Tweet
Tweet

Slide 1

Slide 1 text

どのCMSでもそろそろ考えておきたい 「常時SSL化のススメ」 2016年9月3日 ファーストサーバ株式会社 小島 健司 CMS大阪夏祭り 2016 スポンサーセッション

Slide 2

Slide 2 text

自 己 紹 介 小 島 健 司 Twitter https://twitter.com/nu_nrgist Facebook https://www.facebook.com/kenji.kojima.96 ファーストサーバで働いています。 CMS コミュニティ: WordCamp Kansai 実行委員 WordBench 大阪 モデレーターの一員

Slide 3

Slide 3 text

社名 ファーストサーバ株式会社 FirstServer, Inc. 所在地 大阪市中央区安土町1丁目8番15号 野村不動産大阪ビル3F 事業開始 1996年7月 資本金 3億6,357万円 主要株主 ヤフー株式会社 事業内容 レンタルサーバーサービス ドメイン名登録サービス クラウドサービス 会 社 紹 介

Slide 4

Slide 4 text

テンプレートキング https://www.templateking.jp/ WordPressの無料テーマ 画像素材も始めました

Slide 5

Slide 5 text

ブ ー ス 紹 介 今日はブースを出展しています  素敵な?ノベルティプレゼント  CMSとサーバ選びやSSLなど 各種サーバご質問もお気兼ねなく!

Slide 6

Slide 6 text

ファーストサーバは常時SSLを推進しています 6 https://zenlogic.jp/aossl/ 特設サイト「常時SSL Lab.」 今日から使えるWebディレクターのための 「常時SSL」基本と実践テクニック 9/9(金)のMBS 【ちちんぷいぷい】で 常時SSLの取組が 紹介される予定

Slide 7

Slide 7 text

SSL、常時SSL・・・ でもお高いんでしょ?

Slide 8

Slide 8 text

コストが障壁にならないように Let’s Encrypt 8 Symantec Encryption Everywhere mozillaやCisco facebookなどが スポンサーとして支援して 無料の証明書を発行 シマンテック社が展開する 常時SSL推進活動 無料の証明書を発行 無料で使える証明書もあるんです。 両方使えるのは国内でファーストサーバだけ!

Slide 9

Slide 9 text

CMSでも常時SSLが設定しやすくなっている 9

Slide 10

Slide 10 text

1. なんで常時SSLにした方がいいの? 10

Slide 11

Slide 11 text

「保護」はアクセスポイントまで! 11 サーバー wifiアクセスポイント internet http://ではココだけ http://ではココは生 https://では全部暗号化通信

Slide 12

Slide 12 text

ニセのアクセスポイントかも 12 サーバー 本物の アクセスポイント 盗聴・改ざん・・・ ニセの アクセスポイント

Slide 13

Slide 13 text

 問合せフォーム  ネットショップの決済  管理画面 etc. TOPから全部 【https】にする 必要あるの? こういうページは わかるけど

Slide 14

Slide 14 text

誰の為にSSL化? 14 サイト運営者 サイト閲覧者 こちら側の目線が 強かった こちらにもちゃんと 注目して!

Slide 15

Slide 15 text

スマホを後ろから覗き見・・・

Slide 16

Slide 16 text

16 今 となりの人 あの番組見てるなー 壁の向こうから聞かれる・・・

Slide 17

Slide 17 text

17 例)カフェで提供されているwi-fiのニセwi-fi  覗き見 いつもhttp://example.com/ のサイト見てる・・・ ↓ ↓ ↓ ↓ ↓ ↓ ↓  傾向からフィッシングサイトへの誘導  攻撃の準備 etc. 危険がいっぱい!

Slide 18

Slide 18 text

で、「全部HTTPSに!」という背景! 18 サーバー internet https://で暗号化通信!

Slide 19

Slide 19 text

ブラウザも厳しく 19 firefox chrome

Slide 20

Slide 20 text

3.証明書の違い、選び方 -値段と信頼度など何が違うのか?-

Slide 21

Slide 21 text

暗号化通信と証明 通信相手は大丈夫?

Slide 22

Slide 22 text

3種類のサーバ証明書 ドメイン認証 企業認証 拡張認証 Domain Validation Organization Validation Extended Validation DV OV EV

Slide 23

Slide 23 text

証明書の違い ドメイン認証 企業認証 EV証明書 ドメイン名の使用権限を認証 〇 〇 〇 企業の実在性を認証 × 〇 ◎ フィッシング詐欺対策 × 〇 ◎ アドレスバーに組織名表示 × × 〇 信頼性 ★ ★★ ★★★ 費用 低 中 高

Slide 24

Slide 24 text

アドレスバーの違い 企業認証(OV)、ドメイン認証(DV)では組織名称は表示されない 拡張認証(EV)では組織名称が表示される

Slide 25

Slide 25 text

スマホブラウザでのEV証明書表示 25 iPhoneでEV Android標準ブラウザだとEVでも社名は出ない

Slide 26

Slide 26 text

証明書の違い ドメイン認証 企業認証 EV証明書 ドメイン名の使用権限を認証 〇 〇 〇 企業の実在性を認証 × 〇 ◎ フィッシング詐欺対策 × 〇 ◎ アドレスバーに組織名表示 × × 〇 信頼性 ★ ★★ ★★★ 費用 低 中 高 「ドメイン認証」は 無料から

Slide 27

Slide 27 text

3. 提案しよう! 27 会社に! クライアントに!

Slide 28

Slide 28 text

SEOの話だけだと・・・ 常時SSLにすると 検索順位が上がるようです どれくらい効果あるの? 影響あるのは 1%未満とかなんとか ● ● ● 徐々に影響が出る らしいですよ いつごろ? ● ● ●

Slide 29

Slide 29 text

常時SSLの効果  サイト閲覧者へ安全な環境を提供  サイトの信頼度UP  企業、お店の信頼度UP  検索エンジンからの信頼度UP 29

Slide 30

Slide 30 text

常時SSL化でみんなHappy! 30 制作の皆様 クライアント サイト運営者 サイト閲覧者 安全な環境の提供 安心・信頼 信頼 提案 もちろん作業費も 嬉しい! 有料の証明書だと さらに嬉しい!

Slide 31

Slide 31 text

3種類のサーバ証明書 ドメイン認証 企業認証 拡張認証 Domain Validation Organization Validation Extended Validation DV OV EV 個人はドメイン認証しか 利用できないよ 企業サイトには 企業認証かEVがオススメ 個人事業主OKの 企業認証証明書もある

Slide 32

Slide 32 text

無料デモサーバあります【ビジネスパートナー制度】 32 ビジネスパートナー制度 https://www.firstserver.co.jp/partner/ 1. ファーストサーバの ビジネスパートナー制度に登録(登録無料) 2. デモサーバを申込む(1年間無料、延長あり) 3. 自社のサイトなどを設定

Slide 33

Slide 33 text

33 もうちょっと詳しく聞きたい、相談したい方は ブースや懇親会でお気軽にお声掛けください

Slide 34

Slide 34 text

4. 【おまけ】常時SSL化するのって難しい? -いくつかのCMSでhttp→https化してみた- なるべく楽な 方法を探しつつ

Slide 35

Slide 35 text

まずはhttpsでアクセスできるように 35 証明書の申込などをしてから 【https】でアクセスしたときのドキュメントルートを設定 https://example.com/でCMSにアクセスできるように レンタルサーバによって違う (Zenlogicは結構簡単だと思う)

Slide 36

Slide 36 text

WordPressを常時SSL化

Slide 37

Slide 37 text

ダッシュボードでhttp→httpsに変更 37 ※サーバの仕様や設置ディレクトリにより注意してください

Slide 38

Slide 38 text

便利なプラグイン 38 https://ja.wordpress.org/plugins/really-simple-ssl/ リダイレクト設定を 入れたり 画像のパスとかを 変更してくれる

Slide 39

Slide 39 text

EC-CUBE3を常時SSL化

Slide 40

Slide 40 text

EC-CUBE 40 https://管理画面のURL/にアクセス 設定>>システム設定>> セキュリティ管理

Slide 41

Slide 41 text

EC-CUBE 41 https://管理画面のURLで入りなおすと 「SSLを強制」 にチェックが入れられる。 チェックを入れて設定ボタンを押下 http://管理画面のURLでアクセスしていると 設定できない

Slide 42

Slide 42 text

concrete5(5.7) を常時SSL化

Slide 43

Slide 43 text

アドオンを利用する 43

Slide 44

Slide 44 text

アドオンを利用する 44

Slide 45

Slide 45 text

concrete5 45 常時SSLにする場合は 管理画面で「* (ワイルドカード)」のみ入力して保存する

Slide 46

Slide 46 text

concrete5 46 画像のURLもhttpsになり エラーが解消 すべてのURLでhttp→httpsへ リダイレクトされる

Slide 47

Slide 47 text

a-blog cmsを常時SSL化 47

Slide 48

Slide 48 text

a-blog cms 48 http://developer.a-blogcms.jp/blog/function/fulltime_ssl_enable.html

Slide 49

Slide 49 text

config.server.php 49 この2行の値を「0」から「1」に変更するのみ a-blog cms

Slide 50

Slide 50 text

MODXを常時SSL化する 50

Slide 51

Slide 51 text

MODX 51 ここだけでは リダイレクトされなかった

Slide 52

Slide 52 text

プラグインがありました 52 https://github.com/soushi/MODX_SSLSwitcher

Slide 53

Slide 53 text

Baser CMSを常時SSL化する 53

Slide 54

Slide 54 text

baser CMS 54 プラグインは見つけられず。 リダイレクトなどは自分で設定する必要がありそう。 サイト設定>>オプション ココだけではダメだった

Slide 55

Slide 55 text

blog記事がありました 55 https://hiniarata.jp/news/archives/8 [baserCMS].htaccessを編集してSSL通信を常態化(常時SSL)する

Slide 56

Slide 56 text

56 Joomlaを常時SSL化する

Slide 57

Slide 57 text

どのCMSでも共通してやること  httpとの混在を無くす 画像などのURL変更 テンプレート内の記述の確認 読込みを行っている外部サービスの確認 アフィリエイト広告には注意  運用面での変更 Google Analytics Google Search Console などなど 57

Slide 58

Slide 58 text

どのCMSでも共通してやること 58 とりあえず【https】でアクセス できるようにするのは簡単 でも チェックや設定変更など やることは結構ある!

Slide 59

Slide 59 text

59 もうちょっと詳しく聞きたい、相談したい方は ブースや懇親会でお気軽にお声掛けください

Slide 60

Slide 60 text

https://zenlogic.jp/