はてなブックマーク

SSL証明書のドメイン認証とは SSLサーバー証明書（以下、SSL証明書）を購入した際、「認証ファイル」という意味不明な文字列が記載されたファイルを受け取り、言われるがままそれを指定されたフォルダにアップロードした方が多いと思います。なぜSSL証明書にはこのような認証が必要なのでしょうか？その理由は、SSL証明書の役割の1つである「ドメインのなりすまし防止」に関係があります。 例えば、「example.jp」というサイトにSSL証明書を発行する場合、まず購入したユーザーや組織が「example.jp」というドメインを本当に所有しているのかを確認する必要があります。この所有者確認は、信頼された第三者機関である「認証局」が行っています。 さくらのSSLでSSL証明書を購入した場合、当社から認証ファイルが送付されますが、実は当社が認証局から受け取り、それをお客様へ転送しています。このドメイン認証

SSL証明書は、上位の証明書が次の証明書に署名し、次の証明書がさらにその次の証明書に署名するという信頼の連鎖（トラストチェーン）で成り立っています。例えば、もし上記のような階層構造の中間に挟まっている証明書が抜けていたり、最上位の証明書が無かったりした場合、この階層構造が崩壊してしまい「example.jp」ドメインは認証されません。認証されない場合、ブラウザにエラー画面が表示され、サイトにアクセスできなくなります。 さて、「認証されずにサイトにアクセスできない」と書きましたが、そもそもSSL証明書がドメインを認証する（SSL証明書を送ってきたサーバーのドメインが、SSL証明書に記載されたドメインと同じであると判断する）仕組みはどうなっているのでしょうか？ 例のように「example.jp」のSSL証明書は、サーバーからセットで送られてきた「Example CA intermediate

SSL証明書の失効・無効化とは？ SSL証明書の失効と聞いて、まず思い浮かべるのはSSL証明書の「有効期限切れ」という方が多いのではないでしょうか？しかしながら、有効期間内でもSSL証明書が突然使えなくなることがあります。今回はSSL証明書の失効・無効化についてご紹介します。 失効した場合どうなるのか？ SSLサーバー証明書（以下、SSL証明書）は一定の有効期間が設けられています。有効期間が過ぎたSSL証明書を利用し続けた場合、安全ではないSSL証明書と見なされてサイトにアクセスしてもエラーが表示されます。一般的には有効期間終了による失効・無効化と言われており、英語ではexpired（有効期限切れ）、invalid（無効な）などと表現されます。 Chromeブラウザで有効期限切れのサイトにアクセスした場合、上記の画面が表示されます。 Firefoxブラウザでアクセスした場合は上記の画面が表

通信先ドメイン名を暗号化！「Encrypted SNI」とは？ 先日、「中国のグレートファイアウォールが更新され、Encrypted SNIを利用した通信がブロックされていることが判明した」という調査結果が発表されました。今回は通信先のドメイン名を秘匿できる「Encrypted SNI」についてご紹介します。 Encrypted SNI（Server Name Indication）とは？ まずSNI SSLとは、1つのIPアドレスに対して1つのドメイン名しか利用できなかったSSLサーバー証明書（以下、SSL証明書）を、通信先のドメイン名を定義することで1つのIPアドレスで複数のドメイン名にSSL証明書を利用できるようにした仕組みです。 例えば、さくらのレンタルサーバでは1つのIPアドレスを多くのユーザーで共有していますが、SNI SSLを利用することによってユーザー単位でSSL証明書を利

有効期間短縮の歴史 SSLサーバー証明書（以下、SSL証明書）の有効期間は、当初は最長5年でしたが2015年に3年になり、2018年に2年、2020年には1年 + 1ヶ月となり、段階的に長期間のSSL証明書が廃止されてきました。 サーバーを管理している方はよくご存知だと思いますが、SSL証明書の更新作業には結構手間が掛かります。さくらのレンタルサーバなら管理画面からSSL証明書の登録が簡単にできますが、大規模サイトなどでは「他社に外注しているため作業費用が都度発生してしまう」といったケースもあると思います。そのような想像が容易にできるにも関わらず、ハイペースで有効期間が短縮されていく背景とは一体何なのでしょうか？ 有効期間を決めるのは誰なのか？ SSL証明書の仕様に関しては、GoogleやMozillaなどのブラウザ開発ベンダーと、DigiCertやSectigoなどの認証局（CA：Cer

Let’s Encryptのルート証明書とは？ Let's Encryptを運営している非営利団体のISRG（Internet Security Research Group）は2014年に設立された新しい認証局です。もちろん、当時は設立されたばかりなのでISRGのルート証明書は様々な端末にインストールされていませんでした。そのため、別の認証局であるIden Trustが2000年に発行した「DST Root X3」というルート証明書を利用し、クロス署名された中間CA証明書を現在も利用しています。 この間（2014年～現在まで）ISRGは何をしていたかというと、各OS（Windows、Mac、Android等）やMozilla（Firefoxブラウザの開発元）に対して、自社のルート証明書である「ISRG Root X1」をインストールしてもらうようにお願いをして、徐々にインストール済み端末

今後Safariで起きること Safariとは、Appleで開発されているWebブラウザであり、パソコンであるMacの他にiPhoneやiPad、Apple TV、Apple Watchなどの端末に標準で搭載されています。 このSafariにおいて、2020年9月1日以降に発行された「有効期間が399日以上」のSSLサーバー証明書（以下、SSL証明書）が信頼されないことになります。 具体的なエラー画面の仕様などは明らかにされていませんが、Appleの発表に「This might cause network and app failures and prevent websites from loading.」と書かれていることから、失効したSSL証明書を利用しているサイトにアクセスした時のように、全画面でエラーが表示されてサイトへはアクセスできなくなってしまうことが考えられます。 購入済み

量子コンピューター（量子計算機）とは？ 量子コンピューターとは、簡単に説明すると非常に高性能なコンピューターで、これまでのコンピューターとは作りが全く異なり、特定分野では別次元の速度で計算ができると言われています。このため、現在のSSLサーバー証明書（以下、SSL証明書）で利用されている暗号アルゴリズムも、数年後には簡単に解読されてしまう可能性が出てきています。 そもそも現在の安全性とは？ インターネット通信の改ざん・なりすまし・盗聴を防ぐために、私たちはSSL証明書の様々な暗号アルゴリズムを利用しています。現在の暗号は「絶対に解読されない」という位置付けではなく、「解読しようと思えばできるけど、ものすごく時間が掛かる」という意味で「安全」とされています。 「そんな暗号強度で大丈夫か？」と思うかもしれませんが、暗号強度を上げ過ぎると、利便性が損なわれてしまいます。例えば、家の鍵は1つ、もし

そもそもHTTP/2やHTTP/3とは何か？ HTTP/2やHTTP/3とは、例えばあなたが今利用しているパソコンと、本コラムのデータが保存されているサーバーとの通信をやり取りするための「ルール」のようなものです。HTTP/3では、HTTP/2よりも通信効率が上がりWebサイトの表示速度が速くなると言われています。「HTTP/2」について知りたい方は、当コラムの『「HTTP/2」とは？あなたのサイトを高速化する次世代プロトコルに迫る』をご覧ください。 「SSLコラムなのにどうしてHTTP/3の記事を書いているんだろう？」と思う方もいるかもしれませんが、「HTTP/3」はSSL/TLSの利用が前提となっているため、SSLサーバー証明書（以下、SSL証明書）とは切っても切れない関係なのです。さて、本題に戻りますが「本当にWebサイトの表示が速くなるの？」「どうして速くなるの？」「対応を検討した

フィッシングとは？ フィッシング（Phishing）とは、IDやパスワード、クレジットカード番号などの情報を不正に取得する詐欺行為です。フィッシングサイトの多くは、本物そっくりに偽装したサイトにログインさせたり、クレジットカード番号を入力させたりして、それらの情報を不正に取得します。その結果、不正送金や商品を購入して第三者の住所に発送する（そして換金する）、クレジットカード番号を入力させて情報を窃取する、といった被害に遭います。 フィッシング手口の多様化 近年フィッシングは手口が非常に巧妙になっており、以前はメール文面の怪しさから容易に判断できていましたが、現在では本物のメールと区別がつきません。また偽サイトに本物のサイトと同じログイン情報を表示するなど、サイトの挙動でも判断がつきにくいケースなどが増えています。手口の多様化に啓発活動が追いついておらず、間違ったフィッシングサイトの見分け方

DNSとは？ DNSはインターネットとは切っても切れない仕組みですが、真面目に説明すると文字通り電話帳ぐらいの厚さになってしまう程の情報量があります。簡単に説明すると、「www.example.jp」のサーバーがどこにあるのか（IPアドレス）を教えてくれる公開電話帳のようなサービスと言えます。このDNS、主に中継役として利用される「キャッシュサーバー」と、唯一正しい情報を持つ「権威サーバー」に分けられます。説明が長引くので割愛しますが、そのようなサーバーがたくさんあると考えてください。 DNSがなければ、我々はサイトにアクセスする際に「163.43.24.70」といったIPアドレスを使用しなければならず、非常に不便です。また、CNAMEやTXTといったSSLサーバー証明書（以下、SSL証明書）の取得に必要な認証も利用できません。DNSはインターネットに無くてはならない存在になっています。

Mixed contentとは？ Mixed contentとは、SSL化されたhttpsページ内にhttp（非暗号化通信）で読み込んでいるファイルが存在（混在）している状態を指します。何故この状態が問題なのか？というと、ブラウザ側で「安全ではない」と判断されて読み込みがブロックされてしまうファイルもあれば、「安全ではない」と判断されつつも読み込まれるファイルもあるため、最終的にサイトのデザインが崩れた状態で表示されたり、”クリックしても反応しない”など機能上の不具合がある状態で表示されたりする可能性があるからです。 具体的には、iframeやスクリプトファイル（CSS・JavaScript・XMLなど）は読み込みがブロックされ、画像や動画ファイルはブロックされません。こちらについては、当コラムの『SSL設定時に表示されるエラーや警告の原因を徹底解明！～コンテンツエラー編～』にて解説してい

TLS 1.0とは？なぜ使ってはいけないのか？ TLSについては、当コラムの『6月以降はTLS 1.0が使えない？PCI DSS準拠にまつわるSSL/TLSのお話』をご覧ください。簡単に説明すると、TLSは「暗号化通信をするための手順書」のようなものですが、TLS 1.0/1.1などの古いバージョンには脆弱性がある（一定の条件下であれば暗号解読が可能である）ため、利用は非推奨とされていました。直ちに大きな影響が出るものではなかったため、「SSL 3.0無効化」の時のような急激な変化ではなく、比較的緩やかに廃止する形になっていました。 2020年に対応が終了した場合の影響は？ 現時点（2019年8月）ではブラウザのプレビューバージョンがリリースされていないため、実際にどのような画面が表示されるかはわかりません。しかしながら、「TLS 1.0/1.1の対応が終了する」と言うことはWebサイトと

SSL証明書の有効期限切れを防ごう！防ぐためにできる5つのTipsとは？ 「エラーが出てサイトが表示されません！」というお問い合わせのうち、実はSSL証明書の有効期限切れが原因というパターンが年々増えています。今回はSSL証明書の有効期限を切らさないコツをご紹介します。 SSL証明書の有効期限が切れると何が起きるのか？ SSLサーバー証明書（以下、SSL証明書）は有効期限が必ず設定されており、現在世の中で利用されているものは最長で2年以内に設定されています。しかし、2020年9月よりあとに発行された有効期限が398日以上のSSL証明書は多くのブラウザで利用できないため、現在購入できるSSL証明書は最長1年（397日＝約13ヶ月）となっています。 SSL証明書の有効期限が切れた場合に何が起きるのか？と言うと、ウェブサイトで利用している場合は単純にサイトが閲覧できなくなってしまいます。一般的に

「HTTP/2」とは？あなたのサイトを高速化する次世代プロトコルに迫る SSLサーバー証明書（以下SSL証明書）導入メリットの1つに挙げられる次世代プロトコルのHTTP/2。一体どのような特長があり、どうすれば導入できるのでしょうか？本記事ではHTTP/2の概要、メリット・デメリット、導入方法をご紹介します。 HTTP/2の概要 HTTP/2の概要については、さくらのナレッジにて非常に詳しい解説を掲載しています。 普及が進む「HTTP/2」の仕組みとメリットとは | さくらのナレッジ エンジニア向けで難しいこちらの内容を簡単に要約すると、現行のHTTP/1.1と比較した場合、HTTP/2ではブラウザとサーバーの間の通信効率が改善され、Webページの表示速度が向上すると書かれています。 通信の効率化というとわかりにくいかもしれませんが、例えばHTTP/1.1ではブラウザ側からサーバーに「これ

警告表示の強化について Google Chromeブラウザではセキュリティ強化のため、SSLサーバー証明書（以下、SSL証明書）を導入していないサイトに対してアドレスバーへの警告表示を2017年から徐々に強化しています。 Chromeの強制的な警告表示が2018年7月から開始 現時点で最新版であるChrome69では、https化されていないサイトのアドレスバーに「保護されていない通信」（Mac OSの場合は「保護されていません」）という警告がグレー文字で常に表示されています。10月16日にリリース予定のChrome70では、サイト内のテキストボックスに文字を入力すると、この警告が赤文字に切り替わるため、より警告表示が目立つようになります。 参考：Google ウェブマスター向け公式ブログ デジサート証明書の失効対応について 今回の失効対応について背景を説明すると、過去にデジサート社（旧シ

SSLサーバー証明書の失効管理について 今回のトピックスをご紹介する前に、まず知っておく必要があるのがSSLサーバー証明書（以下、SSL証明書）の失効管理についてです。 SSL証明書の歴史は、常に秘密鍵の危殆化（秘密鍵が流出してしまうこと）や不正な証明書の発行による中間CA証明書／ルート証明書の失効、SSL証明書の失効事件とともに歩んできました。エンドユーザへ発行されたSSL証明書には、有効期間の開始日と終了日が記録されていますが、その証明書が失効しているかどうかまではわかりません。たとえ有効期間内だったとしても、実際にまだ有効なのか？それとも失効されているのか？という判断はできないのです。 失効されたSSL証明書を判別するCRLとは 前述の通り、SSL証明書だけでは失効されているのか？がわからないため、CRL（Certificate Revocation List：証明書失効リスト）とい

はじめに WebサイトのSSL化は、それなりにリスクの高い作業です。ファイルやデータベースのバックアップを行うなど、事前に確認や準備を入念に行ってからSSL化に挑みましょう。 SSL証明書の選択と購入 まずはSSLサーバー証明書（以下、SSL証明書）の準備です。WordPressサイトだからといってSSL証明書の種類が制限されるわけではありません。さくらのSSLではコーポレートサイトやECサイトにおすすめなEV証明書から、年間990円で利用できるお得なDV証明書まで、自由に選択することができます。 お使いのレンタルサーバーで無料SSL機能が利用できる場合はそちらを選ぶのもおすすめです。無料SSL機能には自動更新機能も備わっていることが多いため、一度設定すればあとは自動で更新されるというメリットがあり、更新忘れを心配する必要がありません。 サーバーにSSL証明書を設定する≠サイトのSSL化

1枚で複数サイトを常時SSL化！ワイルドカード証明書やマルチドメイン証明書とは？ ワイルドカード証明書やマルチドメイン証明書をご存知でしょうか？「よくわからないけど価格が高い！」と思って敬遠していませんか？今回はちょっと変わっているけど、とても便利な証明書について解説します。 ワイルドカード証明書とは ワイルドカード証明書とは、例えばコモンネームに *.sakura.ad.jp を指定することでwww.sakura.ad.jpや vps.sakura.ad.jp、cloud.sakura.ad.jp といったサブドメインが異なるサイトを1枚の証明書でカバーすることができる証明書です。ワイルドカード証明書の一番のポイントは、サブドメインが *（アスタリスク）で指定できること、つまり実質無制限にサブドメインを作成して証明書を適用する、ということが可能なのです。 ただし、コモンネームに *.sa

TLSのバージョンとは？ この”手順書”ですが、いくつかのバージョンがありバージョンによっては脆弱性が確認されているため、使用を禁止されているものもあります。そして一番大きなポイントとしては、利用しているパソコン、スマートフォン、ゲーム機、テレビなど、インターネットで暗号化通信できる端末※によって、対応しているバージョンが異なります。例えば、Android 4.2以前のスマートフォンの標準ブラウザはTLSバージョン1.1以上には対応していない、といった端末による対応/非対応の違いがあります。 ※厳密にいうと暗号化通信できる端末に搭載されたブラウザやメールソフトによって、対応しているバージョンが異なります。 なぜTLS 1.0を使ってはいけないのか？ TLS 1.0にはBEASTやPOODLEといった脆弱性があり、一定の条件下であれば暗号解読が可能であると言われています。そのため、今すぐ攻撃

Chromeの強制的な警告表示が2018年7月から開始 2017年初頭から Google Chrome ブラウザは、SSLサーバー証明書（以下SSL証明書）を導入していないサイトに対して、アドレスバーによる警告表示を段階的に強化してきました。そして今回2018年7月リリース予定のChrome 68より、SSL証明書を導入していない全てのサイトで「保護されていません」の警告表示が開始されます。 これまでのChromeにおける警告表示とは 本コラムでも何度か取り上げていますが、Googleは非httpsサイトに対する警告表示を段階的に強化しています。 「保護されていません/保護されていない通信」とは 「保護されていない通信」と表示された場合の対処方法とは？ 2017年1月から非httpsページにて、パスワードやクレジットカード情報などの入力時に警告が表示されるようになり、10月にはフォームやテ

ドメイン認証型 最短即日発行可能なドメイン認証型のSSLサーバー証明書です。 「.jp」を登録管理するJPRSが発行する安心と信頼の証明書を年間990円のお手頃価格でご提供します。 低コストですぐにSSLサーバー証明書を導入されたい方におすすめです。 今すぐ申し込む

常時SSL化（https化）のメリットと必要性とは 常時SSLとはWebサイト全体をSSL化する（暗号化通信）のための仕組みです。 なぜ常時SSL化が重要視されているのか、常時SSLのメリットと必要性を解説します。 常時SSL化とは、個人情報などを入力するフォームページだけではなく、サイト全体をSSL化してしまい、ブラウザからアクセスする場合は常にSSL接続で閲覧してもらう方法です。 そもそも、SSLというのは サーバー間通信の暗号化のため ドメインが実在することを第三者が証明するため ドメインを取得している企業が実在することを証明するため（購入するSSL証明書の認証レベルによっては) というのが目的となります。 すなわち、取得してるドメインが実際に存在していることを、SSLサーバー証明書を発行する機関が第三者視点から間違いないとお墨付きを与えている状況になります。 その上で、サーバーとの

SSLって何？意味や仕組みをわかりやすく解説！ インターネット通信の暗号化（https化）を担うSSLの役割、用語の意味、暗号化通信が成立するまでの過程をわかりやすく解説します。 SSLとは SSL（Secure Sockets Layer）とは、簡単に説明するとWebサイトとそのサイトを閲覧しているユーザとのやり取り（通信）を暗号化するための仕組みです。 暗号化されていないインターネットは危険！ 意外と知られていませんが、みなさんが利用しているインターネットは悪意のある第三者が通信の中身を盗み見て悪用することが可能です。閲覧しているホームページのアドレスや、掲示板に書き込んだ内容、ショッピングサイトで入力したクレジットカード番号やパスワードなども盗み見ることが可能です。「これでは安心してインターネットができない！」ということで生まれたのがSSLという仕組みです。 例えば、あなたが会社のパ