ノラWEB屋 野良人(のらんど)- 個人営業のWEB屋さん

レンタルサーバ初心者講座②「SSLについて」に参加しました

2018年4月20日

レンタルサーバー各社共催のSSL講座に参加しにさくらインターネットのオフィスにお邪魔してきました。

これです↓

レンタルサーバ初心者講座②「SSLについて」 – connpass

3月頭のイベント、ようやく投稿にしました。なぜ今更かというと、このブログがSSL未対応だったからで、非SSLサイトでこのネタを書くのもダサいなぁと思って後回しになっていました。どのみちダサいので記憶の新しいうちにまとめておけばよかった気はします。

以下、メモ書きです。

    イベントについて

    • 関西レンタルサーバーフォーラム…CS部門の集まり。ユーザーとの認識・知識のギャップを埋める目的でセミナーなど開催。会社によっては商売っ気もけっこうある感じ。
    • セキュリティまわりは最近わりと興味あって勉強せねばと思っていて、レンサバ各社合同のセミナーということで面白そうだなーと思って行ってきました。
    • 会場はさくらインターネットのオフィス。グランフロント35階。バーカウンターがある。オシャレか。
    • 全体にデザインやプログラムの勉強会と層が違う?Mac率が低め。

    当日の資料

    krf_ueki’s Presentations on SlideShare

    セッション1『無料SSLって本当に大丈夫?』

    エックスサーバー株式会社 堀江 圭介さんのセッション。

    • SSLで提供する機能:機密性・完全性・真正性
    • TLSについて
    • 証明書について:ルート証明書・中間証明書・サーバー証明書
    • 通信の暗号化で防げること:情報漏洩・改竄・サーバーの詐称
    • これらの機能はどの証明書ブランドにも備わっている
    • ブランドの違い≒認証局の違い:暗号化・セキュリティ強度に違いはない/証明書の認証方法の違い
    • 無料SSL:Let’s Encrilit/標準独自SSL…ドメイン認証のみ/サイトシール非提供
    • 証明書の期限…基本的にサーバー証明書のもの。他2つはめっちゃ長いし、アップデートは端末のOSアップデート等と併せて行われるので基本的に気にする必要はない。

    セッション2『常時SSL化ってなんのため?』

    カゴヤ・ジャパン株式会社 平川 元一さんのセッション。

    • フォームだけSSL→常時SSLへ(やらなくてもよかった時代からやらなければ困る時代へ)
    • ユーザーの安心感…本物かどうか見極められる/ブラウザの警告
    • SEOの評価
    • メールサーバーのSSL化…メールアドレスのコモンネームに対して証明書・暗号化

    [参考]

    【図解】SSLとは?仕組み・TLSとの違いや導入方法を解説します | カゴヤのサーバー研究室

    セッション3『SSL証明書申請の時に気を付けたいこと』

    さくらインターネット株式会社 中田 ひとみさんのセッション。

    • 事務的な注意点
    • DV/OV/EV認証:安全性は変わらない→審査が厳しく信頼性が高い
    • DV/OVはアドレスバー一緒・証明書情報が異なる
    • わりとOV以上の手続きで必要な内容。ボタンポチポチで設定する無料独自SSLの設定ではあんま見たことない。

    セッション4『安心できるWebサイトにするには』

    ファーストサーバ株式会社 小島 健司さんのセッション。

    • 通信経路の安全性/本人かどうか
    • chorome68から非SSLサイトに「保護されていません」の警告…今年の夏(7月)くらい?→期限が切られている!
    • 悪いサイトも当然SSL化するので、無料/格安SSLの信頼度は下がっていく
    • ホモグラフ攻撃
    • CDNを使っていると証明書のコモンネームとドメインが違って素人目に怪しく見えてしまう…。
    • 法人サイトでwhoisガードするのはよくない(怪しい)
    • SSL化の有無などは当然になってくる。信頼度を高めるにはいろいろしっかりやっとく必要がある。ニセモノが出た時に「ココをチェックしてね!」といえるように。サイトシールとか。
    • 大手企業でもミスってるケース多い(リダイレクトされない・混在コンテンツなど・短縮URLでスパム扱い等)

    セッション5『SSL証明書と認証局のこれから』

    サイバートラスト社 坂本 勝さんのセッション。

    • 証明書の発行については認証局やブラウザベンダーで構成される業界団体で規制を策定している
    • ブラウザベンダーからも要望を出す
    • 日本のSSL化の潮流は世界の2年遅れ

    質疑や懇親会

    質疑応答ののち、ドリンク片手に懇親会。ためになる話をきけました。

    • メールサーバーの証明書→SSL化について認証局側のルール作りが進んでいる
    • chorome/FF以外のブラウザはどうか→この2つを他のブラウザが追従するかたちなので、他のブラウザが突然違うことする恐れはほとんどない。
    • SSLは情緒。EV認証も「かっこいいから」で取る人も結構いる。
    • 高速化で最も手っ取り早く効果が上がるのはコンテンツの整理(特に画像)による軽量化。サーバーの強化は割と力業

    よくある問合わせ

    クライアントワークで対応できるように、サーバー各社によくある問合わせを質問してみました。

    • サーバー会社やプランによって実装が違うこと基づく問い合わせ
    • 申請したらすぐつかえると思ってる
    • 画像やスクリプトのURLが非SSL混在コンテンツで鍵マークがつかない
    • いいねがゼロに戻る(プラグインとかで対応できるものもある)
    • サポートのレベルが会社で違う
    • www有無

    まとめ

    「SSLは情緒」という名言。最低限SSL化できていれば、証明書の種類によって暗号化の強度は変わらず、そこから先は信頼感という気持ちの問題…。

    あとグランフロントのオフィスがキレイで、こういう場所で働いていたら意識もシャキッとしたりフワッとしたり、環境に影響を受けるんだろうなーと漠然と感じたり。

    今後はSSL化も含めてご提案をしていかねばならんと思うので、サーバー会社各社の対応方法などもきちんと押さえておこうと思います。

    このエントリーをはてなブックマークに追加