SSL対応のお話~はじめの一歩~

posted in: 備忘録 | 0

最近サイト運営とかサーバ運用で色々セキュリティが騒がれているので,このサイトもSSL対応にしてます.

しかもGoogleさんも検索表示順の指標の一つにSSL対応かどうかを評価に使うとか言ってるらしいので,SEO的にも今後はSSL対応が必須の流れになっています.
(後で書く予定のHTTP2でも実質SSLに対応してるのが前提みたいなので・・・)

という訳で,そのときの導入メモとかを書き殴っておきます.

細かい導入の方法とかは後で細々と書くとして,まずは構成と大雑把な流れを.

構成

  • サーバ本体:さくらVPS
  • OS:CentOS 6
  • Webサーバ:nginx

まず最初に考えるのは,どこで認証をとるかという話.

SSLをお試ししたいだけなら自分で証明証を発行するオレオレ証明証でも良いけど,

せっかくなのできちんとしたところから証明証を取りたい&いちいちブラウザでオレオレの警告が出るのが面倒.

でも証明証の発行でお金を取られるのは嫌.

 

と悩んでいたら某SNSで「Let’s Encrypt はどう?」と言われたので,調べてみました.

Let’s Encryptというのは,赤米とかシスコ等々の国際的に有名な団体がスポンサーになって,「ドメインを持っている人なら,誰でも無料で証明証を取得できるようにしようぜ!」という基本方針で設立された団体&サービスらしい.

(そこら辺の細かい話や公式マニュアルとかは総合ポータルサイトで.)

要は私のように「お金はないけど,SSL証明証が欲しい!」という人にはもってこいのサービスということです.

という訳で,「nginx + Let’s Encrypt」という構成でSSL化します.

 

認証レベル

SSL認証と一言で言っても,レベルが存在します.

表にまとめると下のような感じ.

認証レベル 信頼性 実在性審査
 EV  スゴイ厳しい
(場合によっては電話とか口座もチェックするらしい)
 OV(企業認証)  する
 DV(ドメイン認証)  しない

 

実在性審査というのは本当にその企業が存在しているのかどうかを審査すること.

一番レベルの高いEV認証とかだと会社の設立日とかを調べて,設立から日が浅い企業とかは口座とかもチェックするとかなんとか・・・

その代わり信頼性が高いので,ブラウザのアドレスバーが緑色になるのもEV認証だけ.

細かいお話はさくらのナレッジに良い記事があるので,そちらを
http://knowledge.sakura.ad.jp/beginner/2988/

 

んで今回導入するLet’s Encryptが発行してくれる認証レベルは一番レベルが低いDV(ドメイン認証)の証明書.

DVは申請者がそのドメインを所持しているのかどうかを確認するだけで終わる簡単なもの.

Let’s Encryptではサーバ内の指定した場所にテキストファイルをアップロードして,それを認証局がチェックすることによって所持しているかどうかをチェックするみたい.
(ここの話は後で書く予定)

 

導入の流れ

操作の流れは説明する人によって多少前後がありますが,今回はこういう流れで.

多少前後してもそんなに問題ない感じなので・・・

  1. 認証クライアントのインストール
  2. 証明証の取得
  3. nginxの設定(コンフィグをカキカキ)
  4. 証明書の自動更新設定

操作に沿って記事を書いていくので,おそらく全4回ぐらいに分けて書く予定です.

 

喉におせんべいが引っかかったので,寝ます.

それでは.

一言残す!