SSL

SSLの話 その3~ Plesk12拡張 Let’s Encryptはどう動く~

ノウハウ
テクニカルサポート

Plesk12に標準搭載された拡張機能Let’s Encryptについて、SSL発行のための認証方式などをまとめています。Let’s Encryptではウェブサイト用の無料のSSLサーバ証明書を取得することができます。自動更新のため管理の手間も要りません。

SSLの話 その2~SSLのここ数年の変遷~

ノウハウ
テクニカルサポート

SSL通信はセキュリティが命ですから、SSLに関連する脆弱性が発見されれば、当然よりセキュアな利用を促すように、案内が行われます。EX-CLOUDサービスがスタートして以来8年の間にも、いくつかの方針発表や変遷がありました。 SSLの仕様には ・1)ウェブサーバ側および、OSやプログラム作成元 ・2)接続元の多数のクライアントやブラウザメーカー ・3)認証局 など、複数の規格が関わっています。またSSLサーバ証明書については1年毎の更新が多いこともありますし、新しい技術仕様が生み出されても、各関連企業が、数年単位で告知し、方針を打ち出していきじわじわ浸透します。エンドユーザ側では、その変化に気づかず、大きな影響をうけませんが、ウェブ開発に携わる方ならば、なんらかのニュースは耳にしているかもしれません。ここ数年のトピックを、いくつか振り返りつつ、関連ワードも確認していきましょう。 ●EV SSLの発表 EV SSLとはブラウザに緑色のバーが表示されるタイプの企業認証型のサーバ証明書で、「ブラウザでアクセスしたら企業名も表示されて、よりわかりやすい」という利点があり、金融機関、大手ショッピングモールサイトなどでは EV SSLが使われているケースを良く見かけます。 通常のSSLサーバ証明書よりも比較的高価になるものもありますが、EX-CLOUDでも導入実績がございます。 参考サイト>EV SSLサーバ証明書 関連キーワード:【EV SSL証明書】 ●2048ビット未満(1024 ビットなど)の暗号鍵の鍵長(かぎちょう、Key Length)の証明書発行の廃止 鍵長とは暗号化のために必要なデータの長さ、ビット数のことです。鍵長が長くなれば、暗号が解読されにくくなるため、安全性を高めるため、2048ビット未満の鍵長での暗号化が廃止されました。Plesk 8の管理画面では、証明書のCSRおよび秘密鍵を発行する際、1024、2048は選択式となっておりました。Plesk11以降については2048ビットが固定となっています。 ●SHA-1からSHA-2(SHA256)への”ハッシュアルゴリズム”への移行 秘密鍵、CSR作成、および証明書について、SHA2というハッシュアルゴリズム型式を選択することが、推奨されるようになりました。当社発行のCSR、秘密鍵、証明書についても、2014年の一定時期から対応しています。 >SSLの署名アルゴリズムのSHA-1からSHA-2への移行ついてと端末別対応率について教えてください >SSL証明書の署名アルゴリズムがSHA-2(SHA256)に変更となる場合のCSRの作成方法は変わりますか? ●SNI(Server Name Indication)でのサーバ証明書の事例の増加 IPアドレスとコモンネームに対してユニークなサーバ証明書を発行するのではなく、コモンネームベースでサーバ証明書を適応する技術仕様がSNIで、当サービスではRS1などで、より手軽にサーバ証明書を適応する方が増えてきています。OpenSSLやApacheバージョンの仕様により、対応可否が決まります。 関連キーワード:【SNI(エスエヌアイ) 】 ●GoogleがHTTPSを優先インデックス化すると発表 >Indexing HTTPS pages by default - Google Webmaster Central Blog (英語) Googleはユーザのセキュリティのために、ウェブアクセスの際、HTTPSを優先的に選択する方針を発表しています。 この内容を受けて、ウェブサーバ運営側も、これまで「HTTP用」「HTTPS用」とドキュメントルートを分けて運用せず、運用するように切り替えた、という方も多いかもしれません。 Plesk8の仕様では、HTTP用、HTTPS用のドキュメントルートを分けて運用する形を選択できる仕様でしたが、Plesk11ではHTTPもHTTPSも同じドキュメントルートになる状況になっています。 関連キーワード:【HSTS(エイチエスティーエス)】【HTTPS Everywhere】 ●SSL 3.0の脆弱性と「POODLE」の対策 CVE-2014-3566 もちろん、これ以外にもSSLに関連する脆弱性のニュースもありますが、SSL規格に影響する大きなトピックでした。 Plesk8、Plesk11搭載の仮想専用サーバについての対応方法は以下をご参照ください。 >SSL 3.0の脆弱性「POODLE」の対策について EX-CLOUD メンテナンス・障害情報ブログ 関連キーワード:【TLS(ティーエルエス)】 ●SSLv2.0 の脆弱性「DROWN」CVE-2016-0800 こちらは比較的直近ののSSL 2.0の脆弱性のトピックです。 >SSLv2.0 の脆弱性「DROWN」の対応について EX-CLOUD メンテナンス・障害情報ブログ ●まとめ ここ数年において、SSLの規格も変化しています。 セキュリティの仕様を最新のものに限定すれば、自分のサーバについては攻撃されにくくなるかもしれません。ただし、通信は相手があってはじめて成り立つものですので、たとえば、脆弱性のあるバージョンでないと通信ができない仕様のクライアントやサーバが外部にあったら、自分のサーバのバージョンアップにより、別の通信エラーが生じるということもありえます。 セキュリティ対策一般に言えることですが、最終的に何を重視し、どう選択していくのか、専用サーバをご利用されている各社様でも対応策が異なるというのが実情です。 また、SSL証明書の商品の世界シェアについても大きく変動し、企業の再編成なども多く行われてきました。 SSL証明書については「より安く、すべてのウェブサービスにSSLを提供し、暗号化通信を実現しよう」という動きと「多少これまでのSSLよりは手間やコストがかかったとしても、もっとわかりやすく”誰でもわかる”企業認証の規格を広めよう」という動き、両方があるように思えます。 次回は無料でもブラウザエラーがでない証明書についてお話しようと思います。

SSLの話 その1~いまさら聞けないキーワード~

ノウハウ
テクニカルサポート

ウェブサイトの運営、特にオンラインストアなどを運営される場合、ドメインはもちろん、SSLサーバ証明書は切っても切り離せないものですが、「手続き」がよくわからないからつい、SSLについては、倦厭(けんえん)しがちという方も多いとは思います。ドメインの登録、移管、SSLサーバ証明書の新規取得については「技術」というより「手続き」的なことが多く関係しているのは確かですが、今回の「その1」では基本的なキーワードを整理し、次回の「その2」ではSSLサーバ証明書のここ数年のトピックについてもあわせて整理してみましょう。 SSLとは? いまさら、というところもありますが、SSLは ネットワーク上で暗号化での送受信を実現するための手法です。一番知られていて目に触れるのは HTTPS = HTTP over SSL (SSL暗号化したHTTP) ですが、 それ以外にもメールサービスではFTP over SSL(SSL暗号化したFTP) なども知られています。 昨今ではPCからだけではなくスマートフォン端末からアプリ経由でアクセスすることも多いため、なかなかサイトのURLが「HTTPなのか、HTTPSなのか」意識しなくなっていることも多いかもしれません。HTTPSは インターネットブラウザ経由では「南京錠」マークでお馴染みです。 関連キーワード:【SSL(エスエスエル) 】 HTTPSについて HTTPS は、HTTPと同様にApache等のウェブサーバ側で設定して起動するものです。 HTTPS通信を実現するには、ウェブサーバの設定ファイルにて、443番ポートをオープンする以外に ・1)「デジタルのサーバ証明書ファイル」 ・2)「証明書とペアになる秘密鍵ファイル」 ・3)「証明書を発行した機関の公開している中間CA証明書」 を搭載するなどの設定をする形になります。 最初はこの手のSSL専門用語に面食らってしまう、、というところもありますが、見慣れるしかありません。 関連キーワード: ■申請時に関連するもの 【認証局】【コモンネーム】【ディスティングイッシュネーム】【CSR(シーエスアール) 】【秘密鍵】 【OpenSSL(オープンエスエスエル)】【鍵長(かぎちょう)】【SHA(エスエイチエー)】 ■インストール時に必要となるもの 【秘密鍵】【サーバ証明書】【CA中間証明書】 ■証明書比較や仕様確認の際でよく出てくる用語 【ドメイン認証】【企業認証】【自己署名証明書】【ワイルドカード証明書】【(サーバ証明書の)ライセンス】【SSLクーポン】 申請からインストールをざっくり振り返るとこんな流れです。 次回はSSL関連のここ数年のニュースと関連ワードについて振り返ろうと思います。

SSLサーバ証明書のSHA-2への対応について

ノウハウ
テクニカルサポート

SSLサーバ証明書のSHA-2への対応について。各認証局がアナウンスをしている、ハッシュアルゴリズム「SHA-2」への移行に関する参考情報をご紹介します。SSLサーバ証明書において、root権限を提供しているサービスをご利用のお客様向けにまとめてあります。

ページトップへ