ZOZOTOWN HTTPS化におけるSREチームのアプローチ/SRE team approach in ZOZOTOWN full HTTPS support

Copyright © ZOZO Technologies, Inc. All Rights Reserved. 株式会社ZOZOテクノロジーズ開発部
SREチーム横田工 ZOZOTOWN HTTPS化におけるSREチームのアプローチ

Copyright © ZOZO Technologies, Inc. All Rights Reserved. プロフィール・株式会社スタートトゥデイ(現(株)ZOZO)に2013年新卒入社
・社内インフラ経験を2年程経てECサイト側インフラ担当へ・オンプレ環境のサーバー・NWの運用を担当 ZOZOテクノロジーズ開発部 SREチーム横田工

Copyright © ZOZO Technologies, Inc. All Rights Reserved. ◦ 日本最大級のファッションショッピングサイト/アプリ
◦ 1,100以上のショップ、6,900以上のブランドの取り扱い（2018年9月末時点） ◦ 常時65万点以上の商品アイテム数と毎日平均3,100点以上の新着商品を掲載 ◦ 即日配送サービス / ギフトラッピングサービス / ツケ払いなど http://zozo.jp/

Copyright © ZOZO Technologies, Inc. All Rights Reserved. ◦ 日本最大級のファッションコーディネートアプリ
◦ 1,200万ダウンロード突破、コーディネート投稿総数は800万件以上（ともに2018年9月末時点） ◦ 全世界（App Store / Google playが利用可能な全ての国）でダウンロードが可能 ◦ 10万人以上のフォロワーを持つユーザー（WEARISTA）も誕生 https://wear.jp/

Copyright © ZOZO Technologies, Inc. All Rights Reserved. ◦ 当社が独自に開発した採寸用ボディースーツ
◦ 全体に施されたドットマーカーをスマートフォンカメラで360度撮影することで、体型データを計測 ◦ 計測した体型データは、瞬時に3Dモデル化され、ZOZOTOWNアプリに保存。3Dモデルはあらゆる角度に動かすことができ、体型を 360度チェックすることが可能 https://zozo.jp/zozosuit/

Copyright © ZOZO Technologies, Inc. All Rights Reserved. ◦「ZOZOSUIT」で計測した体型データをもとに、一人ひとりの体型に合った「あなたサイズ」のアイテム
◦「究極のフィット感」を実現したベーシックアイテムを提供 ◦ グローバルサイト「ZOZO.com」で海外展開 ◦ アイテム : Ｔシャツ、デニムパンツ、シャツ、ビジネススーツ、ネクタイ、ボーダーＴシャツ、長袖クルーネックＴシャツなど https://zozo.jp/pb/

Copyright © ZOZO Technologies, Inc. All Rights Reserved. HTTPS化におけるSREチームの取り組みについて・SSL/TLSの向上
・HTTPS化に耐えうるインフラ構成への変更 2019年3月にZOZOTOWN(PC版・スマートフォン版サイト)のHTTPS化を実施インフラ担当者としての取り組みについて紹介

Copyright © ZOZO Technologies, Inc. All Rights Reserved. そもそもなぜサイトをHTTPS化するのか？・各ブラウザ表示でのイメージダウン
・HTTP/2対応などが実現できる環境づくり・SEOに与える影響

Copyright © ZOZO Technologies, Inc. All Rights Reserved. →様々な理由・メリットが存在するが自分たちの1番の目的は
「ユーザーに安心してサイトをご利用いただくこと」

Copyright © ZOZO Technologies, Inc. All Rights Reserved. Connection/Key Exchange
RSA Forward Secrecy (ECDHE) SSL通信のおさらい

Copyright © ZOZO Technologies, Inc. All Rights Reserved. SSL通信のおさらい公開鍵･･･復号には秘密鍵が必要
秘密鍵･･･公開鍵の復号に必要共通鍵･･･暗号と復号にこの鍵を使う

Copyright © ZOZO Technologies, Inc. All Rights Reserved. 将来･･･秘密鍵
GET！秘密鍵から共通鍵GET！ SSL通信のおさらい

Copyright © ZOZO Technologies, Inc. All Rights Reserved. SSL通信のおさらいクライアントとサーバー側で使い捨ての公開鍵と秘密鍵を持つ
Forward Secrecy (ECDHE)

Copyright © ZOZO Technologies, Inc. All Rights Reserved. これまでのZOZOTOWN 一部しかなかった保護されたページに関しても気になる点が･･･
Google Chrome Developer Tool Securityパネル

SSL Labs(https://www.ssllabs.com/)での判定

SSL Labs(https://www.ssllabs.com/)での判定 →サイトHTTPS化と並行してSSL/TLSアルゴリズムを見直そう！そしてSSL評価をA判定まで持っていこう！ SSL Labs(https://www.ssllabs.com/)での判定

Copyright © ZOZO Technologies, Inc. All Rights Reserved. HTTPS化に耐えうるインフラ構成への変更・構成変更前の懸念点
FW兼LBの役割が多く、サイトHTTPS化前からもアクセスの多い時期にはある程度の負荷状況が計測されていた →SSLの復号ポイントを変更し、スケールアウトが取れる構成への変更を決意またSSL復号機器はECDHE-RSAの処理に特化した製品へ入替を決意

Copyright © ZOZO Technologies, Inc. All Rights Reserved. HTTPS化に耐えうるインフラ構成への変更なるべく、本番に近い通信を･･･
スループットやRequest量、Cookie長やWAF検知量など、このあたりはパートナーとも協力構成の変更後、ピーク時のアクセスを捌ききれるか(且つECDHE系の鍵交換) →アクセス量ピーク時を想定した負荷試験を実施(1/N) 負荷試験にあたり専用の機器をレンタルした

ZOZOTOWN HTTPS化におけるSREチームのアプローチ/SRE team approa...

ZOZOTOWN HTTPS化におけるSREチームのアプローチ/SRE team approach in ZOZOTOWN full HTTPS support

takumi

More Decks by takumi

Other Decks in Technology

Featured

Transcript

Copyright © ZOZO Technologies, Inc. All Rights Reserved. 株式会社ZOZOテクノロジーズ開発部

Copyright © ZOZO Technologies, Inc. All Rights Reserved. プロフィール・株式会社スタートトゥデイ(現(株)ZOZO)に2013年新卒入社

Copyright © ZOZO Technologies, Inc. All Rights Reserved. ◦ 日本最大級のファッションショッピングサイト/アプリ

Copyright © ZOZO Technologies, Inc. All Rights Reserved. ◦ 日本最大級のファッションコーディネートアプリ

Copyright © ZOZO Technologies, Inc. All Rights Reserved. ◦ 当社が独自に開発した採寸用ボディースーツ

Copyright © ZOZO Technologies, Inc. All Rights Reserved. ◦「ZOZOSUIT」で計測した体型データをもとに、一人ひとりの体型に合った「あなたサイズ」のアイテム

Copyright © ZOZO Technologies, Inc. All Rights Reserved. HTTPS化におけるSREチームの取り組みについて・SSL/TLSの向上

Copyright © ZOZO Technologies, Inc. All Rights Reserved. そもそもなぜサイトをHTTPS化するのか？・各ブラウザ表示でのイメージダウン

Copyright © ZOZO Technologies, Inc. All Rights Reserved. →様々な理由・メリットが存在するが自分たちの1番の目的は

Copyright © ZOZO Technologies, Inc. All Rights Reserved. Connection/Key Exchange

Copyright © ZOZO Technologies, Inc. All Rights Reserved. SSL通信のおさらい公開鍵･･･復号には秘密鍵が必要

Copyright © ZOZO Technologies, Inc. All Rights Reserved. 将来･･･秘密鍵

Copyright © ZOZO Technologies, Inc. All Rights Reserved. SSL通信のおさらいクライアントとサーバー側で使い捨ての公開鍵と秘密鍵を持つ

Copyright © ZOZO Technologies, Inc. All Rights Reserved. これまでのZOZOTOWN HTTPS化されたページはログインページなど一部のみ

Copyright © ZOZO Technologies, Inc. All Rights Reserved. これまでのZOZOTOWN 一部しかなかった保護されたページに関しても気になる点が･･･

Copyright © ZOZO Technologies, Inc. All Rights Reserved. これまでのZOZOTOWN 一部しかなかった保護されたページに関しても気になる点が･･･

Copyright © ZOZO Technologies, Inc. All Rights Reserved. これまでのZOZOTOWN 一部しかなかった保護されたページに関しても気になる点が･･･

Copyright © ZOZO Technologies, Inc. All Rights Reserved. 見直しとしては以下を実施することに決定 ①鍵交換の優先順位をRSA→ECDHE方式に変更する

Copyright © ZOZO Technologies, Inc. All Rights Reserved. HTTPS化に耐えうるインフラ構成への変更

Copyright © ZOZO Technologies, Inc. All Rights Reserved. HTTPS化に耐えうるインフラ構成への変更・構成変更前の懸念点

Copyright © ZOZO Technologies, Inc. All Rights Reserved. HTTPS化に耐えうるインフラ構成への変更・構成変更前の懸念点

Copyright © ZOZO Technologies, Inc. All Rights Reserved. HTTPS化に耐えうるインフラ構成への変更

Copyright © ZOZO Technologies, Inc. All Rights Reserved. HTTPS化に耐えうるインフラ構成への変更なるべく、本番に近い通信を･･･

Copyright © ZOZO Technologies, Inc. All Rights Reserved. 構成変更の結果･･･当日のSSL復号機器の負荷はほぼ想定通り

Copyright © ZOZO Technologies, Inc. All Rights Reserved. Ciphers見直しの結果･･･ Google

Copyright © ZOZO Technologies, Inc. All Rights Reserved. 今後･･･より安全なサイトにするためにできることはまだまだある