Upgrade to Pro — share decks privately, control downloads, hide ads and more …

SSL視点でのレンサバ選び@WordFes名古屋2017

 SSL視点でのレンサバ選び@WordFes名古屋2017

GENKI TANIGUCHI

October 28, 2017
Tweet

More Decks by GENKI TANIGUCHI

Other Decks in Technology

Transcript

  1. これからのWordPress×SSL on
    レンタルサーバ
    2017/10/28
    さくらインターネット株式
    会社
    技術本部 ⾕⼝ 元紀
    (C) Copyright 1996-2016 SAKURA Internet Inc

    View Slide

  2. 今⽇のお品書き
    これからのWordPress × SSL on レンサバ
    ということで、
    ・常時SSLとは?
    ・レンサバの選び⽅
    ・WordPress設定変更で気をつけること
    と⾔った内容をお話させていただきます。
    2

    View Slide

  3. ⾃⼰紹介
    ⾕⼝元紀(たにぐちげんき)
    3
    来歴
    2016年さくらインターネット⼊社
    2004年からWebディレクターとして制作
    会社、事業会社などで勤務
    さくらインターネットでのお仕事
    レンタルサーバ
    SSL/ドメイン販売
    CDN
    のサービス企画等を担当

    View Slide

  4. 常時SSLとは?
    4

    View Slide

  5. 常時SSL
    http://でコンテンツに
    アクセスできないこと
    5

    View Slide

  6. 常時SSL
    Googleによると、⽇本におけるHTTPS採⽤率は昨年
    31%から今年55%へアップしているとのこと。
    6

    View Slide

  7. 常時SSL
    常時SSLの条件
    7
    http://のアクセスはリダイレクトされる
    サイトのコンテンツ全てがhttpsでアクセスできる
    SSL関連のエラーが発⽣していない
    こうなって
    たらOK!

    View Slide

  8. 常時SSL
    既存サイトを常時SSL化するのって、
    結構めんどくさいですがそのメリットとは。
    8

    View Slide

  9. 常時SSL
    常時SSLのメリット
    9
    検索順位のアップ
    セキュリティ向上/プライバシー保護
    http/2での転送速度向上(ただし効果薄)
    「保護されていない通信」を消せる
    これです!

    View Slide

  10. 常時SSL
    10
    常時SSLのポイント
    httpの通信は丸⾒え
    セキュリティ向上の他にSEOや速度的メリット
    「保護されていない通信」⼀番のモチベーション

    View Slide

  11. SSL視点のレンサバ選び
    11

    View Slide

  12. レンタルサーバ
    価格、ディスク容量、スピードの他に、
    「SSL」という視点の選択肢もあります。
    12

    View Slide

  13. レンタルサーバ
    13
    さくらのレンタルサーバ
    スタンダード A社 B社
    無料SSL
    (Let's Encrypt)
    ○ ○ ○
    SSL証明書の持ち込み ○ × ×
    SSLの実装 特殊仕様 汎⽤仕様 汎⽤仕様
    利⽤可能な証明書
    タイプ DV/OV/EV DV/OV/EV DV
    WordPress
    SSL系プラグイン
    公式専⽤プラグイン 汎⽤プラグインでOK 汎⽤プラグインでOK
    HTTP/2 × ○ ○
    利⽤料(⽉額) 515円
    初期費⽤1,029円
    600円
    初期費⽤1,500円
    1,296円(3ヶ⽉〜)
    初期費⽤3,240円
    特徴
    証明書持ち込みでき
    て安いが、特殊仕様
    で設定に難あり
    コストバランスNo.1、
    安いDVが選べないの
    がデメリット
    格安DVはあるが、
    EV/OVが選べない

    View Slide

  14. レンタルサーバ
    ちょっとそれますが
    無料SSL(Let's Encrypt)のメリット・デメリット
    14
    お⾦がかからない
    更新の⼿間がかからない(⾃動更新)
    暗号強度などは有料SSLと同様
    ⼿動対応を受けられない(ドメインBL等)
    ⼀部証明書であるマルウェアスキャンなどが無い
    明⽇無くなっても泣かない
    ブランド⼒が無い
    このサイト無料証明書使ってるのかと⾒られる
    (ブランド気にするのはごく⼀部の⼈だけですが…)

    View Slide

  15. レンタルサーバ
    15
    個⼈ブログやテストサイトならOK。商⽤サイトは格安でもいいので
    有料証明書の利⽤をおすすめしたいです。(900円〜)
    予算に余裕があれば、EV証明書の利⽤をおすすめします。
    (年5万円ぐらい〜)
    証明書売ってる⼈⽬線の⼼の声
    こういう
    やつです!
    ⽇本語も
    OK!

    View Slide

  16. レンタルサーバ
    16
    SSL⽬線のレンサバ選びのポイント
    無料SSLが使えるか
    証明書が持ち込めるか
    証明書ラインナップが幅広いか
    EV/OVも使えるか
    インストールしてる証明書が失効しそうになる
    と勝⼿に無料SSLで代替してくれるとか

    View Slide

  17. WordPressサイトの常時SSL化
    17

    View Slide

  18. WordPress
    18
    1. コンテンツのURL変更(投稿はSearch and Regex等のプラグインが便
    利)
    u 投稿内のサイト内リンクURL(画像は勝⼿に書き換わります)
    u CSSなどのリンク(デフォルトテーマは勝⼿に書き換わります)
    u カスタムフィールド内URL(意外と忘れがち)
    u ハードリンクされてるのが⼀番厄介
    2. サイト設定のURL変更
    WordPressの⼀般設定でhttp://〜をhttps://〜に変更します。
    WordPress SSL設定時に必要なこと

    View Slide

  19. WordPress
    WordPress常時SSL化の作業順
    19
    コンテンツ内
    のサイトURL
    を変更
    WordPress
    サイト設定
    URLを変更
    .htaccessな
    どでリダイレ
    クト
    サイト設定を変更するとメニュー等のリンクがhttpsに書き換わるので、コンテン
    ツやCSSリンクがhttpのままになってMixed contentが出る可能性があります。先
    にコンテンツURLを変えておくとこれを回避できます。
    サイト設定変更とリダイレクトは必ず最後にしましょう。できればじっくり確認
    するためにURL置換と作業⽇を分けた⽅が◎

    View Slide

  20. WordPress
    20
    Apacheを利⽤している事業者がほとんどなので、レンサバコンパネから証明書を
    購⼊し、有効化した上で.htaccessでリダイレクトすればOKです。Really Simple SSL
    などのプラグインならもっと簡単!(JSでのリダイレクトは⾮推奨)
    サーバ設定

    RewriteEngine On
    RewriteCond %{HTTPS} off
    RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]

    さくらのレンタルサーバ特殊仕様
    リバースプロキシでSSLを実装しているのでリライト時に環境変数HTTPS がONに
    ならない。そのためWordPressサイトのデザインが崩れる、リダイレクトループ等
    の問題が発⽣する。回避⽅法はさくらのサポート情報にあり。プラグインもありま
    す!
    SetEnvIf REDIRECT_HTTPS (.*) HTTPS=$1

    RewriteEngine on
    RewriteCond %{ENV:HTTPS} !on
    RewriteCond %{REQUEST_URI} !/wp-cron¥.php$
    RewriteRule .* https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]

    wp-config.php
    いじらなくて
    も⼤丈夫!

    View Slide

  21. WordPress
    WordPress常時SSL化の作業順 その2
    21
    アクセス解析
    の設定変更
    Google Search
    Consoleの設
    定変更
    アクセス解析→GAなどの他、Sitemap.xml、feedなどもちゃんと変わっているか
    確認しておく。
    SearchConsoleはhttps://のサイトを「追加」する。追加するとhttp://への流⼊
    減少とhttps://への流⼊増加を確認できます。GAみたいに勝⼿に変わってくれな
    いので忘れずに。

    View Slide

  22. WordPress
    22
    リダイレクト設定の最終確認は別ブラウザで
    特にChromeはリダイレクト情報までキャッシュするので、
    リダイレクト設定をいじったあとは、キャッシュ全消去した
    別ブラウザで確認するのがおすすめです!
    リダイレクトループしても泣かない
    リダイレクトループしても、.htaccessに記述した内容を消せ
    ば元に戻るので必要以上にビビることはありません!
    さくらのレンタルサーバには気をつけろ
    SSL実装の特殊仕様とwwwドメインに勝⼿にCNAMEを設定
    する機能のせいでリダイレクトループ&デザイン崩れが発⽣
    しやすいです。(対処⽅法あり)

    View Slide

  23. WordPress
    23
    ChromeのNetworkツールを使うとhttp探しが捗ります

    View Slide

  24. まとめ
    これからのウェブサイトは常時SSLほぼ必須
    レンサバもSSL視点で選ぶ時代へ
    WordPressの設定も怖くない
    24

    View Slide

  25. ちょっとだけ宣伝とお願い
    25
    さくらも無料SSL対応しました!(10/17)
    WPが2倍の速さに!? PHP7.1を設定してください
    WordPressは常に最新に!
    1週間で1万
    ドメインSSL化!

    View Slide

  26. ホスティング事業者からのお願い
    26
    古いWordPressを放置しない
    テストで作ったものなどが放置されているケースが多いです。
    公開領域に無駄なWordPressを置かないでください。更新の
    ないサイトなどはStatic Press等で静的化するのもおすすめ。
    不要ならxmlrpc.phpはアクセス不可に
    古いWordPressを放置したせいで脆弱性を突かれてクラック
    され、メール⼤量送信の踏み台にされるケースが激増してい
    ます。
    ⾃動アップデートは極⼒無効化しない
    ログイン画⾯のセキュリティ強化
    Google Search Console登録

    View Slide

  27. 書籍のご紹介
    27
    プロフェッショナルSSL/TLS
    ラムダノートさんから出版されているSSL解説本
    の決定版。PKIの歴史から各種Webサーバ設定ま
    で、様々な⽅が楽しめる内容が網羅されています。
    5,000円とちょっと⾼いですが読み応えあり!

    View Slide

  28. ご清聴ありがとうございました。
    28

    View Slide

  29. この後、当教室でランチタイムトーク
    「レンタルサーバ情報交換」があります
    ので、さくらの特殊仕様にお困りの⽅や
    質問などある⽅はお声がけください!
    29

    View Slide