Slide 1
Slide 1 text
SSL化のススメ
SSL初歩の話と
WordPressサイトをSSL化するときの注意点など
2017年12月2日
小島 健司
第6回WordBench岐阜
Slide 2
Slide 2 text
自己紹介
ファーストサーバ株式会社 小島健司
WordBench Osakaモデレータの一人
WordCamp Osaka やWordCamp Kansaiスタッフ
今年はSSLに関して各地で登壇する
ことが多かったです。
Slide 3
Slide 3 text
常時SSL Lab.
https://zenlogic.jp/aossl/
Slide 4
Slide 4 text
1. あらためてSSLって?
2. 証明書の違い
3. WordPressサイトを常時SSL化する
4. 常時SSL化するときの注意点
Slide 5
Slide 5 text
1. あらためて「 SSL 」って?
Slide 6
Slide 6 text
【暗号化通信】と【証明】
Slide 7
Slide 7 text
鍵のやり取りだけに限定して
【大幅に省略】して説明します
Slide 8
Slide 8 text
お互いに同じ鍵を持ってやり取り
㊙
Slide 9
Slide 9 text
サーバー
登場するもの
クライアント
ブラウザ
共通鍵
公開鍵証明書と秘密鍵
証明書に公開鍵が記載されている
Slide 10
Slide 10 text
イメージ
印
印章 印影 印鑑証明
秘密鍵 公開鍵 公開鍵証明書
Slide 11
Slide 11 text
ブラウザ サーバー
公開鍵と証明書を送る
公開鍵と秘密鍵・証明書
httpsリクエスト
Slide 12
Slide 12 text
ブラウザ サーバー
公開鍵と証明書を送る
公開鍵と秘密鍵・証明書
httpsリクエスト
共通鍵の元を
生成
Slide 13
Slide 13 text
ブラウザ サーバー
公開鍵と証明書を送る
公開鍵と秘密鍵・証明書
httpsリクエスト
共通鍵の元を
生成 公開鍵でロックして
共通鍵の元データの
受け渡し
Slide 14
Slide 14 text
ブラウザ
公開鍵と証明書送
る
httpsリクエスト
公開鍵でロックして
共通鍵の元データ受け渡し
元データを使って
両者が共通鍵を生成
共通鍵を利用して
暗号化通信開始
共通鍵の元を
生成
サーバー
公開鍵と秘密鍵・証明書
Slide 15
Slide 15 text
15
Slide 16
Slide 16 text
「保護」はアクセスポイントまで!
サー
バー
wifiアクセスポイント
internet
http://ではココだけ
保護
http://ではココは生
https://では全部暗号化通信
Slide 17
Slide 17 text
SSIDと「 キー 」を共有
=httpは盗聴の可能性あり
Slide 18
Slide 18 text
物理的に覗かれなくても・・・
Slide 19
Slide 19 text
検索結果のため
サイトに来てくれる閲覧者に安全な環境を!
Slide 20
Slide 20 text
https://webmaster-ja.googleblog.com/2014/08/https-as-ranking-signal.html
Slide 21
Slide 21 text
誰の為にSSL化?
サイト
運営者
サイト
閲覧者
こちら側の目線が
強かった
こちらにちゃんと
注目!
Slide 22
Slide 22 text
常時SSL化でみんなHappy!
制作の皆様
サイト運営者 サイト閲覧者
安全な環境の提供
安心・信頼
信頼
提案 もちろん作業費も
嬉しい!
有料の証明書だと
さらに嬉しい!
Slide 23
Slide 23 text
【暗号化通信】と【証明】
Slide 24
Slide 24 text
2. 証明書の違い
Slide 25
Slide 25 text
3種類のサーバ証明書
ドメイン認証 企業認証 拡張認証
Domain Validation Organization Validation Extended Validation
DV OV EV
Slide 26
Slide 26 text
認証プロセス【ドメイン認証】
証明書の発行
ドメイン名の
使用権限確認
ドメイン認証
ドメイン名の使用権限を確認するのみ。
・無料もある
・低価格
・発行が早い
・個人でも取得OK
誰でも手軽に取得できる⇒信頼度は低い
Slide 27
Slide 27 text
認証プロセス【企業認証】
証明書の発行
ドメイン名の
使用権限確認
登記や
帝国データバンク等
の
データベースを確認
申請責任者への
電話確認
企業認証
ドメインの使用権限と実在確認
・実際に存在するかを電話確認
・住所の証明等に公共料金の請求書等
の
提出が必要な場合あり
・個人はNG、証明書ベンダーにより
個人事業主はOK
Slide 28
Slide 28 text
認証プロセス【EV 拡張認証】
証明書の発行
ドメイン名の
使用権限確認
登記や
帝国データバンク等の
データベースを確認
申請責任者への
電話確認
申請責任者
権限確認者の確認
EV証明書
最も厳格な審査
最高度の信頼性を実現
金融機関などが多く利用
アドレスバーも違う。
Slide 29
Slide 29 text
3種類のサーバ証明書
ドメイン認証 企業認証 拡張認証
Domain Validation
Organization
Validation
Extended
Validation
DV OV EV
個人はDVのみ
OVは法人
一部個人事業主
OK
Slide 30
Slide 30 text
アドレスバーの違い
企業認証(OV)、ドメイン認証(DV)では組織名称は表示されない
拡張認証(EV)では組織名称が表示されます。
Slide 31
Slide 31 text
詳細表示のちがい
企業認証(OV)と拡張認証
(EV)では組織名称が表示され
る。
ドメイン認証(DV)では組織名
称が表示されない。
Slide 32
Slide 32 text
証明書の違い
ドメイン認証 企業認証 EV証明書
ドメイン名の使用権限を認証 ○ ○ ○
企業の実在性を認証 × ○ ◎
フィッシング詐欺対策 × ○ ◎
アドレスバーに組織名表示 × × ○
信頼性 低 中 高
費用 低 中 高
Slide 33
Slide 33 text
https://capitalp.jp/2017/01/13/moving-to-ssl-in-usg/
Slide 34
Slide 34 text
No content
Slide 35
Slide 35 text
認証局
Slide 36
Slide 36 text
印
印章 印影 印鑑証明 市役所
認証局
秘密鍵 公開鍵 公開鍵証明書
グローバルサイン
サイバートラスト
シマンテックなど
認証局イメージ
Slide 37
Slide 37 text
印鑑登録・印鑑証明書
市役所
印鑑証明書
印鑑登録
印鑑証明書
印
影
信頼
契約書など
Slide 38
Slide 38 text
デジタル証明書の発行
認証局 グローバルサイン
サイバートラスト
シマンテックなど
証明書署名要求
Slide 39
Slide 39 text
デジタル証明書の利用
認証局
グローバルサイン
サイバートラスト
シマンテックなど
信頼
Slide 40
Slide 40 text
認証局
スマホでも設定画面から
信頼された証明書を確認することが出来ます。
iPhone 設定>一般>情報>証明書信頼設定
Android 設定>セキュリティ>信頼できる認証情報
Slide 41
Slide 41 text
CA/Browser Forum
認証局(CA:Certification Authority)
とブラウザベンダのフォーラム
Slide 42
Slide 42 text
3.WordPressサイトをSSL化する
Slide 43
Slide 43 text
• 証明書のインストール
→手順はレンタルサーバにより様々
• サイトURLなどの変更
• リダイレクト設定
→プラグインが便利
• mixedcontentsの解消
→読込などのURLチェック
Slide 44
Slide 44 text
プラグイン
Slide 45
Slide 45 text
4.常時SSL化するときの注意点
Slide 46
Slide 46 text
SNIについて
SNI非対応
1つのIPアドレスに対して一つ
サーバにドメイン名の設定は無制限に設定できて
もhttps化できるのは1つのドメイン名のみ。
1つのIPアドレスに対して複数のSSL証明書
が設定できます。
1台のサーバに設定しているドメイン名のサ
イトをすべてhttpsにできます!
https://example.com/
http://example.net/
http://example.org/
https://example.com/
https://example.net/
https://example.org/
※古いブラウザなどではエラーが表示される場合がございます。
詳細はP9をご覧ください。
SNI対応
Slide 47
Slide 47 text
コモンネーム ≠ ドメイン名
Slide 48
Slide 48 text
https://example.jp/
https://www.example.jp/
https://blog.example.jp/ など
コモンネーム ≠ ドメイン名
Slide 49
Slide 49 text
リダイレクト設定
https://example.jp/ に最適化している時
https://www.example.jp/
http://www.example.jp/
http://example.jp/ https://example.jp/
コモンネームwww.example.jpの
証明書も要
1枚でwwwの有無両方に対応し
ている証明書もある
サーバーの仕様によってはリダイレクトループなどに注意!
Slide 50
Slide 50 text
ご清聴ありがとうございました