WordBench_Toyama0126

Transcript

1. SSL化のススメ SSL初歩の話と WordPressサイトをSSL化するときの注意点など 2018年1月26日 小島 健司 WordBench富山

2. 自己紹介 ＠ファーストサーバ株式会社 WordBench Osakaモデレータの一人 WordCamp Osaka やWordCamp Kansaiスタッフ 今年はSSLに関して各地で登壇する ことが多かったです。

   ←グローバルサインさんの ノベルティTシャツ

3. 1. あらためてSSLって？ 2. 証明書の違い 3. WordPressサイトを常時SSL化する 4. 常時SSL化するときの注意点

4. 1. あらためて「 SSL 」って？

5. 【暗号化通信】と【証明】

6. 【暗号化通信】と【証明】

7. 鍵のやり取りだけに限定して 【大幅に省略】して説明します

8. お互いに同じ鍵を持ってやり取り ㊙

9. サーバー 登場するもの クライアント ブラウザ 共通鍵 公開鍵証明書と秘密鍵 証明書に公開鍵が記載されている

10. イメージ 印 印章 印影 印鑑証明 秘密鍵 公開鍵 公開鍵証明書

11. ブラウザ サーバー 公開鍵と証明書を送る 公開鍵と秘密鍵・証明書 httpsリクエスト

12. ブラウザ サーバー 公開鍵と証明書を送る 公開鍵と秘密鍵・証明書 httpsリクエスト 共通鍵の元を 生成

13. ブラウザ サーバー 公開鍵と証明書を送る 公開鍵と秘密鍵・証明書 httpsリクエスト 共通鍵の元を 生成 公開鍵でロックして 共通鍵の元データの 受け渡し

14. ブラウザ 公開鍵と証明書送る httpsリクエスト 公開鍵でロックして 共通鍵の元データ受け渡し 元データを使って 両者が共通鍵を生成 共通鍵を利用して 暗号化通信開始 共通鍵の元を

    生成 サーバー 公開鍵と秘密鍵・証明書

15. 15

16. 「保護」はアクセスポイントまで！ サーバー wifiアクセスポイント internet http://ではココだけ 保護 http://ではココは生 https://では全部暗号化通信

17. SSIDと「 キー 」を共有 ＝httpは盗聴の可能性あり

18. 物理的に覗かれなくても・・・

19. 検索結果・順位のため サイトに来てくれる閲覧者に安全な環境を！

20. https://webmaster-ja.googleblog.com/2014/08/https-as-ranking-signal.html

21. 誰の為にSSL化？ サイト 運営者 サイト 閲覧者 こちら側の目線が 強かった こちらにもちゃんと 注目して！

22. 常時SSL化でみんなHappy! 制作の皆様 サイト運営者 サイト閲覧者 安全な環境の提供 安心・信頼 信頼 提案 もちろん作業費も 嬉しい！

    有料の証明書だと さらに嬉しい！

23. 【暗号化通信】と【証明】

24. 2. 証明書の違い

25. 3種類のサーバ証明書 ドメイン認証 企業認証 拡張認証 Domain Validation Organization Validation Extended Validation

    DV OV EV

26. 認証プロセス【ドメイン認証】 証明書の発行 ドメイン名の 使用権限確認 ドメイン認証 ドメイン名の使用権限を確認するのみ。 ・無料もある ・低価格 ・発行が早い ・個人でも取得OK

    誰でも手軽に取得できる⇒信頼度は低い

27. 認証プロセス【企業認証】 証明書の発行 ドメイン名の 使用権限確認 登記や 帝国データバンク等 の データベースを確認 申請責任者への 電話確認

    企業認証 ドメインの使用権限と実在確認 ・実際に存在するかを電話確認 ・住所の証明等に公共料金の請求書等 の 提出が必要な場合あり ・個人はNG、証明書ベンダーにより 個人事業主はOK

28. 認証プロセス【EV 拡張認証】 証明書の発行 ドメイン名の 使用権限確認 登記や 帝国データバンク等の データベースを確認 申請責任者への 電話確認

    申請責任者 権限確認者の確認 EV証明書 最も厳格な審査 最高度の信頼性を実現 金融機関などが多く利用 アドレスバーも違う。

29. 3種類のサーバ証明書 ドメイン認証 企業認証 拡張認証 Domain Validation Organization Validation Extended Validation

    DV OV EV 個人はDVのみ OVは法人 一部個人事業主 OK

30. アドレスバーの違い 企業認証(OV)、ドメイン認証(DV)では組織名称は表示されない 拡張認証(EV)では組織名称が表示されます。

31. 詳細表示のちがい 企業認証(OV)と拡張認証 (EV)では組織名称が表示され る。 ドメイン認証(DV)では組織名 称が表示されない。

32. 証明書の違い ドメイン認証 企業認証 EV証明書 ドメイン名の使用権限を認証 ◦ ◦ ◦ 企業の実在性を認証 ×

    ◦ ◎ フィッシング詐欺対策 × ◦ ◎ アドレスバーに組織名表示 × × ◦ 信頼性 低 中 高 費用 低 中 高

33. https://capitalp.jp/2017/01/13/moving-to-ssl-in-usg/

34. 認証局

35. 印 印章 印影 印鑑証明 市役所 認証局 秘密鍵 公開鍵 公開鍵証明書 グローバルサイン

    サイバートラスト シマンテックなど 認証局イメージ

36. 印鑑登録・印鑑証明書 市役所 印鑑証明書 印鑑登録 印鑑証明書 印 影 信頼 契約書など

37. デジタル証明書の発行 認証局 グローバルサイン サイバートラスト シマンテックなど 証明書署名要求

38. デジタル証明書の利用 認証局 グローバルサイン サイバートラスト シマンテックなど 信頼

39. 認証局 スマホでも設定画面から 信頼された証明書を確認することが出来ます。 iPhone 設定＞一般＞情報＞証明書信頼設定 Android 設定＞セキュリティ＞信頼できる認証情報

40. CA/Browser Forum 認証局(CA：Certification Authority) とブラウザベンダのフォーラム

41. 3.WordPressサイトをSSL化する

42. • 証明書のインストール →手順はレンタルサーバにより様々 • サイトURLなどの変更 • リダイレクト設定 →プラグインが便利 • mixedcontentsの解消

    →読込などのURLチェック • アナリティクス、search consoleなどの設定 • 「いいね」数などは戻ってしまう

43. プラグイン

44. 4.常時SSL化するときの注意点

45. SNIについて SNI非対応 1つのIPアドレスに対して一つ サーバにドメイン名の設定は無制限に設定でき てもhttps化できるのは1つのドメイン名のみ。 1つのIPアドレスに対して複数のSSL証 明書が設定できます。 1台のサーバに設定しているドメイン名 のサイトをすべてhttpsにできます！ https://example.com/

    http://example.net/ http://example.org/ https://example.com/ https://example.net/ https://example.org/ ※古いブラウザなどではエラーが表示される場合がございます。 詳細はP9をご覧ください。 SNI対応

46. コモンネーム ≠ ドメイン名

47. example.jp www.example.jp blog.example.jp・・・ コモンネーム ≠ ドメイン名

48. リダイレクト https://example.jp/ に最適化している時 https://www.example.jp/ http://www.example.jp/ http://example.jp/ https://example.jp/ コモンネームwww.example.jpの 証明書も要 1枚でwwwの有無両方に対応している証明書もある

49. ご清聴ありがとうございました