サイトを常時sslにして4年

ちょうど4年前、

googleが常時sslのアルゴリズムの導入の発表と全サイトのhttps化を目指すことを発表しました。

その時にはNginx,apache2.2,2.4とやっておりまして、

これらのサーバーをhttpsにする方法をしらべてみたんですけどね。

当時は今ほどhttpsへの資料がなくサーバー証明書の情報や

SNIに対応していないブラウザやサーバーも多く

導入に大変苦労しておりました。証明書のインストール方法もよくわからず

認証局からサーバー証明書を購入してその日こわしてしまったのはいい思い出です。

お陰様で盆休みはこれでおわってしまいましたねw

サーバー証明書を簡単に説明しましょう

第1にサーバー証明書種類

EV,企業,ドメインと3つのタイプがあります。

EVなんかは審査も厳しくお金も高いしそうそう簡単には個人では手に入りません。

色々な書類の提出やら審査もあったとおもいます。

そのかわりブラウザで緑になるという特典付きです。

まっとうな企業なら導入するでしょう。

企業の方も名前だけであんまり正直みたことはありません。

サイトによるとこれも色々提出する書類があったりします。

最後のドメインは一番つかわれているサーバー証明書でしょう。

ちなみgoogleのアルゴリズムはこの辺の気にしないで問題ないです。

正直おれおれ証明書でも関係ありません。

まぁサイトがブロックされてしまいますけどねw

第2にサーバー証明書タイプ

まずはマルチドメイン型。これは複数のコモンネーム(ホストネームやドメイン)を定義ことが可能となります。

example.com,example.net,example.org,*.example.comと最大100個くらいまで認証できますが

値段が100万くらいいってしまうのでsniに対応してないサーバー?はいいかも

(今どきねーなw)

yahooとかgoogleしかみたことないですな。

次にワイルドカード型です。ftp,mail,exmaple.comとか複数発行した場合

サブドメインが100個とかなる証明書が100個とかになってしまいます。

なんで*.example.comとワイルドカード1枚の証明書ですんでしまいますが、

これをサーバーが側で設置しまうとmozila製品は問題が発生する可能性があるので

注意が必要です。

第3サーバー証明の正当性

記憶に新しいのがシマンテックのサーバー証明書をchromeが無効化するということがありました。

証明書はどこでも簡単に発行できてしまったり、特に色々問題が多いです。

そのへんはCA/ブラウザフォーラムで色々議論しあってサーバー側や証明書の変更やらがあります。

独自ドメインの有料サーバー証明書をお使いの方はきをつけてください。

自分のサイトの証明書がCAACT

をブラウザ側から義務付けられて

いつ自分のサイトつながらなくなるとかあるかもしれませんね。

現状let’s encryptを使ってる人たちは問題ありません。

ここは色々セキュリティにうるさいのでw

今度はNginxの構築方法でもかこうかな。