ServersMan@VPSブログセットの問題点⑤/SSL認証

SSL認証への道eyecatch ServersMan@VPS
2021.06.08
この記事は約9分で読めます。

備忘録_44 / ServersMan@VPS_16 / SSL証明編 1⃣

皆さんはサイトを開こうとした矢先にブラウザから、
「⛔ この web サイトのセキュリティ証明書には問題が有ります
「⛔ この接続ではプライバシーが保護されません
と言ったセキュリティの警告を受けてビックリ慌てて咄嗟にブラウザを閉じたりしたことは無いでしょうか?
今回は、証明書の話しです。

httpアドレス
[図 1]
httpsアドレス
[図 2]
http :

神は言っている👇変えろと、  .

https

簡潔明瞭に一言で説明すると、
小文字の s を1文字付け加えたい。

何故 s が欲しいのかを説明していくととても長く、とにかく最終的には s を1文字URLに付け加えたいのです。

SSL認証とは何か

SSL(Secure Sockets Layer)とTLS(Transport Layer Security)は、いずれもインターネットなどのコンピュータネットワークにおいてセキュリティを要求される通信を行うためのプロトコルである。主な機能として、通信相手の認証、通信内容の暗号化、改竄の検出を提供する。
via:Wikipedia_Transport Layer Security

SSL/TLSとは、インターネット上でデータを暗号化して送受信する仕組み(プロトコル)です。
SSLは脆弱性が発見されたために2014年で対応が打ち切られ、現在採用されている後継のプロトコルはTLS1.3です。しかしそのTLSを指してそのままSSLと呼ばれています。

Wikipediaの説明わかり難いですよね。ズバリ、公開鍵証明書です。メールでも使われておりますので聞いたことある方もおられるかも知れません。

公開鍵認証方式サーバーログイン方法

以前に紹介した記事ですが、仮想専用サーバーのログイン方法をパスワード入力形式を廃し、公開鍵認証方式に切り替えました。
同じ、公開鍵暗号技術が使われております。合わせてこちらも一読下さい。

一昔前はネットトラフィックの混雑も考慮して、eメールやネットショッピングのカード決済画面、サーバーのログインなど要所要所ピンポイントで使われるのみでしたが、現在の主流はサイトのページ全てをセキュアに保つ常時SSLが一般的になっております。SSL証明書はパブリック認証局によって発行されます。
私の備忘録(仮)は、オフトゥーンによって運営されており、記事もオフトゥーンによって書かれております。十分怪しいサイトですが、中に人が入っている事を、実在している事を第三者に証明してもらう仕組みがSSL認証です。
パブリック認証局が発行する電子証明書のルート証明書は、一般的なウェブブラウザやメールソフトにあらかじめ組み込まれており、ルート証明書の配布やインストールが不要なため、取引先など外部とのやり取りに電子証明書を利用する場合に煩雑な設定が必要ありません。

もちろんタダでは無く、しっかり契約料金が発生しますし、グレードも松竹梅と用意されております。

SSLサーバ証明書の種類と比較

SSLクオリティ
  1. SSL認証なし .(俗称:ザ・素人さん)
  2. 自己署名認証 (通称:オレオレ証明書)
  3. ドメイン認証 (DV:Domain Validation)
  4. 企業認証   (OV:Organization Validation)
  5. 拡張型企業認証(EV:Extended Validation)

SSLサーバ証明書には、(比較参考の為に列挙したSSL認証なしを除く)以上の4種類が存在します。
通常、ブロガーがSSL証明書と言ったときに指しているものは 3.ドメイン認証 で、私が欲しい物も同様ですが、
技術的な問題が立ちはだかり導入が無理な場合は 2.オレオレ証明書 でも致し方ないかな・・・。私のサイトはコーポレートサイトとは違いますので、4.企業認証5.拡張型企業認証を取得する予定はありません。
そこで順番が前後しますが4.5.の説明から始めます。仕組みや細かい説明は3.で掘り下げて行きます。

4⃣ 企業認証(OV) 年間¥80,000より

dream.jp
[図 4]

[図 4]
企業認証はドメイン認証に加え、会社・組織の実在性も証明します。証明書に記載される組織が法的に存在すること、またその組織が証明書に記載されるドメインの所有者であることを認証します。
法人企業、行政機関、学校法人などインターネットを主戦場としない一般企業が使います。

決済情報のやりとりは発生しないものの、なりすましを防止し、ウェブサイトの運営組織や所在地が架空でないことをユーザにきちんとアピールし信頼度をアップしたい場合に向いています。

SSL認証とは虚業でなどでは無く、実際にその企業は実在していることを証明します。

5⃣ 拡張型企業認証(EV) 年間¥16,000より

OV、DVよりも厳格な審査を受けてから発行されます。
ネットビジネスを主とする金融機関やコーポレートサイト、クオリティ情報を扱うサイトで多く利用されています。
情報伝達範囲や影響力の小さな組織ならいざ知らず、大きな影響力を持つ巨大組織ほど悪意のある第三者による信憑性なき情報の流布は社会に大きな混乱を招きかねません。
高い費用を払うだけのあり、以前は一番分かり易く目につき易いアドレスバー上部にそのサイトを運営している会社・組織名が表示されていましたが、2019年9月公開のChrome 77より仕様変更でこの機能はオミットされました。
名前をでかでかとドヤ顔で表示させること即ち超一流の証と絶賛されておりましたが、表示がオミットされたことによりOVと比べて今一つ優位性はない様に思えます。

2⃣ オレオレ証明書(PV) 無料

ちゃんとした名前がありパブリック認証に対し、こちらは「プライベート認証」または「自己認証」と呼ばれてます。
会社など限られた組織内で運用することを想定し作られた認証局です。社内で利用する全てのWEBブラウザにプライベート認証局のルート証明書をインストールする配布や設定などに手間が掛かりますが、自由に証明書を発行できるというメリットがあります。限られたネットワークで電子証明書を利用する場合は、プライベート認証局を設立し電子証明書を発行する方が便利です。
本来はイントラネットで利用される証明書なわけですが、それをインターネットで使ってしまう荒業です。その行為を「オレオレ証明」と呼ばれてます。

3⃣ ドメイン認証(DV) 無料から高くて年間¥20,000程度

ドメイン名が正しいかどうかを認証します。
私のサイトに欲しいものであり、投稿記事のメインディッシュになります。これより前の説明は言わば前振りです。
これ以降の記事で認証と言った場合、ドメイン認証(DV)のことを指していると思って下さい。以下続きます。

ドメイン認証(DV)について

検針
[図 4]

SSL認証の申請者が証明書に記載のあるドメインの使用権を所有していることを確認しのち発行される証明書で、一たび記載されたコモンネーム(URL)は偽装ができません。
この為サイトを訪れたユーザは、証明書に記載されたURLと、現在アクセスしているウェブサイトのURLを見比べ同一のURLである事を確認する事により、その実在性を確認する事ができます。

これは少なくとも申請時点は架空の存在で無く、中の人が確実に存在した説に依拠します。

独自SSLの適用の仕方

Cocoonマニュアル

パブリック認証局を探すにしても伝手もヒントもありません。困った時は神マニュアルをめくる … 。
まずはCocoonマニュアルを読んでみましょう。

httpページを簡単https化(SSL対応)する方法

Cocoonでは、httpページを手軽にhttpsサイトに対応させることができます。以下でやり方を簡単に説明します。

SSL対応する方法

サーバーでSSL対応機能を有効にする

まずはサーバー側でSSL対応機能を有効にします。
mixhostサーバーの場合は、アドレスバーのURLをhttpsにするだけです。その他のサーバーは、サーバーごとに設定方法があります。
検索エンジンで「サーバー名 SSL対応」で検索してみてください。

マニュアルを読む限り、なんだか簡単に出来ちゃいそうですね…。
サーバー側でSSL対応機能を有効にするだけの様です。

これでサクッと検索します … … 。
見つからない…、嫌な予感がします。

MyDTIのserversman@VPSコンソールパネルも探したのですがそんなスイッチはありませんでした。

独自SSLの使えるVPS一覧
エックスサーバー / ロリポップ! / さくらのレンタルサーバ / お名前.com  / スターサーバー / ヘテムル / シックスコア / コアサーバー / mixhost / wpX speed / Just-Size.Networks / JETBOY / AmazonAWS / ConoHa / XREA

調べてみたところ、こちらは独自SSLという機能との事で、現在のトレンドは有名処のレンタルサーバーはどこも当たり前の様に標準装備されているみたいです。

Cocoonマニュアルに書かれている様にボタン一つでピッとhttps化出来てしまうようです。

―――――― そして、安かろう不味かろうの我らがserversman@VPS、案の定リストには載っていないですね。 

Q. SSL利用について教えてください。

A. SSLのご利用につきましては、お客様にて証明書の取得、サーバーへの設定を行っていただきますとご利用可能でございます。
via:ユビキタスプロバイダ_DTI

DTI会員サポートのFAQより見つけました。
いくら機能有効化スイッチを探しても見つからないわけですね、最初から実装されていないのですから。

DTIではSSLサーバー証明書の代理取得や作業代行を行っていません。 ユーザー自身で証明書を取得し、サーバーに導入する必要があるようです。
物を売るってレヴェルじゃねーゾ!

何かと切っても切り離せないserversman@VPS名物の相性問題です。

独自SSLはOpenVZ仮想技術との相性が悪いとの事です。
よってserversmanは独自SSLは、

非対応・未サポート との事で他の方法を考えなくてはなりません。

serversman@VPSを使ってみた感想では、「ザ・素人」にはハードルが高いです。昔は使えていた、サーバー管理ツール(BlueOnyx)や、adminツール(serversman)も廃止され更に難易度が上がりました。

serversman@diskも有料オプション化され細かい諸々も含めると、今となっては価格の安さといったアドバンテージは薄いでしょう。「進化するVPSサービス」と銘を打ち、本当に毎月アップデートしていた頃が懐かしいです … 。

仕方が無いので、次回は自分で証明書を取得し、サーバーに導入する方法を考えます。

今回は以上です。

備忘録_05 / VPSブログセットの問題点①/PHP5.4
備忘録_06 / ブログセットの問題点②/解決への道
備忘録_12 / ブログセットの問題点③/決行前夜
備忘録_35 / ブログセットの問題点④/ドメインメール
PHP編 1⃣
PHP編 2⃣
PHP編 3⃣
domain’s mail

EyeCatch image:家の案内をする日本人女性不動産営業職 / まぽさん/photoAC