Tweet
Tweet

Slide 1

Slide 1 text

SSLの初歩の話と WordPressサイトをSSL化するときの注意点 2017年2月12日 小島 健司 WordBench 奈良

Slide 2

Slide 2 text

自己紹介 小島 健司(こじまけんじ) • ファーストサーバの中の人 • WordBench大阪モデレーターの一人 いつもWordCamp Kansai のスポンサー担当してます。 https://twitter.com/nu_nrgist https://www.facebook.com/kenji.kojima.96

Slide 3

Slide 3 text

【PR】テンプレートキングアップデート 3 https://www.templateking.jp/ 公式テーマは申請してから進んでいませんが・・・ カメレオンバージョンや ちょっとした素材の配布を始めました。

Slide 4

Slide 4 text

無料のSSL証明書も取扱っています

Slide 5

Slide 5 text

常時SSL化を推進しています https://zenlogic.jp/aossl/ 常時SSL Lab.

Slide 6

Slide 6 text

6 メニュー 1. あらためてSSLって? 2. 証明書の違い 3. WordPressサイトをSSL化する 4. 常時SSL化するときの注意点 5. おまけ SSLの初歩の話と WordPressサイトをSSL化するときの注意点

Slide 7

Slide 7 text

7 http://docs.yahoo.co.jp/info/aossl/

Slide 8

Slide 8 text

1. あらためて「 SSL 」って?

Slide 9

Slide 9 text

暗号化通信と証明 キーワード

Slide 10

Slide 10 text

鍵のやり取りだけに限定して 【大幅に省略】して説明します 10

Slide 11

Slide 11 text

11 お互いに同じ鍵を持ってやり取り

Slide 12

Slide 12 text

12 サーバー 登場するもの クライアント ブラウザ 共通鍵 公開鍵証明書と秘密鍵 証明書に公開鍵が記載されている

Slide 13

Slide 13 text

イメージ 13 印 印章 印影 印鑑証明 秘密鍵 公開鍵 公開鍵証明書

Slide 14

Slide 14 text

ブラウザ サーバー 公開鍵証明書を送る 公開鍵証明書と秘密鍵 httpsリクエスト

Slide 15

Slide 15 text

ブラウザ サーバー 共通鍵の元を 生成 公開鍵証明書と秘密鍵 公開鍵証明書を送る httpsリクエスト

Slide 16

Slide 16 text

ブラウザ サーバー 公開鍵証明書を送る httpsリクエスト 公開鍵でロックして 共通鍵の元データの 受け渡し 公開鍵証明書と秘密鍵 共通鍵の元を 生成

Slide 17

Slide 17 text

ブラウザ サーバー 公開鍵証明書送る httpsリクエスト 公開鍵でロックして 共通鍵の元データ受け渡し 元データを使って 両者が共通鍵を生成 共通鍵を利用して 暗号化通信開始 公開鍵証明書と秘密鍵 共通鍵の元を 生成

Slide 18

Slide 18 text

認証局について 18

Slide 19

Slide 19 text

認証局イメージ 19 印 印章 印影 印鑑証明 市役所 認証局 秘密鍵 公開鍵 公開鍵証明書 グローバルサイン サイバートラスト シマンテックなど

Slide 20

Slide 20 text

印鑑登録・印鑑証明書 20 市役所 印鑑証明書 印鑑登録 印鑑証明書 印影 信頼 契約書など

Slide 21

Slide 21 text

デジタル証明書の発行 21 認証局 グローバルサイン サイバートラスト シマンテックなど 証明書署名要求

Slide 22

Slide 22 text

デジタル証明書の利用 22 認証局 グローバルサイン サイバートラスト シマンテックなど 信頼

Slide 23

Slide 23 text

なんで最近SSL、常時SSLってうるさく言うの?

Slide 24

Slide 24 text

24

Slide 25

Slide 25 text

よくある勘違い① wifiで通信暗号化されてる んじゃないの? 25

Slide 26

Slide 26 text

「保護」はアクセスポイントまで! 26 サーバー wifiアクセスポイント internet http://ではココだけ http://ではココは生 https://では全部暗号化通信

Slide 27

Slide 27 text

よくある勘違い② お店のwifiとかには繋ぐけど 保護されたヤツ! アクセスポイントまでは大丈夫でしょ! 27 wifiあります! SSID:○ ○ ○ ○ ○ ○ ○ key :※ ※ ※ ※ ※ ※ ※ ※ ※

Slide 28

Slide 28 text

SSIDと「 キー 」を共有 =httpは盗聴の可能性あり 28 その前にそのアクセスポイント本物?

Slide 29

Slide 29 text

 問合せフォーム  ネットショップの決済  管理画面 etc. TOPから全部 【https】にする 必要あるの? こういうページは わかるけど

Slide 30

Slide 30 text

スマホを後ろから覗き見・・・

Slide 31

Slide 31 text

31 今 となりの人 あの番組見てるなー 壁の向こうから聞かれる・・・

Slide 32

Slide 32 text

32 例)カフェで提供されているwi-fiのニセwi-fi  覗き見 いつもhttp://example.com/ のサイト見てる・・・ ↓ ↓ ↓ ↓ ↓ ↓ ↓  傾向からフィッシングサイトへの誘導  攻撃の準備 etc. 危険がいっぱい!

Slide 33

Slide 33 text

誰の為にSSL化? 33 サイト運営者 サイト閲覧者 こちら側の目線が 強かった こちらにもちゃんと 注目して!

Slide 34

Slide 34 text

常時SSL 検索結果のためにではなくて サイトに来てくれる閲覧者に安全な環境を! 34

Slide 35

Slide 35 text

で、「全部HTTPSに!」という背景! 35 サーバー internet https://で暗号化通信!

Slide 36

Slide 36 text

クックパッドも常時SSL化されていました 36 https://speakerdeck.com/kanny/cookpad-dot-com-quan-https-hua-falsegui-ji

Slide 37

Slide 37 text

ブラウザも【http】に警告を出す

Slide 38

Slide 38 text

38 firefox chrome

Slide 39

Slide 39 text

ブラウザの警告も徐々に厳しく 39 chrome://flags/

Slide 40

Slide 40 text

ブラウザの警告も徐々に厳しく 40

Slide 41

Slide 41 text

2. 証明書の違い 41

Slide 42

Slide 42 text

3種類あるの知ってる?

Slide 43

Slide 43 text

3種類のサーバ証明書 ドメイン認証 企業認証 拡張認証 Domain Validation Organization Validation Extended Validation DV OV EV

Slide 44

Slide 44 text

証明書の違い ドメイン認証 企業認証 EV証明書 ドメイン名の使用権限を認証 ○ ○ ○ 企業の実在性を認証 × ○ ◎ フィッシング詐欺対策 × ○ ◎ アドレスバーに組織名表示 × × ○ 信頼性 ★ ★★ ★★★ 費用 低 中 高

Slide 45

Slide 45 text

認証プロセス【ドメイン認証】 証明書の発行 ドメイン名の 使用権限確認 ドメイン認証 ドメイン名の使用権限を確認するのみ。 ・無料もある ・低価格 ・発行が早い ・個人でも取得OK 誰でも手軽に取得できる→信頼度は星ひとつ

Slide 46

Slide 46 text

認証プロセス【企業認証】 証明書の発行 ドメイン名の 所有者・使用権限確認 登記や 帝国データバンク等の データベースを確認 申請責任者への 電話確認 企業認証 ドメイン名の所有者名・使用権限と実在確認 ・実際に存在するかを電話確認 ・住所の証明等に公共料金の請求書等の 提出が必要な場合あり ・個人はNG 証明書ベンダーにより個人事業主はOKなものも

Slide 47

Slide 47 text

認証プロセス【拡張認証】 証明書の発行 登記や 帝国データバンク等の データベースを確認 申請責任者への 電話確認 申請責任者 権限確認者の確認 EV証明書 最も厳格な審査 最高度の信頼性を実現 金融機関などが多く利用 アドレスバーも違う! ドメイン名の 所有者・使用権限確認

Slide 48

Slide 48 text

アドレスバーの違い 企業認証(OV)、ドメイン認証(DV)では組織名称は表示されない 拡張認証(EV)では組織名称が表示されます。

Slide 49

Slide 49 text

スマホブラウザ 49 iPhoneでEV Android標準ブラウザだとEVでも社名は出ない

Slide 50

Slide 50 text

詳細表示のちがい OVとEVでは組織 名称が表示。 DVでは組織名称 が表示されない。

Slide 51

Slide 51 text

3種類のサーバ証明書 ドメイン認証 企業認証 拡張認証 Domain Validation Organization Validation Extended Validation DV OV EV 個人はドメイン認証しか 利用できないよ 企業サイトには 企業認証かEVがオススメ 個人事業主OKの 企業認証証明書もある

Slide 52

Slide 52 text

無料の証明書!?「 Let’s Encrypt 」とは https://letsencrypt.org/ Cisco Systemsやモジラ財団などの大手企業・団体が スポンサーとして支援する非営利団体の ISRG (Internet Security Research Group)が運営。 証明書を無料で発行し、HTTPS通信を普及させることを 目的としています。 レンタルサーバでは ファーストサーバとエックスサーバさんで 簡単に使えます! WordPress.comでも採用されています。

Slide 53

Slide 53 text

SNI 53 ■SNI非対応のサービスだと サーバにドメイン名の設定は無制限に設定できても https化できるのは1つのみ。 https://example.com/ http://example.net/ http://example.org/ サーバー ■SNI対応のサービスだと 1つのIPアドレスに対して複数のSSL証明書が設定できます。 https://example.com/ https://example.net/ https://example.org/ サーバー

Slide 54

Slide 54 text

54 3.WordPressサイトをSSL化する

Slide 55

Slide 55 text

使っているサーバによってさまざまなので 申込方法や設定方法は各サーバ会社の サポートページ等をご参照ください 55 ディレクトリ構成等 で作業が違います

Slide 56

Slide 56 text

ダッシュボードでhttp→httpsに変更 56 ※サーバの仕様や設置ディレクトリにより注意してください

Slide 57

Slide 57 text

リダイレクト 57 http://example.com/にアクセスしたら https://example.com/に リダイレクトされるように.htaccessの設定

Slide 58

Slide 58 text

便利なプラグイン 58 https://ja.wordpress.org/plugins/really-simple-ssl/ リダイレクト設定を 入れたり 画像のパスとかを 変更してくれる

Slide 59

Slide 59 text

mixed contents httpsとhttpの混在を無くす 59

Slide 60

Slide 60 text

ブラウザでチェック 60 http:// の読み込みがあると警告が出ます。 警告が出なくなるまで記事などをチェック

Slide 61

Slide 61 text

ブラウザによって違うこともある(実際ハマった) 61 Chromeではエラーが出てなかったのに firefoxではエラーが ブラウザにより エラー・ブロック等の 挙動が少し違った

Slide 62

Slide 62 text

例 62 header.php にhttpが残ってた デベロッパーツールなどで確認 cssやjsなど 外部ファイルの 読込にも注意

Slide 63

Slide 63 text

63 4.常時SSL化するときの注意点

Slide 64

Slide 64 text

申込する際などの注意点 コモンネーム ≠ ドメイン名 64 例: www.example.com example.com blog.example.comなど ※証明書によっては「www.」付きで申込すれば 「www.」が付かないURLへのアクセスに利用することができます。 wwwあり?なし? サブドメイン? *.example.jpのようにワイルドカードで指定できる証明書もあります

Slide 65

Slide 65 text

65 http://www.example.com/ https://example.com/ http://example.com/ https://www.example.com/

Slide 66

Slide 66 text

例 66

Slide 67

Slide 67 text

HSTS httpsでの接続を強制するhttpヘッダー  リダイレクトに加えて設定した方が良い  未対応のブラウザもあります

Slide 68

Slide 68 text

HSTS http ブラウザ https リダイレクト HSTSで一度ブラウザが覚えると httpでアクセスしようとしても ブラウザが強制的にhttpsに

Slide 69

Slide 69 text

プリロードHSTS【要注意】 https://hstspreload.appspot.com/ ドメインを HSTS Pre-loaded List に 登録するサービス 色々情報は出て来る と思いますが登録す る際は要注意!

Slide 70

Slide 70 text

アフィリエイトなどの広告バナーのURL 70 まだhttpsに対応して いないところもある

Slide 71

Slide 71 text

「 いいね 」などの数 71 ゴニョゴニョすると 継続できるみたい

Slide 72

Slide 72 text

3. 提案しよう! 72 会社に! クライアントに!

Slide 73

Slide 73 text

SEOの話だけだと・・・ 常時SSLにすると 検索順位が上がるようです どれくらい効果あるの? 影響あるのは 1%未満とかなんとか ● ● ● 徐々に影響が出る らしいですよ いつごろ? ● ● ●

Slide 74

Slide 74 text

常時SSLの効果  サイト閲覧者へ安全な環境を提供  サイトの信頼度UP  企業、お店の信頼度UP  検索エンジンからの信頼度UP 74

Slide 75

Slide 75 text

常時SSL化でみんなHappy! 75 制作の皆様 クライアント サイト運営者 サイト閲覧者 安全な環境の提供 安心・信頼 信頼 提案 もちろん作業費も 嬉しい! 有料の証明書だと さらに嬉しい!

Slide 76

Slide 76 text

適切なサーバ証明書選びを! ドメイン認証 企業認証 拡張認証 Domain Validation Organization Validation Extended Validation DV OV EV 個人はドメイン認証しか 利用できないよ 企業サイトには 企業認証かEVがオススメ 個人事業主OKの 企業認証証明書もある

Slide 77

Slide 77 text

まとめ そろそろ常時SSL化しないと! サイトによって証明書を選択 利用しているサーバの仕様や https化できないものなどを確認 確認することも多いので計画的に 77

Slide 78

Slide 78 text

おまけ:実例など

Slide 79

Slide 79 text

国税の納付 • 現金 • 預貯金口座から振替 • インターネットバンキング • インターネットを利用したクレジットカード納付 • 延納・物納(相続税・贈与税) 今年から 始まったようです

Slide 80

Slide 80 text

https://togetter.com/li/1067266

Slide 81

Slide 81 text

国税クレジットお支払サイト https://kokuzei.noufu.jp/

Slide 82

Slide 82 text

No content

Slide 83

Slide 83 text

変なドメイン!? kokuzei.noufu.jp

Slide 84

Slide 84 text

kokuzei.noufu.jp

Slide 85

Slide 85 text

「.JP」 汎用型JPドメイン名 日本国内に住所をもつ 個人・団体・組織であれば 誰でもいくつでも登録できる。

Slide 86

Slide 86 text

•nofu.jp •nouhu.jp 既に類似ドメイン名が登録済み・・・

Slide 87

Slide 87 text

http://nouhu.jp/ いい人でよかった!

Slide 88

Slide 88 text

nouf.jp、no-fu.jp・・・ フィッシングサイトの危険性

Slide 89

Slide 89 text

.co.jp、 or.jp、.go.jp・・・ 属性型JPドメイン名

Slide 90

Slide 90 text

.go.jp 日本の政府機関や 各省庁所管の研究所などが登録できる。 政府機関は、一つの組織で複数の GO.JPドメイン名を登録可能。

Slide 91

Slide 91 text

本サイトは、国税庁長官が指定した 納付受託者(トヨタファイナンス株式会社) が運営する国税のクレジットカード納付 専用のサイトです。

Slide 92

Slide 92 text

noufu.jp

Slide 93

Slide 93 text

No content

Slide 94

Slide 94 text

納税者 国税庁 トヨタファイナンス GMO-PG 指定を受けた納付受託者 (トヨタファイナンス)と サイト運営者(GMO-PG)

Slide 95

Slide 95 text

モヤッとするポイント • だれでも登録できるドメイン名 • フィッシングサイトが作りやすそうな命名 • 誰がやっているサイトなのかの記載が わかりにくい 客観的な主体と実際の運営者、説明、ドメイン名の名 義などがスッキリしない。 広告代理店とか何社も絡むキャンペーンサイトなどで注意!

Slide 96

Slide 96 text

No content

Slide 97

Slide 97 text

3種類のサーバ証明書 ドメイン認証 企業認証 拡張認証 Domain Validation Organization Validation Extended Validation DV OV EV

Slide 98

Slide 98 text

No content

Slide 99

Slide 99 text

No content

Slide 100

Slide 100 text

.GO.JP EV証明書だけどモヤっとする例 市立?私立図書館? TSUTAYA?

Slide 101

Slide 101 text

.GO.JP 同じCCC運営の図書館でも 市のドメイン名

Slide 102

Slide 102 text

怪しいサイト?もDV証明書で常時SSL https://www.gourmetmpic.com/

Slide 103

Slide 103 text

怪しいサイト?もDV証明書で常時SSL

Slide 104

Slide 104 text

ご清聴ありがとうございました 104