どんなCMSでもそろそろ常時SSLのススメ

Transcript

1. どのCMSでもそろそろ考えておきたい 「常時SSL化のススメ」 2016年9月3日 ファーストサーバ株式会社 小島 健司 CMS大阪夏祭り 2016 スポンサーセッション

2. 自 己 紹 介 小 島 健 司 Twitter https://twitter.com/nu_nrgist

   Facebook https://www.facebook.com/kenji.kojima.96 ファーストサーバで働いています。 CMS コミュニティ: WordCamp Kansai 実行委員 WordBench 大阪 モデレーターの一員

3. 社名 ファーストサーバ株式会社 FirstServer, Inc. 所在地 大阪市中央区安土町1丁目8番15号 野村不動産大阪ビル3F 事業開始 1996年7月 資本金

   3億6,357万円 主要株主 ヤフー株式会社 事業内容 レンタルサーバーサービス ドメイン名登録サービス クラウドサービス 会 社 紹 介

4. テンプレートキング https://www.templateking.jp/ WordPressの無料テーマ 画像素材も始めました

5. ブ ー ス 紹 介 今日はブースを出展しています  素敵な?ノベルティプレゼント  CMSとサーバ選びやSSLなど

   各種サーバご質問もお気兼ねなく！

6. ファーストサーバは常時SSLを推進しています 6 https://zenlogic.jp/aossl/ 特設サイト「常時SSL Lab.」 今日から使えるWebディレクターのための 「常時SSL」基本と実践テクニック 9/9(金)のMBS 【ちちんぷいぷい】で 常時SSLの取組が

   紹介される予定

7. SSL、常時SSL・・・ でもお高いんでしょ？

8. コストが障壁にならないように Let’s Encrypt 8 Symantec Encryption Everywhere mozillaやCisco facebookなどが スポンサーとして支援して

   無料の証明書を発行 シマンテック社が展開する 常時SSL推進活動 無料の証明書を発行 無料で使える証明書もあるんです。 両方使えるのは国内でファーストサーバだけ！

9. CMSでも常時SSLが設定しやすくなっている 9

10. 1. なんで常時SSLにした方がいいの？ 10

11. 「保護」はアクセスポイントまで！ 11 サーバー wifiアクセスポイント internet http://ではココだけ http://ではココは生 https://では全部暗号化通信

12. ニセのアクセスポイントかも 12 サーバー 本物の アクセスポイント 盗聴・改ざん・・・ ニセの アクセスポイント

13.  問合せフォーム  ネットショップの決済  管理画面 etc. TOPから全部 【https】にする 必要あるの？

    こういうページは わかるけど

14. 誰の為にSSL化？ 14 サイト運営者 サイト閲覧者 こちら側の目線が 強かった こちらにもちゃんと 注目して！

15. スマホを後ろから覗き見・・・

16. 16 今 となりの人 あの番組見てるなー 壁の向こうから聞かれる・・・

17. 17 例）カフェで提供されているwi-fiのニセwi-fi  覗き見 いつもhttp://example.com/ のサイト見てる・・・ ↓ ↓ ↓ ↓

    ↓ ↓ ↓  傾向からフィッシングサイトへの誘導  攻撃の準備 etc. 危険がいっぱい！

18. で、「全部HTTPSに！」という背景！ 18 サーバー internet https://で暗号化通信！

19. ブラウザも厳しく 19 firefox chrome

20. 3.証明書の違い、選び方 -値段と信頼度など何が違うのか？-

21. 暗号化通信と証明 通信相手は大丈夫？

22. 3種類のサーバ証明書 ドメイン認証 企業認証 拡張認証 Domain Validation Organization Validation Extended Validation

    DV OV EV

23. 証明書の違い ドメイン認証 企業認証 EV証明書 ドメイン名の使用権限を認証 〇 〇 〇 企業の実在性を認証 ×

    〇 ◎ フィッシング詐欺対策 × 〇 ◎ アドレスバーに組織名表示 × × 〇 信頼性 ★ ★★ ★★★ 費用 低 中 高

24. アドレスバーの違い 企業認証(OV)、ドメイン認証(DV)では組織名称は表示されない 拡張認証(EV)では組織名称が表示される

25. スマホブラウザでのEV証明書表示 25 iPhoneでEV Android標準ブラウザだとEVでも社名は出ない

26. 証明書の違い ドメイン認証 企業認証 EV証明書 ドメイン名の使用権限を認証 〇 〇 〇 企業の実在性を認証 ×

    〇 ◎ フィッシング詐欺対策 × 〇 ◎ アドレスバーに組織名表示 × × 〇 信頼性 ★ ★★ ★★★ 費用 低 中 高 「ドメイン認証」は 無料から

27. 3. 提案しよう！ 27 会社に！ クライアントに！

28. SEOの話だけだと・・・ 常時SSLにすると 検索順位が上がるようです どれくらい効果あるの？ 影響あるのは 1%未満とかなんとか • • • 徐々に影響が出る

    らしいですよ いつごろ？ • • •

29. 常時SSLの効果  サイト閲覧者へ安全な環境を提供  サイトの信頼度UP  企業、お店の信頼度UP  検索エンジンからの信頼度UP 29

30. 常時SSL化でみんなHappy! 30 制作の皆様 クライアント サイト運営者 サイト閲覧者 安全な環境の提供 安心・信頼 信頼 提案

    もちろん作業費も 嬉しい！ 有料の証明書だと さらに嬉しい！

31. 3種類のサーバ証明書 ドメイン認証 企業認証 拡張認証 Domain Validation Organization Validation Extended Validation

    DV OV EV 個人はドメイン認証しか 利用できないよ 企業サイトには 企業認証かEVがオススメ 個人事業主OKの 企業認証証明書もある

32. 無料デモサーバあります【ビジネスパートナー制度】 32 ビジネスパートナー制度 https://www.firstserver.co.jp/partner/ 1. ファーストサーバの ビジネスパートナー制度に登録(登録無料) 2. デモサーバを申込む(1年間無料、延長あり) 3.

    自社のサイトなどを設定

33. 33 もうちょっと詳しく聞きたい、相談したい方は ブースや懇親会でお気軽にお声掛けください

34. ４. 【おまけ】常時SSL化するのって難しい？ -いくつかのCMSでhttp→https化してみた- なるべく楽な 方法を探しつつ

35. まずはhttpsでアクセスできるように 35 証明書の申込などをしてから 【https】でアクセスしたときのドキュメントルートを設定 https://example.com/でCMSにアクセスできるように レンタルサーバによって違う (Zenlogicは結構簡単だと思う)

36. WordPressを常時SSL化

37. ダッシュボードでhttp→httpsに変更 37 ※サーバの仕様や設置ディレクトリにより注意してください

38. 便利なプラグイン 38 https://ja.wordpress.org/plugins/really-simple-ssl/ リダイレクト設定を 入れたり 画像のパスとかを 変更してくれる

39. EC-CUBE3を常時SSL化

40. EC-CUBE 40 https://管理画面のURL/にアクセス 設定>>システム設定>> セキュリティ管理

41. EC-CUBE 41 https://管理画面のURLで入りなおすと 「SSLを強制」 にチェックが入れられる。 チェックを入れて設定ボタンを押下 http://管理画面のURLでアクセスしていると 設定できない

42. concrete5(5.7) を常時SSL化

43. アドオンを利用する 43

44. アドオンを利用する 44

45. concrete5 45 常時SSLにする場合は 管理画面で「* (ワイルドカード)」のみ入力して保存する

46. concrete5 46 画像のURLもhttpsになり エラーが解消 すべてのURLでhttp→httpsへ リダイレクトされる

47. a-blog cmsを常時SSL化 47

48. a-blog cms 48 http://developer.a-blogcms.jp/blog/function/fulltime_ssl_enable.html

49. config.server.php 49 この2行の値を「0」から「1」に変更するのみ a-blog cms

50. MODXを常時SSL化する 50

51. MODX 51 ここだけでは リダイレクトされなかった

52. プラグインがありました 52 https://github.com/soushi/MODX_SSLSwitcher

53. Baser CMSを常時SSL化する 53

54. baser CMS 54 プラグインは見つけられず。 リダイレクトなどは自分で設定する必要がありそう。 サイト設定>>オプション ココだけではダメだった

55. blog記事がありました 55 https://hiniarata.jp/news/archives/8 [baserCMS].htaccessを編集してSSL通信を常態化（常時SSL）する

56. 56 Joomlaを常時SSL化する

57. どのCMSでも共通してやること  httpとの混在を無くす 画像などのURL変更 テンプレート内の記述の確認 読込みを行っている外部サービスの確認 アフィリエイト広告には注意  運用面での変更 Google

    Analytics Google Search Console などなど 57

58. どのCMSでも共通してやること 58 とりあえず【https】でアクセス できるようにするのは簡単 でも チェックや設定変更など やることは結構ある！

59. 59 もうちょっと詳しく聞きたい、相談したい方は ブースや懇親会でお気軽にお声掛けください

60. https://zenlogic.jp/