SSL

■SSLのインストール後の確認作業

SSLをインストールしたつもりでも、SSLがちゃんとインストールされていない場合があります。
SSLのインストールに問題がないか確認できるツールをSSL認証局が提供しております。
とても便利なので、SSLをインストール後の確認に是非活用ください。

証明書チェックサイト（Check your SSL/TLS certificate installation）
https://cryptoreport.websecurity.symantec.com/checker/views/certCheck.jsp

対象のサイトURLを入力して「check」をクリック

[ Certificate is installed correctly] と表示されれば問題なし
SSLが問題なくインストールされております。

また「Certificate chain」の欄に2階層（クロスルート証明書を使っている場合は3階層）で
証明書のチェーンが確認できれば問題ありません。
※緑色のチェックが入っていれば問題なし。

ついでに脆弱性診断もやっておくと安心

https://www.ssllabs.com/ssltest/index.html

WebサーバのSSL設定の確認やSSLの安全性などを、A～Fの結果で確認することができます。
結果が表示されるまで少し時間がかかりますが、一度確認すると面白いです。

是非参考にしてください。

今月からはじまったドメインキーパーのキャンペーン『今が買い時乗り換え時キャンペーン』が
驚き価格で始まったのでご紹介。

サイバートラストの証明書って高いってイメージですよね？

そのサイバートラストの証明書をこの価格で販売してる。

SureServer EV for クラウド
１年　19,800円　２年　37,000円

SureServer for クラウド
１年　18,000円　２年　34,000円

EV証明書についてはなんと定価より93%OFFだそうです。

並行輸入の証明書でなくてこの価格って代理店に利益あるのか？
そんなことは買う側には関係ないか

もしかしてシマンテック（デジサート）の問題があって、
日本でのシェアは低いサイバートラストがチャンスとばかりに攻勢をかけてるのかな

企業認証以上のSSLを検討しているなら、試しに乗り換えるのもありじゃない。
※前の記事に書いたけど証明書の暗号化強度ってどれも一緒だし・・・。

期間限定のキャンペーンだそうで、もし更新時期や新規取得予定があったら
検討してみては？
次の更新までキャンペーン価格で更新できるみたいだから、２年で買って
２年目の更新時に２年を買ってもこの価格ってことでしょ。
やばいよねww

この機会に思い切ってEVSSLをいれてURLバーの色変えちゃえば。

アフィリの内容だけどほんとオススメだから
下記バナーからどうぞ

例のシマンテック事件以降、Googleとの距離はあまり縮まらなかったようで、
シマンテックがSSL事業をDigiCert社へ売却を発表しました。

https://www.symantec.com/connect/blogs/symantec-ssltls

これにより世界最大のSSL事業社がとなったDigiCert社ですが、
日本ではあまり知られてないですよね。私も知りませんでした。
調べて見ると、日本ではサイバートラスト社がDigiCert社と
事業提携をしていて、DigiCertの証明書を扱っていたようですが、
あまり積極的に売っている感じはしません。
日本ではどれくらいのシェアがあるのでしょうか。
DigiCert社のサイトでは、企業実在証明の発行が世界で２位とでてますが
これもどの企業も同じようなことばかりなので、比較になりません。
ただひとつ言えることは、シマンテックのSSL事業を買収できるだけの
お金がある会社ってことで大きい会社なんだなって・・・（適当）

これからサイバートラスト社がシマンテックのセキュアサーバID等が
自社のSureaServerとかぶると思うのですが、今後の取扱はどうするんでしょうか。
外野から余計なおせっかいですね。

さて買収されたシマンテック社の商品ですが、
今後どうなるのでしょうか。

発表では
——————————————————————
2016年6月1日より前に発行された証明書が2018年3月15日に予定されている
Chrome66(Beta) で警告がでます。

また2016年6月01日～2017年11月30日に発行された証明書では
2018年9月13日に予定されている Chrome70(Beta) で警告がでます。

2017年12月01日以降に発行された証明書では警告はでません。
——————————————————————-
わかりづらいですが12月1日発行の証明書からroot証明書とCA証明書が、
DigiCertのものに入れ替わりgoogleからの警告を免れることが
出来るということです。

対象のシマンテック社証明書
————————————-
ジオトラスト クイックSSL プレミアム
シマンテック セキュア・サーバID
シマンテック セキュア・サーバID EV
シマンテック グローバル・サーバID
シマンテック グローバル・サーバID EV
————————————-

ジオトラストも？っと思うかもしれませんが、ジオトラストも
シマンテック発行だったんです。

さて警告対象の証明書を利用している場合、どうすればいいのでしょうか。

警告対象となっている証明書を利用している場合は、
Chromeのバージョンアップのタイミング前に更新期間となり、
更新すれば問題は回避できますが、更新タイミングではない場合、
認証局で再発行手続き（無償）を行えば回避できます。
しかし、再発行した証明書を再度サーバへのインストールが必要となるので、
できればうまく更新とあわせてやってしまった方が楽ですよね。

私のオススメはいっそのことシマンテック社のSSL証明書をやめてしまって
グローバルサインへ乗り換えるという方法です。

グローバルサインは旧シマンテック社の証明書を期限を引き継いで更新することができます。
もしセキュアサーバIDの期限が2年残っていた場合、企業認証SSLを1年乗り換えで申し込むと
期限を引き継いでますので、3年利用できる証明書が発行されます。
なんかいろいろめんどくさいことに巻き込まれるなら乗り換えも考えていかがですか？

なるべく安く更新したい場合、国内代理店を利用した方はお得です。
私はいつも利用しているは、WEBで申請申し込みができるドメインキーパーです。
このドメインキーパーでもグローバルサインのSSLに乗り換えを行うことができます。

■SSLをwww有り、無しの両方で使いたい

SSLをwww有り無し両方で使いたい場合、2WAY対応のSSL証明書を選択する必要がある。

●対応SSLブランド
グローバルサイン、シマンテック、ジオトラストなど主要なブランドは対応してます。

●申請方法
２wayで利用したい場合、www.ドメイン名での取得が必須です。
逆にwww無しで取得した場合、www有りでの利用ができなくなりますので要注意。

※昔のガラケーなどは2way証明書でwww無しにアクセスしたらエラーとなったようですが、
もうガラケーのことは気にしなくていいかと思いますので、問題ないかと・・・。
ガラケー向けのサイトを今でも公開していて、サイトURLがwww無しならwww無しで取得した方が無難です。
2WAY申請方法もブランド毎に異なります。

例えば、グローバルサインのクイック認証SSLを2wayで利用したい場合、
www.ドメイン名で申請をして、承認メールアドレスが

admin@ドメイン名　もしくはwhois登録のメールアドレスでとればOK

admin@www.ドメイン名　だと2wayNGとなります。

要はコモンネームはwww有りだけど承認はwww無しでやる必要があるってことです。
タグ認証も同様です。

・クイック認証SSLにおける2way適用ルール

⇒シマンテックの場合

セキュア・サーバIDは、www有り無しどちらの申し込みでも両方使えます。

例えば、コモンネーム：www.hogehoge.comで申し込んだ場合、SANsにhogehoge.comが追加され
コモンネーム：hogehoge.comで申し込んだ場合は、SANsにwww.hogehoge.comが追加されます。

同じシマンテック系の証明書でクイック認証SSLプレミアムは、www有りで申し込まないと
www無しで利用できません。ここ要注意です。

とりあえず迷ったらwww有りで申し込みしておけば良さそうです。

SSLの取得先で迷ったら安く購入できるドメインキーパーがオススメです。

■おまけ■　サイトのアドレスをwww有りや無しに統一したいとき

一般的なやり方として、は.htaccessでそれぞれ301リダイレクトして統一させてます。

wwwありに統一したいとき
———————————————————
RewriteEngine on
RewriteCond %{HTTP_HOST} ^example\.jp$
RewriteRule ^(.*)$ http://www.exsample.jp/$1 [R=301,L]
———————————————————

wwwなしに統一したいとき
———————————————————
RewriteEngine on
RewriteCond %{HTTP_HOST} ^www\.example\.jp$
RewriteRule ^(.*)$ http://example.jp/$1 [R=301,L]
———————————————————

SEOの観点からもどちらかに統一することは重要みたいです。

■httpのアクセスをhttpsに統一したい場合

———————————————————
RewriteEngine on
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://exapmle.jp/$1 [R=301,L]
———————————————————

ご参考まで

■Googleの常時SSL対策が加速。Chrome62からセキュリティ警告を追加

先日Googleが新たにSSLの普及に向け、さらに警告を強化すると発表しました。

Chrome 62からSSL無しのフォームページに「Not secure」と表示する。

Gooogleのインターネットを常時SSL化する計画の第２段のようで、
今まではログイン画面や決済ページにSSLが無い場合のみにセキュリティ警告をだしていたが、
次は、個人情報の送信の有無に関わらず、何かしらんの入力フォームにSSLが無いだけで警告がでます。
これ結構ひっかかるサイトが多いと思います。
WEB制作屋でもSSLはうちらの仕事じゃないって平気で言ってしまう人もいたり、
SSLの必要性がわからないクライントのWEB担当とか・・・

しかもChrome64から適用とのことで、この公開予定が10月。
SSLがない企業サイトはかなりダメージが大きいのではないでしょうか。
企業サイトはフォームのあるなしに関わらず、そろそろSSLを導入したほうが良さそうです。

とりあえずSSLがあればいいってことだから、SSLの種類は関係ないので、
SSLの代理店が扱ってる安いSSLでもいれときましょう。

これからSSLが利用可能な共有サーバがどんどん増えてくるんだろうけど
とりあえずお金がない自分は、個人サイトなので共有サーバの共有SSLでその場しのぎかな。
そもそもなにか入力してもらうこともないけど・・・。
小言：
もうさドメイン自体にSSLとかつけてくれないのか
ドメイン認証のSSLなんてメール認証だけなんだからさ
サイト審査なんてほとんどしてないじゃない。

■SSLは複数年がお得！！

SSLサーバ証明書は、毎年更新するものって思ってませんか？
実はSSLは最長3年（Googleのゴタゴタがあって2年を推奨）の期間のものも販売してるんです。
「知ってるけど、でもお高いんでしょう。」
そう複数年分なので、出て行く金額は大きいです。
でもその分割引がきいているので、単年のものを数回買うよりはお安くなります。
そこまでガッツリお安くなることはないですが、

メリットとしては、

・SSLのインストールを毎年しなくてすみます。
・認証手続きするのに毎年上司や取引先さんにお願いすることもなくなります。

複数年のSSLを購入する動機としてはこれって案外大きくないですか？

あとSSLのインストールをシステム会社などに外注している場合、
SSLの費用に加えて発生していたインストール作業費がなくなるんですよ。
少しでも経費を抑えろと言われてる方は、SSLを複数年に変更するだけで
減らすことができるんですよ。枚数が増えれば増えるほど、お得に。
下記当サイトがおすすめの代理店の証明書の値段となります。

キャンペーンなどでさらに安くなったりしますので
小まめに代理店のサイトをチェックすることをオススメします。

2017年4月管理人調べ

複数年のデメリットとしては、
企業実在証明のSSLで組織が変わったときに、サイトシール内の情報を変更できないため、
シール内の情報を変更したい場合は、残期間を捨て、新規にSSLを発行する必要があります。

よくサーバを変更したら買い直さなきゃいけないと思っている方が多いですが。
コモンネームに変更がなければ買い換える必要はございません。
新サーバに今使ってる、証明書と秘密鍵を導入すればそのまま使えますし、
秘密鍵がわからない場合、認証局が新しい証明書を無料で再発行してくれます。
なので、組織情報が変わらないなら複数年での購入がオススです。

グローバルサイン　証明書3年発行を中止

グローバルサインが突然2週間後の4/20を持って、期間3年の証明書の発行を中止するとアナウンスした。

SSLサーバ証明書のお申し込み可能な最大契約期間の変更および再発行について

最大発行可能日数は27ヶ月まで

いままでの38ヶ月とは大幅に期間が縮小される。

複数年で証明書の購入を検討している人は要注意だ

シマンテックの事件があっての対応となるだろうが

でも発行期間を縮小いたのはグローバルサインだけで
他のSSL認証局はまだなにも発表はない。なぜグローバルサインだけ？？

■シマンテックの事件とは

事件の発端は2015年に10月にGoogleなどのドメインに関する証明書をシマンテックが誤って発行したことを
Googleが指摘したことから始まります。

シマンテックの発表だと、Googleなどの5つの組織がもつ、76ドメインの164件の証明書を誤って
発行したと発表しています。
しかしGoogleの調べでは、3万もの証明書に疑いがあると・・・・・

Googleはインターネットを公正で安全なものにするといった理念をもっています。
シマンテックの行為はこれに違反をしており、
認証局がこのようないい加減な発行をしているシマンテックに対し大きな懸念を示しています。

また調査報告にかなりの時間がかかったことにも疑念をもっているようで、
GoogleはGoogle　Chrome64からシマンテックが発行した証明書の有効期限を段階的に９ヶ月まで短縮すると発表しました。
またシマンテックが発行しいるEVSSLについては、再発対策が確認できるまで、緑色のアドレスバーの対応はしないとのこと

ここで焦ったのがシマンテック側で
顧客全員に対して、不正発行は164件のみでgoogleの発表の枚数ではないと発信。
Googleと協議し顧客は守ると・・・・。

GoogleはそもそもフォーラムでSSLの有効期限は長すぎると発表してます。
認証局は昔は最長５年まで発行できたが、現在は３年まで縮小。
そして今回GlobalSignが先人を切って２年まで縮小という流れに・・・。

どの認証局もGoogle様には勝てないのでしょうか。

今後はもっと期限が縮小される可能性があります。
サーバ管理者は毎回の証明書の入れ替えする手間が増えて大変ですね。

SSL導入のメリットは

googleでアナウンスがあったようですがSSLの導入を推奨すると。
これはgoogleの検索にSSLの有無が大きく関係してくる可能性があり
これからはSSLの導入サイトがスタンダードになってくると思います。

Google ウェブマスター向け公式ブログ
HTTPS をランキング シグナルに使用します

また街に出ればどこでもwifiが接続できる環境にある現在、暗号化されていない通信をしたら
簡単に傍受できてしまう状況です。それは公共の無線を利用してネットを利用している
個人のリスクマネージメントの問題でしょうか。インターネットは今や様々な方が利用できる
ある意味公共の空間だと思います。じゃー傍受されるのはユーザの問題だけなのか
いや、アクセス先のサイトも利用者の安全を担保しなければ行けない時代なのでは
ないでしょうか。
なので、googleのアナウンスは妥当だと思うし、SSLの普及、インターネットの安全性の向上に
大きく貢献すると思います。管理人は大賛成です。でもこのサイトはSSL入ってませんけど・・・。

SSLを入れたいけど、SSLって数万円するんでしょ、そんな予算がないよって人が多いと思います。
SSLは実は無料のものからあるんです。無料のものはSSLの暗号化通信は問題ないですが、
サイトの運営者の証明はしていないので、アクセスする側からしたら、
詐欺サイトでも取得できてしまう、なんでもありの証明書です（ｗ
ないよりはましですが、せっかくなら最低限数千円くらいのものを入れることをおすすめします。

■国内正規販売SSLと輸入SSL

国内で流通しているSSLには、国内認証局が発行したSSL、海外の認証局で発行されたSSL（輸入SSL）とあります。
ほとんどは国内認証局で発行されたSSLが主流だと思いますが、海外認証局が発行したSSLを利用している方もいます。
国内にあるのになぜ輸入するの？って疑問に思うかと思いますが、シマンテックやジオトラストなど、
海外で多く販売されている証明書は、海外からも購入で、格安に購入することが可能です。
このような輸入SSLを販売している代理店は、検索するとたくさんでてきます。

正直、国内発行SSLと海外発行SSLにSSLの基本機能の違いはありません。
機能に違いがないなら、安いなら輸入SSLを買ったほうがいいんじゃない？
って単純に考えるのは危険です。なぜならば
輸入SSLは国内の認証局のサポートを受けることはできません。
企業サイトやクライアントサイトで利用するのはかなりリスキーです。

なおジオトラストのサイトでは、輸入SSLについて注意喚起してます。

輸入版ジオトラスト製品についてのご注意事項
当サイトでは、安くSSLを購入したいならば、国内正規販売代理店からの購入をオススメします。

正規販売代理店は各認証局のサイトに紹介されています。

シマンテック サーバID 再販パートナー
ジオトラストパートナー一覧
サイバートラストパートナー一覧

※グローバルサインはパートナーの紹介ページはなし
国内代理店はたくさんありますが、一般の個人が伊藤忠などの大手商社から
購入するのは困難なので、WEBで申請申し込みができるドメインキーパーがオススメです。