Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
20160806wordbench資料1.0.pdf
Search
Kenji Kojima
August 06, 2016
Technology
1
380
20160806wordbench資料1.0.pdf
Kenji Kojima
August 06, 2016
Tweet
Share
More Decks by Kenji Kojima
See All by Kenji Kojima
WordBench山口0407
kenjikojima
1
270
WordBench_Toyama0126
kenjikojima
0
79
WordBench_Gifu1202
kenjikojima
1
1.1k
WordBench_Niigata1007
kenjikojima
0
80
WordBench_Niigata10072
kenjikojima
0
91
MT Tokyo 20170930
kenjikojima
0
350
CS Beer Bash Osaka Vol.2
kenjikojima
0
1.5k
2017/2/12WordBench奈良
kenjikojima
3
570
20170211WordBench大阪
kenjikojima
0
330
Other Decks in Technology
See All in Technology
ずっと昔に Star をつけたはずの思い出せない GitHub リポジトリを見つけたい!
rokuosan
0
150
組織に自動テストを書く文化を根付かせる戦略(2024冬版) / Building Automated Test Culture 2024 Winter Edition
twada
PRO
13
3.7k
UI State設計とテスト方針
rmakiyama
2
500
Oracle Cloud Infrastructure:2024年12月度サービス・アップデート
oracle4engineer
PRO
0
170
20241220_S3 tablesの使い方を検証してみた
handy
3
380
生成AIをより賢く エンジニアのための RAG入門 - Oracle AI Jam Session #20
kutsushitaneko
4
220
スタートアップで取り組んでいるAzureとMicrosoft 365のセキュリティ対策/How to Improve Azure and Microsoft 365 Security at Startup
yuj1osm
0
210
Snykで始めるセキュリティ担当者とSREと開発者が楽になる脆弱性対応 / Getting started with Snyk Vulnerability Response
yamaguchitk333
2
180
開発生産性向上! 育成を「改善」と捉えるエンジニア育成戦略
shoota
2
330
Opcodeを読んでいたら何故かphp-srcを読んでいた話
murashotaro
0
180
複雑性の高いオブジェクト編集に向き合う: プラガブルなReactフォーム設計
righttouch
PRO
0
110
第3回Snowflake女子会_LT登壇資料(合成データ)_Taro_CCCMK
tarotaro0129
0
190
Featured
See All Featured
How To Stay Up To Date on Web Technology
chriscoyier
789
250k
RailsConf & Balkan Ruby 2019: The Past, Present, and Future of Rails at GitHub
eileencodes
132
33k
Site-Speed That Sticks
csswizardry
2
190
The Psychology of Web Performance [Beyond Tellerrand 2023]
tammyeverts
45
2.2k
Faster Mobile Websites
deanohume
305
30k
Understanding Cognitive Biases in Performance Measurement
bluesmoon
26
1.5k
Designing on Purpose - Digital PM Summit 2013
jponch
116
7k
The World Runs on Bad Software
bkeepers
PRO
65
11k
How to Think Like a Performance Engineer
csswizardry
22
1.2k
Into the Great Unknown - MozCon
thekraken
33
1.5k
Art, The Web, and Tiny UX
lynnandtonic
298
20k
Building Applications with DynamoDB
mza
91
6.1k
Transcript
SSLの初歩の話と WordPressサイトをSSL化するときの注意点 2016年8月6日 小島 健司 第55回 WordBench 大阪
自己紹介 小島 健司(こじまけんじ) • ファーストサーバの中の人 • WordBench大阪モデレーターの一人 いつもWordCamp Kansai のスポンサー担当してます。
https://twitter.com/nu_nrgist https://www.facebook.com/kenji.kojima.96
【PR】テンプレートキングアップデート 3 https://www.templateking.jp/ 公式テーマは申請してから進んでいませんが・・・ カメレオンバージョンや ちょっとした素材の配布を始めました。
4 メニュー 1. あらためてSSLって? 2. 証明書の違い 3. WordPressサイトをSSL化する 4. 常時SSL化するときの注意点
SSLの初歩の話と WordPressサイトをSSL化するときの注意点
5 http://docs.yahoo.co.jp/info/aossl/
1. あらためて「 SSL 」って?
暗号化通信と証明 キーワード
鍵のやり取りだけに限定して 【大幅に省略】して説明します 8
9 お互いに同じ鍵を持ってやり取り
10 サーバー 登場するもの クライアント ブラウザ 共通鍵 公開鍵証明書と秘密鍵 証明書に公開鍵が記載されている
イメージ 11 印 印章 印影 印鑑証明 秘密鍵 公開鍵 公開鍵証明書
ブラウザ サーバー 公開鍵証明書を送る 公開鍵証明書と秘密鍵 httpsリクエスト
ブラウザ サーバー 共通鍵の元を 生成 公開鍵証明書と秘密鍵 公開鍵証明書を送る httpsリクエスト
ブラウザ サーバー 公開鍵証明書を送る httpsリクエスト 公開鍵でロックして 共通鍵の元データの 受け渡し 公開鍵証明書と秘密鍵 共通鍵の元を 生成
ブラウザ サーバー 公開鍵証明書送る httpsリクエスト 公開鍵でロックして 共通鍵の元データ受け渡し 元データを使って 両者が共通鍵を生成 共通鍵を利用して 暗号化通信開始
公開鍵証明書と秘密鍵 共通鍵の元を 生成
認証局について 16
認証局イメージ 17 印 印章 印影 印鑑証明 市役所 認証局 秘密鍵 公開鍵
公開鍵証明書 グローバルサイン サイバートラスト シマンテックなど
印鑑登録・印鑑証明書 18 市役所 印鑑証明書 印鑑登録 印鑑証明書 印影 信頼 契約書など
デジタル証明書の発行 19 認証局 グローバルサイン サイバートラスト シマンテックなど 証明書署名要求
デジタル証明書の利用 20 認証局 グローバルサイン サイバートラスト シマンテックなど 信頼
なんで最近SSL、常時SSLってうるさく言うの?
22
よくある勘違い① wifiで通信暗号化されてる んじゃないの? 23
「保護」はアクセスポイントまで! 24 サーバー wifiアクセスポイント internet http://ではココだけ http://ではココは生 https://では全部暗号化通信
よくある勘違い② お店のwifiとかには繋ぐけど 保護されたヤツ! アクセスポイントまでは大丈夫でしょ! 25 wifiあります! SSID:◦ ◦ ◦ ◦
◦ ◦ ◦ key :※ ※ ※ ※ ※ ※ ※ ※ ※
SSIDと「 キー 」を共有 =httpは盗聴の可能性あり 26 その前にそのアクセスポイント本物?
よくある勘違い③ 27 httpのサイトでは 個人情報入れたりしない! そもそも私のサイトは フォームもないし 覗かれてもいいようなことしか 書いてないし!
サイトの閲覧者は セキュリティとかITとかに詳しい人だけじゃない! そもそも覗かれるだけでも・・・
29 例 あのコいつもココで店のwifiつかってるよね・・・
30 あのコいつもココで店のwifiつかってるよね・・・ 覗き見 いつもhttp://example.com/ のサイト見てる・・・ ↓ ↓ ↓ ↓
↓ ↓ ↓ フィッシングサイトへの誘導 攻撃の準備 etc. 危険がいっぱい!
常時SSL 検索結果のためにやるんじゃない! サイトに来てくれる閲覧者に安全な環境を! 31
ブラウザも【http】に警告を出す
33 firefox chrome
2. 証明書の違い 34
3種類あるの知ってる?
3種類のサーバ証明書 ドメイン認証 企業認証 拡張認証 Domain Validation Organization Validation Extended Validation
DV OV EV
証明書の違い ドメイン認証 企業認証 EV証明書 ドメイン名の使用権限を認証 ◦ ◦ ◦ 企業の実在性を認証 ×
◦ ◎ フィッシング詐欺対策 × ◦ ◎ アドレスバーに組織名表示 × × ◦ 信頼性 ★ ★★ ★★★ 費用 低 中 高
認証プロセス【ドメイン認証】 証明書の発行 ドメイン名の 使用権限確認 ドメイン認証 ドメイン名の使用権限を確認するのみ。 ・無料もある ・低価格 ・発行が早い ・個人でも取得OK
誰でも手軽に取得できる→信頼度は星ひとつ
認証プロセス【企業認証】 証明書の発行 ドメイン名の 所有者・使用権限確認 登記や 帝国データバンク等の データベースを確認 申請責任者への 電話確認 企業認証
ドメイン名の所有者名・使用権限と実在確認 ・実際に存在するかを電話確認 ・住所の証明等に公共料金の請求書等の 提出が必要な場合あり ・個人はNG 証明書ベンダーにより個人事業主はOKなものも
認証プロセス【拡張認証】 証明書の発行 登記や 帝国データバンク等の データベースを確認 申請責任者への 電話確認 申請責任者 権限確認者の確認 EV証明書
最も厳格な審査 最高度の信頼性を実現 金融機関などが多く利用 アドレスバーも違う! ドメイン名の 所有者・使用権限確認
アドレスバーの違い 企業認証(OV)、ドメイン認証(DV)では組織名称は表示されない 拡張認証(EV)では組織名称が表示されます。
スマホブラウザ 42 iPhoneでEV Android標準ブラウザだとEVでも社名は出ない
詳細表示のちがい OVとEVでは組織 名称が表示。 DVでは組織名称 が表示されない。
ドメイン認証 企業認証 拡張認証 Domain Validation Organization Validation Extended Validation DV
OV EV サイトの性質や予算により 適切なものを選択しましょう
無料の証明書!?「 Let’s Encrypt 」とは https://letsencrypt.org/ Cisco Systemsやモジラ財団などの大手企業・団体が スポンサーとして支援する非営利団体の ISRG (Internet
Security Research Group)が運営。 証明書を無料で発行し、HTTPS通信を普及させることを 目的としています。 レンタルサーバでは ファーストサーバとエックスサーバさんで 簡単に使えます! WordPress.comでも採用されています。
SNI 46 ▪SNI非対応のサービスだと サーバにドメイン名の設定は無制限に設定できても https化できるのは1つのみ。 https://example.com/ http://example.net/ http://example.org/ サーバー ▪SNI対応のサービスだと
1つのIPアドレスに対して複数のSSL証明書が設定できます。 https://example.com/ https://example.net/ https://example.org/ サーバー
47 3.WordPressサイトをSSL化する
使っているサーバによってさまざまなので 申込方法や設定方法は各サーバ会社の サポートページ等をご参照ください 48 ディレクトリ構成等 で作業が違います
ダッシュボードでhttp→httpsに変更 49 ※サーバの仕様や設置ディレクトリにより注意してください
リダイレクト 50 http://example.com/にアクセスしたら https://example.com/に リダイレクトされるように.htaccessの設定
便利なプラグイン 51 https://ja.wordpress.org/plugins/really-simple-ssl/ リダイレクト設定を 入れたり 画像のパスとかを 変更してくれる
mixed contents httpsとhttpの混在を無くす 52
ブラウザでチェック 53 http:// の読み込みがあると警告が出ます。 警告が出なくなるまで記事などをチェック
ブラウザによって違うこともある(実際ハマった) 54 Chromeではエラーが出てなかったのに firefoxではエラーが ブラウザにより エラー・ブロック等の 挙動が少し違った
例 55 header.php にhttpが残ってた デベロッパーツールなどで確認 cssやjsなど 外部ファイルの 読込にも注意
56 4.常時SSL化するときの注意点
申込する際などの注意点 コモンネーム ≠ ドメイン名 57 例: www.example.com example.com blog.example.comなど ※証明書によっては「www.」付きで申込すれば
「www.」が付かないURLへのアクセスに利用することができます。 wwwあり?なし? サブドメイン?
58 http://www.example.com/ https://example.com/ http://example.com/ https://www.example.com/
例 59
HSTS httpsでの接続を強制するhttpヘッダー リダイレクトに加えて設定した方が良い 未対応のブラウザもあります
HSTS http ブラウザ https リダイレクト HSTSで一度ブラウザが覚えると httpでアクセスしようとしても ブラウザが強制的にhttpsに
プリロードHSTS【要注意】 https://hstspreload.appspot.com/ ドメインを HSTS Pre-loaded List に 登録するサービス 色々情報は出て来る と思いますが登録す
る際は要注意!
アフィリエイトなどの広告バナーのURL 63 まだhttpsに対応して いないところもある
「 いいね 」などの数 64 ゴニョゴニョすると 継続できるみたい
まとめ そろそろ常時SSL化検討しましょう サイトによって証明書を選択 利用しているサーバの仕様や https化できないものなどを確認 確認することも多いので計画的に 65
ご清聴ありがとうございました 66 ご質問などはメッセとかDMでもお気軽に