Lock in $30 Savings on PRO—Offer Ends Soon! ⏳

ZOZOTOWN HTTPS化におけるSREチームのアプローチ/SRE team approa...

Avatar for takumi takumi
May 23, 2019
Technology
0
1.1k

ZOZOTOWN HTTPS化におけるSREチームのアプローチ/SRE team approach in ZOZOTOWN full HTTPS support

Avatar for takumi

takumi

May 23, 2019
Tweet

More Decks by takumi

See All by takumi
システムリプレイスプロジェクト発足から7年、改めてコスト最適化に向き合う / replace and cost optimization
Avatar for takumi takumi
1
1.9k

Other Decks in Technology

See All in Technology
AI活用によるPRレビュー改善の歩み ― 社内全体に広がる学びと実践
Avatar for LINEヤフーTech (LY Corporation Tech) lycorptech_jp
PRO
1
190
形式手法特論:CEGAR を用いたモデル検査の状態空間削減 #kernelvm / Kernel VM Study Hokuriku Part 8
Avatar for y_taka_23 ytaka23
2
450
寫​了​幾年​ Code,​然後​呢?​軟體​工程師​必須重新​認識​的​ DevOps
Avatar for Cheng-Wei Chen cheng_wei_chen
1
1.2k
Playwrightのソースコードに見る、自動テストを自動で書く技術
Avatar for Yusuke Iwaki yusukeiwaki
13
5.1k
Snowflakeでデータ基盤を もう一度作り直すなら / rebuilding-data-platform-with-snowflake
Avatar for pei0804 pei0804
4
990
打 造 A I 驅 動 的 G i t H u b ⾃ 動 化 ⼯ 作 流 程
Avatar for Bo-Yi Wu appleboy
0
190
学習データって増やせばいいんですか?
Avatar for fumihiko takahashi ftakahashi
2
280
モダンデータスタック (MDS) の話とデータ分析が起こすビジネス変革
Avatar for suto sutotakeshi
0
440
世界最速級 memcached 互換サーバー作った
Avatar for yasukata yasukata
0
330
AWS CLIの新しい認証情報設定方法aws loginコマンドの実態
Avatar for wkm2 wkm2
6
640
EM歴1年10ヶ月のぼくがぶち当たった苦悩とこれからへ向けて
Avatar for maaaato maaaato
0
270
Debugging Edge AI on Zephyr and Lessons Learned
Avatar for misoji engineer iotengineer22
0
140

Featured

See All Featured
Faster Mobile Websites
Avatar for Dean Hume deanohume
310
31k
Rebuilding a faster, lazier Slack
Avatar for samanthasiow samanthasiow
84
9.3k
Side Projects
Avatar for Sacha Greif sachag
455
43k
Thoughts on Productivity
Avatar for Jon Yablonski jonyablonski
73
5k
How to Think Like a Performance Engineer
Avatar for Harry Roberts csswizardry
28
2.4k
Git: the NoSQL Database
Avatar for Brandon Keepers bkeepers
PRO
432
66k
Building Adaptive Systems
Avatar for Chris Keathley keathley
44
2.9k
Templates, Plugins, & Blocks: Oh My! Creating the theme that thinks of everything
Avatar for Michelle Schulp Hunt marktimemedia
31
2.6k
Become a Pro
Avatar for Speaker Deck speakerdeck
PRO
31
5.7k
Making Projects Easy
Avatar for Brett Harned brettharned
120
6.5k
Designing Dashboards & Data Visualisations in Web Apps
Avatar for Des Traynor destraynor
231
54k
[Rails World 2023 - Day 1 Closing Keynote] - The Magic of Rails
Avatar for Eileen M. Uchitelle eileencodes
37
2.6k

Transcript

  1. Copyright © ZOZO Technologies, Inc. All Rights Reserved. 株式会社ZOZOテクノロジーズ 開発部

    SREチーム 横田 工 ZOZOTOWN HTTPS化におけるSREチームのアプローチ

  2. Copyright © ZOZO Technologies, Inc. All Rights Reserved. プロフィール ・株式会社スタートトゥデイ(現(株)ZOZO)に2013年新卒入社

    ・社内インフラ経験を2年程経てECサイト側インフラ担当へ ・オンプレ環境のサーバー・NWの運用を担当 ZOZOテクノロジーズ 開発部 SREチーム 横田 工

  3. Copyright © ZOZO Technologies, Inc. All Rights Reserved. ◦ 日本最大級のファッションショッピングサイト/アプリ

    ◦ 1,100以上のショップ、6,900以上のブランドの取り扱い (2018年9月末時点) ◦ 常時65万点以上の商品アイテム数と毎日平均3,100点以上の新 着商品を掲載 ◦ 即日配送サービス / ギフトラッピングサービス / ツケ払い な ど http://zozo.jp/

  4. Copyright © ZOZO Technologies, Inc. All Rights Reserved. ◦ 日本最大級のファッションコーディネートアプリ

    ◦ 1,200万ダウンロード突破、コーディネート投稿総数は800万件以 上(ともに2018年9月末時点) ◦ 全世界(App Store / Google playが利用可能な全ての国)でダ ウンロードが可能 ◦ 10万人以上のフォロワーを持つユーザー(WEARISTA)も誕生 https://wear.jp/

  5. Copyright © ZOZO Technologies, Inc. All Rights Reserved. ◦ 当社が独自に開発した採寸用ボディースーツ

    ◦ 全体に施されたドットマーカーをスマートフォンカメラで360度撮 影することで、体型データを計測 ◦ 計測した体型データは、瞬時に3Dモデル化され、ZOZOTOWNア プリに保存。3Dモデルはあらゆる角度に動かすことができ、体型を 360度チェックすることが可能 https://zozo.jp/zozosuit/

  6. Copyright © ZOZO Technologies, Inc. All Rights Reserved. ◦「ZOZOSUIT」で計測した体型データをもとに、一人ひとりの体型 に合った「あなたサイズ」のアイテム

    ◦「究極のフィット感」を実現したベーシックアイテムを提供 ◦ グローバルサイト「ZOZO.com」で海外展開 ◦ アイテム : Tシャツ、デニムパンツ、シャツ、ビジネススーツ、 ネクタイ、ボーダーTシャツ、長袖クルーネックTシャツ など https://zozo.jp/pb/

  7. Copyright © ZOZO Technologies, Inc. All Rights Reserved. HTTPS化におけるSREチームの取り組みについて ・SSL/TLSの向上

    ・HTTPS化に耐えうるインフラ構成への変更 2019年3月にZOZOTOWN(PC版・スマートフォン版サイト)のHTTPS化を実施 インフラ担当者としての取り組みについて紹介

  8. Copyright © ZOZO Technologies, Inc. All Rights Reserved. そもそもなぜサイトをHTTPS化するのか? ・各ブラウザ表示でのイメージダウン

    ・HTTP/2対応などが実現できる環境づくり ・SEOに与える影響

  9. Copyright © ZOZO Technologies, Inc. All Rights Reserved. →様々な理由・メリットが存在するが 自分たちの1番の目的は

    「ユーザーに安心してサイトをご利用いただくこと」

  10. Copyright © ZOZO Technologies, Inc. All Rights Reserved. Connection/Key Exchange

    RSA Forward Secrecy (ECDHE) SSL通信のおさらい

  11. Copyright © ZOZO Technologies, Inc. All Rights Reserved. SSL通信のおさらい 公開鍵・・・復号には秘密鍵が必要

    秘密鍵・・・公開鍵の復号に必要 共通鍵・・・暗号と復号にこの鍵を使う

  12. Copyright © ZOZO Technologies, Inc. All Rights Reserved. 将来・・・ 秘密鍵

    GET! 秘密鍵から 共通鍵GET! SSL通信のおさらい

  13. Copyright © ZOZO Technologies, Inc. All Rights Reserved. SSL通信のおさらい クライアントとサーバー側で使い捨ての公開鍵と秘密鍵を持つ

    Forward Secrecy (ECDHE)

  14. Copyright © ZOZO Technologies, Inc. All Rights Reserved. これまでのZOZOTOWN HTTPS化されたページはログインページなど一部のみ

  15. Copyright © ZOZO Technologies, Inc. All Rights Reserved. これまでのZOZOTOWN 一部しかなかった保護されたページに関しても気になる点が・・・

    Google Chrome Developer Tool Securityパネル

  16. Copyright © ZOZO Technologies, Inc. All Rights Reserved. これまでのZOZOTOWN 一部しかなかった保護されたページに関しても気になる点が・・・

    SSL Labs(https://www.ssllabs.com/)での判定

  17. Copyright © ZOZO Technologies, Inc. All Rights Reserved. これまでのZOZOTOWN 一部しかなかった保護されたページに関しても気になる点が・・・

    SSL Labs(https://www.ssllabs.com/)での判定 →サイトHTTPS化と並行してSSL/TLSアルゴリズムを見直そう! そしてSSL評価をA判定まで持っていこう! SSL Labs(https://www.ssllabs.com/)での判定

  18. Copyright © ZOZO Technologies, Inc. All Rights Reserved. 見直しとしては以下を実施することに決定 ①鍵交換の優先順位をRSA→ECDHE方式に変更する

    ②不要なCiphers等を精査する さらに、インフラ構成の見直しを行う SSL/TLSの向上

  19. Copyright © ZOZO Technologies, Inc. All Rights Reserved. HTTPS化に耐えうるインフラ構成への変更

  20. Copyright © ZOZO Technologies, Inc. All Rights Reserved. HTTPS化に耐えうるインフラ構成への変更 ・構成変更前の懸念点

    FW兼LBの役割が多く、サイトHTTPS化前からも アクセスの多い時期にはある程度の負荷状況が計測されていた

  21. Copyright © ZOZO Technologies, Inc. All Rights Reserved. HTTPS化に耐えうるインフラ構成への変更 ・構成変更前の懸念点

    FW兼LBの役割が多く、サイトHTTPS化前からも アクセスの多い時期にはある程度の負荷状況が計測されていた →SSLの復号ポイントを変更し、スケールアウトが取れる構成への変更を決意 またSSL復号機器はECDHE-RSAの処理に特化した製品へ入替を決意

  22. Copyright © ZOZO Technologies, Inc. All Rights Reserved. HTTPS化に耐えうるインフラ構成への変更

  23. Copyright © ZOZO Technologies, Inc. All Rights Reserved. HTTPS化に耐えうるインフラ構成への変更 なるべく、本番に近い通信を・・・

    スループットやRequest量、Cookie長やWAF検知量など、このあたりはパートナーとも協力 構成の変更後、ピーク時のアクセスを捌ききれるか(且つECDHE系の鍵交換) →アクセス量ピーク時を想定した負荷試験を実施(1/N) 負荷試験にあたり専用の機器をレンタルした

  24. Copyright © ZOZO Technologies, Inc. All Rights Reserved. 構成変更の結果・・・ 当日のSSL復号機器の負荷はほぼ想定通り

    負荷試験を行ったことで、HTTPS化当日は精神的にもかなり余裕がある状態で迎えられた さらに今後どの程度の成長まで既存の環境で耐えられるかの目途にもなる

  25. Copyright © ZOZO Technologies, Inc. All Rights Reserved. Ciphers見直しの結果・・・ Google

    Chrome Developer ToolのSecurityパネルもAllGreen SSL Labsの評価はB判定→A判定に(そもそもHTTP時代はF・・・)

  26. Copyright © ZOZO Technologies, Inc. All Rights Reserved. 今後・・・ より安全なサイトにするためにできることはまだまだある

    また、HTTPS化を行った事で取り組んでいけるようになったことなども 自分たちからの提案や、開発チームからの依頼を受けた際に迅速に対応できる準備を ご清聴ありがとうございました!