。 アドレスをhttpsにするSSL対応はサーバーにSSL証明書を設置し、httpのアドレスにきた要求をhttpsのアドレスに置き換えるための設定を行います。 SSL証明書にも色々なものがあり、ドメインを認証するDV型、企業の存在とドメインが結びついたものである証明を含めたEV、OV型という種類があります。 銀行などはEV型の企業の実在証明などが厳密に審査されており、ブラウザで緑色で企業名が表示されるなどの表記になります。これにはそれなりの期間と、審査証明のための費用が高額です。 一方DV型は手軽に入手できる証明書で、年間で1万円を切るものもあり、SSL対応するためにはもっとも扱いやすいものです。 DV型でも通信を暗号で保護しユーザーの安全を守るものとしては十分なので、素早くするためにもこちらの導入をお勧めしたいところです。 ホームページに来たくださる方に安心したアクセスをしてもらえるようにSSL対応するのは今すぐ行って欲しい施策です。
  • パソコン関連

HTTPSを導入しないリスク

noimage

HTTPSを導入しないリスク

Googleが各WebサイトへHTTPSの導入を促したり、Let's Encrypt無償のSSLの配布によってHTTPSが推進されることにより、HTTPSが導入サイトが急激に増えています。 HTTPSが導入されたサイトはブラウザとサーバーとの間の通信が暗号化されており、安全にサイトが利用することができます。 WEBサイト運営者は安全に利用者に対してサイトの情報を提供することができます。 ユーザーがHTTPSを導入したサイトを利用しないリスクとしては、パスワードなどを含めた個人情報が流出してしまう、ユーザーが偽サイトに誘導される、あるいは本来意図していないをダウンロードしてしまうという、などが挙げられます。 HTTPSを導入していないサイトではブラウザとサーバー間が一切暗号化されていないため、通信経路で盗聴することを防ぐことができません。 インターネットは個人のPCとサーバーとの間に、Wi-Fiアクセスポイント、スイッチングハブ、ルーター、プロバイダ、プロバイダからも目的サーバーまでに複数のサーバーを中継していきます。 その間に何らかの悪意あるサーバーや機器所有者がいる場合、情報流出の可能性があります。 現在フリーWi-Fiなども普及している中でこれらのリスクは無視することができません。個人情報を記入した入力フォームなどでは特に気をつけることです。 サイトのドメイン・アドレス(www.sys-cube.co.jp)はそれぞれDNSという仕組みによりIPアドレスに変換され、目的のサーバーに接続する仕組みです。 HTTPSのサイトの場合はIPアドレスとドメインがマッチしているかは検証されます。HTTPSサイトではない場合、現在利用しているDNSが変換するIPアドレスのサーバーに誘導されます。このDNSに不正が行われている場合、偽のサイトに接続しても警告されることがありません。 これらも先ほどの経路上の悪意によって不意なタイミングで被害を受ける可能性があります。 これらによる被害がユーザーに出た場合、サイト運営者としては早めのHTTPS化を行なっていれば未然にこれを防げたことになります。 HTTPS化を行えばこれらリスクを防止が可能であり、運営者は早めにこれらを導入することが必要です。
  • パソコン関連

Chrome「保護されていません」

noimage

Chrome「保護されていません」

Google Chromeがhttps対応していないサイトについて、アドレスバーに「保護されていません」という表示を最新版Chrome68から行うようになりました。 これについては以前よりアナウンスがあった内容で、今回アナウンスされていた通りに実施されたことになります。 Googleは以前より全Webサイトのhttps対応を推しており、現状シェアの高いChromeでこのような表示が行われることで、Chromeでの閲覧者に対してサイトのイメージ向上のために常時httpsを導入するサイトは増えていくでしょう。 https対応のサイトは、通信の暗号化とともに正しいサイトに接続しているかということの証明にもなります。 一般的にアドレスバーに対してURLを入力しているとそのサイトに正しく接続されるものですが、DNSというアドレスとIPアドレス間の参照を行うサーバーが不正に改変されていた場合、URLの内容と違うサイトに接続されてしまう攻撃を受けてしまうことがあり得ます。 そう行った場合常時SSL通信ができていれば、危険なサイトとして接続をブロックするなどブラウザとして措置をとることができます。 これらは多く起こることではありませんが、このような攻撃は特定の条件やターゲットを設定されて行われることが多く、自分がターゲットになるとは思っていない場合にこそ起こりうるもので、そのような場合に安全策が用意されているのはユーザーとしては安心できます。 https対応についてはSSL証明書を認定された証明機関から発行してもらう仕組みになっており、導入するにはそれなりの手間と発行費用のコストがかかるものです。 ただもはや世の中の流れとして常時httpsが当たり前になりつつあるということで、これから導入を進めていくサイトは大幅に増えるものと考えられます。
  • パソコン関連

GoogleとSSLの動向

noimage

GoogleとSSLの動向

Google ChromeがSSLが導入されたセキュアなサイトを訪れている際に表示される鍵マークを段階的に廃止するという方針を明らかにしました Chromeでアクセスする多くのサイトでSSLが導入されていることが確認されてきたため、これを標準とし、ゆくゆくはSSLが導入されていないサイトを安全ではないサイトと表示していく予定もあるようです。 SNSや動画サービス、その他WEBサービス、ニュースサイトもほとんどのものがSSL化されてきており、Chromeでのアクセスはそれらが大部分を占めるはずです。 企業サイトなどで導入されていないところなどが現状まだまだありますが、これらの方針を明らかにすることによってさらに促進していく考えのようです。 かつてGoogle検索の順位にSSLが影響を及ぼすという方針を発表して以来の施策が続いています。 鍵のマークがつかなくなった頃には、Google検索の結果はSSLが導入されているサイトが最優先で、それ以外のサイトは標準で表示されないなどもありえなくはありません。 ECサイト以外の商用サイトなどのSSL化も早めに進めていくことが必要です。
  • パソコン関連

Let’s EncryptがSSLワイルドカード証明書を無償提供

noimage

Let’s EncryptがSSLワイルドカード証明書を無償提供

無償でSSL証明書を発行している認証局Let's EncryptがワイルドカードSSLの提供を開始しました。 ワイルドカードSSLとは、サブドメイン全てに対して一つの証明書でSSL対応が可能というものです。 サブドメインとは*.ドメイン名という形で、*の部分が該当します。WEBサイトのみであればwww.ドメイン名という形、メールなどではmail.ドメイン名、その他にもWEBサーバの割り当てによって、ユーザー名や組織名をサブドメインとして利用するWEBサービスなどが多くあります。 SSLの証明書としては完全なドメイン名(弊社で言えばwww.sys-cube.co.jp)に対して一つ発行され、サブドメインなどがあれば、それに対して一つずつ必要なものです。 それらサブドメインを全て認証するワイルドカード証明書は、これまで購入すると導入は簡単でも単一のドメインで取得するよりも数倍高価でした。 Let's Encryptはネットワークやインターネットにかかわるいくつもの有名な企業や組織によって構成され、インターネットのセキュアな通信を促進する目的で設立されています。 高額だったワイルドカードSSLが無償で提供されることにより、多くのWEBシステムがSSLによる安全な通信のもと保護されることになるでしょう。
  • パソコン関連

無料SSLは大丈夫?

noimage

無料SSLは大丈夫?

WEBサイトへの接続を暗号化し、偽装サイトなどに対しても安全なものにするSSLを使用するサイトが増えています。 SSLのためにはWEBサーバー側に証明書が必要になり、それを購入するために費用が必要となります。 このところレンタルサーバーなどでも無料SSLが利用可になるなど無料SSLという言葉を目にすることが多くなりました。 無料SSLサービスLet's Encryptを運営するのはInternet Security Research Groupという組織で、出資者には大手ネットワーク機器メーカーCiscoやインターネットコンテンツ配信網大手Akamaiが名を連ねています。 現在すでに1億以上の証明書発行実績があり、SSL証明書としての実績も十分です。 技術的な安全性として、他のSSL証明書と変わるところはありません。 SSLにも認証レベルがあり、運営組織自体の実在を証明局が証明したEV SSLなどがありますが、SSL証明書の発行にそこまで厳格な審査はLet's Encryptにはありません。 Let's Encryptの特徴としては、証明書の有効期限が90日と限定されており、それ以上の延長のためには再発行を請求し、再発行された証明書をサーバーに設置する必要があります。 一般のroot権限を持つサーバー(オンプレミスのサーバー、専用サーバーやVPSなど)であればスクリプトをインストールするとこれらの一連を自動化することができます。 レンタルサーバーなどでもこれら90日間隔の再発行の仕組みを独自に実装するなどして、ユーザーに無償で提供している企業も増えました。 無料SSLと有料SSLで安全性には差はありません。その証明書の有効期限が90日に固定されているところが違い、持続的にSSLを提供するためには更新の仕組みが必要です。
  • パソコン関連

レンタルサーバーとSSL

noimage

レンタルサーバーとSSL

WEBサーバーを中心にレンタルサーバーサービスで独自SSLが普及してきています。 SSLは暗号通信するとともに独自ドメインとの接続の信頼を与えるものです。 GoogleもSSL通信を推奨しており、個人のブログなどでもSSLを導入する方が増えています。 共有レンタルサーバーでのSSL設定は、かつて普及していたOSが対応していないなどが最大の障害になっていました。 もともとSSLは一つのサーバーに対して一つしか利用できない仕組みのものでした。それを回避するSNIという仕組みが組み込まれていますが、Windows XPがこれに対応していないことが最大の問題でした。 SSLで暗号通信できるパソコンと出来ないパソコンがあるなかで、Windows XPのシェアは大きなものでそれを無視することが難しい時期がありました。 現在すでにWindows XPはサポートを終了しており、レンタルサーバーやWEBサーバー、ブラウザでもサポートを打ち切ることができるようになりSNIが受け入れられる情勢となりました。 共有サーバーはWindows XP非対応という方針を示す状態を作るまで共有SSLという方式をとることもありましたが、必ずしも安全とは言い切れない方法で、ようやく真のSSL対応ができるようになった状態です。 エックスサーバーなどでは無料でSSLを利用することができるプランもあり、ホスティング企業で格安のSSLサービスを提供しています。 レンタルサーバーであれば複雑な操作なしでコントロールパネルなどから操作することができ、複雑なことはありません。 現在レンタルサーバーをお使いのかはSSL導入を検討しても良い時期だと思います。
  • パソコン関連

Google検索とSSL

noimage

Google検索とSSL

Googleが検索エンジンの上位に表示される条件の一つとしてSSLがサイトに適用されている、という項目を挙げています。 SSLが適用されているページはWebサイト上でhttps://というアドレスで表示され、またブラウザによって鍵のマークが出るなど、何らかSSLを利用したサイトであることが表示されます。 SSLは個人情報の入力や、クレジットカード、オンラインバンキングの利用などでは必須となっています。 それを一般のWebサイトにも適用しているサイトをGoogleは信頼性のあるサイトとして判断するということです。 SSLを利用する大きなメリットは、Webサーバーとブラウザの間の通信が暗号化されていて、解読が極めて難しいことと、そのアドレスが正しいサーバーに接続されていることが証明されることです。 暗号化は秘密鍵を明らかにされていなければ二者間の通信の途中に入り込んでも解読のリスクはほぼありません。 通常の運用では秘密鍵はサーバ内に格納されており漏洩することはありえません。 公共Wi-Fiなどで不正な中継や盗聴があったとしても中の情報は一切取ることができません。 アドレスバーに入力したアドレスが正しいサーバーに接続されていること、これは当たり前のことのように感じますが、その当たり前をついた攻撃が行われやすい部分でもあります。 アドレスのドメイン名からサーバのIPアドレスに変換(解決と呼びます)されるためにはDNSサーバーに問い合わせをするのですが、そのDNSサーバーが不正に設置されたものであったり、脆弱性を抱えている場合は、IPアドレスの解決を誤ったサーバーに変更してしまうことができます。 銀行のサイトのURLを正しく入力したとしても、フィッシングサイトに接続されてしまっている、という状況です。 公的認証局でのSSLの登録はドメイン名とサーバのIPアドレスは偽造できなくなっています。 ドメイン名を解決するために一度認証局に問い合わせをして、サーバーの証明書が正しいものかを判断するためです。 公的認証局で証明された証明書以外を持つサーバーは危険なサイトとしてブラウザが判断する仕組みができています。 ユーザーが正しいサイトに接続されている、という保証をWebサイト側で提供していることになりますので、Googleはこれを重んじているものと思われます。
  • パソコン関連

Windows XPとWebサイトのセキュリティ

noimage

Windows XPとWebサイトのセキュリティ

Windows XPがサポートを終了してから1年半を超え、さすがにもうユーザーはいないはず、と言いたいところですが、まだまだ様々な理由でご利用の方はいらっしゃいます。 Windows XPはセキュリティアップデートもない非常にリスクの高い状態が続いていますが、Webサイトのセキュリティを担うSSLの対応状況にも問題があり、クレジットカード情報などが暗号化されずにサイトに送信されてしまう危険性を持っています。 Windows XPで動作するInternet Explorerは開発時期が古く、対応していない機能がたくさんあり、今後も改良やアップデートされることはありません。 その未対応な機能の中で、SSL SNIにWindows XPが対応できていないことが大きな問題になります。 SSL SNIは一つのサーバーの中に複数のSSL証明書を持ち、同じサーバーで二つ以上のドメインでSSLを運用するための仕組みです。 Windows XP上で動作する最新のバージョンInternet Explorer 8やそれ以下のバージョンではSSL SNIを正しく認識できないため、危険なサイトとして判別してしまいます。 もちろんサーバー側の設定としては完全で、危険な状態でなくとも、Internet Explorer上ではその表示になってしまいます。 SSL SNIが正しく設定していてもアクセス先が危険と表示される以上、その他サポート継続中OSのユーザーに対して表示するページと、Windows XPユーザーのページを切り分けて表示する、あるいはWindows XPユーザーの非対応を表示するかの対応が必要になります。 本来httpsでセキュアな通信であるべきサイトが、httpの暗号化されていないページとして利用せざるを得ない状況は今後増えていくことになります。 SSLが設定されている場合は、ドメインのなりすましなども不可能になりますが、SSL SNIが利用できない以上、Windows XPに対してはなりすましが可能という状況が生まれます。 Webブラウザだけでも様々な機能が遅れをとり、またアップデート、サポート対象外となるWindowsXPからの早急な移行が必要です。
  • パソコン関連

VPSにさくらのSSL導入しました

noimage

VPSにさくらのSSL導入しました

さくらインターネットがさくらのサーバー利用者用にSSL証明書をかなり安価に提供するサービスを始めました。 SSLはWebサーバーとブラウザの間の通信を暗号化し、情報の安全のために利用される仕組みです。 ブラウザでも鍵のマークなどがつき、httpsからURLが始まるのがSSLを使っている目印になります。 オンラインショッピングなどでよく利用され、個人情報などの流出を防ぎます。 さくらのレンタルサーバーの場合はさくらのコントロールパネルから申し込めば自動的にSSL証明書をインストールしてくれます。 弊社WebサイトはさくらVPSを利用していますので、少しだけ多めの操作が必要です。 WebサーバーでSSLを導入するには、サーバーの秘密鍵生成、SSL証明書要求を認証局に提出、SSL証明書をインストール、の三つのプロセスが必要です。 さくらでは申込フォームはこのようになっています。今回キャンペーンのラピッドSSLを利用します。 VPS側でサーバー鍵、証明書要求(CSR)を作成し、フォームの登録を進めていきます。 openssl req -new -key server.key -out server.csr OpenSSLを利用している場合、上記でCSRが生成されます。 さくらの申込手順で、CSRを入力という画面で、サーバーで生成されたCSRをテキストエディタで開いて -----BEGIN CERTIFICATE REQUEST----- から -----END CERTIFICATE REQUEST----- すべてをコピーしCSR入力用テキストボックスに貼り付けます。 するとコントロールパネルから認証ファイルをDLできるようになります。 これをWebサイトのドメイン直下に置きます。弊社の場合でしたらhttps://www.sys-cube.co.jp/XXXXX.htmというように設置します。 ここから弊社で登録した際、翌営業日の10時に認証ファイルの確認が行われました。 確認されるとサーバ証明書DLというボタンが表示されるので、サーバ証明書をダウンロードします。 サーバ証明書と中間証明書という二つのファイルが必要になります。 中間証明書は認証完了メールにURLが書かれていますので、そこからコピーし、サーバーに保存します。 今回は証明書はserver.crt、中間証明書はserver-chain.crtという名称に設定しました。 SSLCertificateFile /etc/pki/tls/certs/server.crt SSLCertificateChainFile /etc/pki/tls/certs/server-chain.crt これをapacheのssl.confに追加し、場所をインストールした場所を指定します。 これでWebサイトにSSLを導入することができました。 さくらのユーザー専用とはいえ、国内でのRapidSSLでは最安値ではないかと思います。 さくらインターネットを利用されている方にはお勧めできるものです。
1 2