Let's Encryptでウェブサイトを保護しましょう!

公開: 2016-11-22

Let's Encryptは、WebサイトのHTTPトラフィックを保護するための無料の自動化された方法を提供するイニシアチブです。 安全なHTTPSの設定は常に複雑なプロセスであり、プロセス全体をよりシンプルでわかりやすくするためのあらゆる取り組みを喜んでサポートします。

一般的に、WebサイトでHTTPSを有効にするには、認証局(CA)からセキュリティ証明書を取得する必要があります。 認証局は、訪問者に対してWebサイトのIDを確認できる信頼できるサードパーティと見なされます。 セキュリティ証明書(SSL証明書とも呼ばれます)はWebサーバーにインストールされ、次の2つの機能を提供します。a)Webサイトと訪問者の間のすべてのHTTPトラフィックを暗号化するb)WebサイトのIDを認証して、訪問者が偽物を訪問していません。

 ここでは、WebサイトのIDと訪問者のトラフィックを保護することは明らかな利点ですが、さらに説明が必要なものもいくつかあります。

Let's Encryptの前に、必要な証明書の種類を選択する必要がありました。これは、公開鍵システムに慣れていないユーザーにとっては少し混乱するプロセスでした。次に、鍵を生成し、証明書生成要求に署名して、最終的にかなりの金額を費やす必要がありました。 1つを購入するためのお金の。

待ってください、でもSSLとは何ですか?

Secure Sockets Layer(SSL)は、ネットワークの通信を保護する暗号化プロトコルです。 これにより、通信のプライバシーが確保されます。つまり、2つのパーティ間で交換されるデータは暗号化され、サードパーティによって盗聴されることはありません。 また、前述のSSL証明書を使用して、通信する当事者(通常はサーバー)のIDを認証します。

Webサイトが安全かどうかをどのように判断できますか?

SSLで保護されているWebサイトは、次の2つの方法で簡単に識別できます。

https-トリミング
  • URLアドレスの横に緑色の錠前アイコンがあります(使用しているブラウザによって異なります)
  • URLはhttpではなくhttpsで始まります。

ただし、SSL証明書にも有効期限があります。 その日付が過ぎると、通信は安全でなくなり、証明書を更新する必要があります。 最初に南京錠のアイコンをクリックし、使用しているブラウザに応じて、次の手順を実行することで、WebサイトのSSL証明書の有効期限が切れているかどうかを簡単に確認できます。

Firefoxでは、右側の矢印ボタンをクリックしてから、[詳細情報]リンクをクリックします。 最後に、[セキュリティ]タブの下にある[証明書の表示]ボタンをクリックして、証明書の詳細を表示します。

Chromeを使用している場合は、[詳細]リンクをクリックしてから、[セキュリティの概要]タブの下にある[証明書の表示]ボタンをクリックします。

[有効期間]セクションには、証明書に関連する2つの日付があります。 発行日有効期限。 1つ目は証明書がアクティブ化された日付で、2つ目は有効期限です。 有効期限が過ぎている場合は、証明書を更新する必要があり、通信は安全ではなくなります。

なぜSSLを気にするのですか?

ええと、いくつかの理由があります! Webサイトと訪問者の間の通信を保護し、WebサイトのIDを認証し、ブラウザーとWebサーバー間のデータの整合性を確保し、さらに高いSEOランクを取得します。

安全な通信と認証されたIDは良いもののように聞こえますが、それらはあなたのWebサイトを何から保護していますか? 概念は、一部の人には曖昧に見えるかもしれません。 実際には、これら2つは連携して、コンピュータセキュリティで文書化されている最も古典的な攻撃方法の1つと戦っています。 「man-in-the-middle」攻撃(または略してMitM)。

Pressidiumであなたのウェブサイトをホストする

60日間の返金保証

私たちの計画を見る

ボブがアクセスするアリスが運営するWebサイトがあるとします(この攻撃は、Webサイトだけでなく、さまざまなサービスでも機能します)。 ここまでは順調ですね。 次に、チャールズと呼ばれるこの悪者がいます(コンピュータセキュリティの悪者は通常、何らかの理由でチャールズと呼ばれます。乾いたマティーニと秘密の隠れ家が思い浮かびます)。

チャールズは、この記事では説明できないほど複雑なさまざまな手法を使用して、アリスとボブの間の通信チャネルの制御を掌握します。 彼は彼らの間に静かにそして目に見えないところに座っています。

真ん中の男

ボブがアリスのウェブサイトにアクセスすると、彼はアリスとの間でデータを送受信していると思います。 実際には、彼が送信するデータはチャールズを通過し、チャールズはそれらをアリスに転送します(それを行う前に、それらを保存するか、悪意のある方法で改ざんすることを確認してください)。 アリスのウェブサイトが応答すると、データはチャールズからボブに再び渡されます。 強力なワイヤータップを持っているのとまったく同じです。 チャールズは、電子メール、パスワード、クレジットカードなどの機密データを保存できるだけでなく、アリスのWebサイトやボブのWebブラウジングセッションの一部になりすますこともできます。

ここで、2つのSSLの同盟国、認証されたIDと安全な通信が救いの手を差し伸べる場所を確認します。

WebサイトがSSLで保護されている場合、中間者攻撃を阻止するのははるかに困難になります。 ボブがアリスのWebサイトに接続すると、サーバーの証明書を受け取り、CAに対して検証します。 証明書が検証された後、サーバーとクライアントはいくつかの追加情報を交換し、データ通信が開始されます(使用する暗号の種類、ハンドシェイクと呼ばれるプロセスなど)。 チャールズがボブに自分の公開鍵を送信してアリスになりすまそうとした場合、彼はそれほど遠くまでは行きません。 証明書の内部には、ファイルの整合性を保証するデジタル署名と呼ばれる一連のデータがあります。 証明書の一部が変更されると、署名も変更されます。
したがって、チャールズが公開鍵を変更しようとすると、CAは証明書を拒否し、ボブに通知します(CAによって計算されたデジタル署名が証明書の現在の署名と一致しないため)。 チャールズはアリスの秘密鍵を持っていないため、通信を復号化できません。 Charlesが何でもできるようにする唯一の方法は、CAのサーバーも危険にさらすことです。

しかし、マティーニを飲む悪者からあなたを守るだけでなく、SEOランキングも向上します! Zineb AitBahajjiとGaryIllyesによるGoogleWebmastersのブログ投稿によると、HTTPSはランキングシグナルとして使用されます。

良い結果が得られたので、ランキングシグナルとしてHTTPSを使い始めています。 今のところ、それは非常に軽量な信号にすぎません。 ただし、時間の経過とともに、すべてのWebサイト所有者がHTTPからHTTPSに切り替えて、Web上のすべてのユーザーの安全を確保することを推奨するため、これを強化することを決定する可能性があります。 「「

さらに、9月の時点で、Googleセキュリティブログは、Chromeブラウザがウェブサイトに「安全ではない」という明示的なラベル付けを開始することを発表しました。 これは、「より安全なWebに移行」し、ユーザーの意識を高めるために行われます。

それはどのように機能しますか?

これまで、SSL証明書と、SSL証明書がセキュリティとID認証を提供する上でどれほど重要であるかについて説明してきました。 このセクションでは、袖をまくり上げて、本質的なものに取り掛かります!

SSLは、公開鍵インフラストラクチャ(またはソートの場合はPKI)と呼ばれるシステムを使用して機能します。
PKIは、安全でないネットワークを介して安全に通信する方法の問題を解決するために使用されるコンピュータセキュリティシステムです。 簡単に言えば、アリスとボブがインターネットを介して安全に通信したい場合、彼らはある種の暗号化キーを交換する必要があります。 しかし、彼らがこれを行い、彼らの間にいてコンピューターを所有している誰かがその鍵を手に入れれば、彼は将来のすべてのコミュニケーションを読むことができるでしょう! (チャールズタイプの人ではないかもしれません。仕事の性質上、システム管理者はサーバーを通過するすべてのプレーンテキストデータにもアクセスできます)。

これは逆説的な問題のように思われるかもしれませんが、1つだけでなく、1対のキーを使用することで解決されます。 パブリックとプライベート:

  1. アリスとボブは公開鍵を交換します。 これらは公開されているため、安全でないネットワークを介して問題なく送信できます。 実際、それらを公開することはそれらの意図された使用法です!
  2. 次に、アリスは自分の秘密鍵ボブの公開鍵を使用して、ボブに送信するメッセージを暗号化します。
  3. ボブはメッセージを取得し、アリスの公開鍵とともに自分の秘密鍵を使用してメッセージを復号化します。

秘密鍵は通常、コンピューター(またはUSBドライブ、または安全であることがわかっている場所)にローカルに保存されます。 誰があなたの電子メールやネットワーク通信を読んだとしても、彼らはあなたの秘密鍵なしで文字化けしたように見えるテキストしか受け取らないでしょう。

公開鍵暗号化のもう1つの有用な側面は、デジタル署名の概念です。 チャールズが証明書を改ざんしようとしたときに、前述しました。
アリスがボブにメッセージを送信するとき、彼女は自分の秘密鍵を使用してデジタル署名することもできます。 これにより、メッセージが実際にアリスによって送信され、他の誰からも送信されないことが保証されます。 デジタル署名は、実際には、証明書の情報を使用して計算される16進数の長い文字列です。 証明書の1バイトが変更された場合でも、デジタル署名も変更され、CAはそれを拒否します。

SSL証明書は、システム(通常はWebサーバー)にインストールされ、同じように機能する単なるデータファイルです。 通信を暗号化し、エンティティ(この場合はWebサイト)のIDを保証します。 次のような情報が含まれています。

  • 証明書の所有者の名前
  • 電子メールアドレス
  • 有効期間
  • Webサーバーの完全修飾ドメイン名
  • 所有者の公開鍵
  • 証明書が変更されていないことを保証するデジタル署名。

このすべての情報を使用して、エンティティ/組織をそのシステムに効果的に関連付けます。

証明書を発行する方法は2つあります。 1つは自分で署名する(自己署名)、もう1つは認証局を介して取得する(信頼できる)ことです。

自己署名証明書と信頼できる証明書の違いは何ですか?

自己署名証明書は、信頼できる証明書と同じレベルの暗号化を提供しますが、所有者のIDを保証するものではありません。 これは主に、テストや、所有者をシステムに結び付ける必要がないローカルネットワークインフラストラクチャで使用されます。

一方、信頼できる証明書は、暗号化とID認証の両方を提供します。 証明書は、いくつかのバックグラウンドチェックを使用して証明書の所有者の身元を確認するサードパーティ(CA)によって発行されます。

つまり、これはCAを信頼する必要があることを意味します。 それが不正なものである場合はどうなりますか?

これは確かに発生する可能性があり、過去に何度も発生しています。 これは確かに信頼の問題であるため、唯一の解決策は、使用しているCAが既知で確立された立派な組織であることを確認することです。 CAは、証明書の発行に料金を請求します(通常、わずか10ドルから3桁の金額)が、高価なCAは信頼性と安全性を高めることを意味すると考える罠にはまらないはずです。

Let'sEncryptを使用してWebサイトをSSLで保護する方法

Let's Encrypt証明書を生成し、それをWebサーバーにインストールする方法はたくさんあります。 このプロセスは、Unixシェルから作業するかどうか、実行しているWebサーバーの種類などによって異なります。詳細については、ブラウザでLet'sEncryptの「はじめに」ページを参照してください。

あなたが既存のPressidiumクライアントであるなら、物事はこれ以上簡単ではありません!
まず、Pressidiumポータルアカウントにログインします。

  1. [ SSL証明書]タブをクリックします。
  2. [無料のLet'sEncrypt証明書を生成する]ボタンをクリックします。
  3. [ Let's Encryptのインストール]ドロップダウンメニューから証明書を選択して、証明書をインストールするWebサイトを選択します。
  4. 最後に、[ SSL証明書の作成とインストール]ボタンをクリックすると、完了です。

WebサイトでSSLが有効になっているかどうかをテストするには、ブラウザを開き、アドレスにhttpsを使用してWebサイトのURLにアクセスします。 ブラウザに見慣れた緑色の安全な南京錠のサインが表示されている場合は、ビジネスを行っています。

新しいLet'sEncrypt証明書の有効期間は90日ですが、自動的に更新されます。 ポータルから購入した独自の証明書を管理およびインストールすることもできます。 このナレッジベースの投稿を読んで、すべてを見つけてください。

セキュリティはプロセスであり、ターンキーソリューションではありません

難しい真実は、何かを購入したり、ソフトウェアをインストールしてそれを忘れたりすることはできず、すべてのセキュリティ問題にうまく対処したと思うことです。 コンピュータのセキュリティは、技術的なメカニズム、ポリシー、コンピュータ、そして何よりも人と人間の心理を含む巨大なパズルです。 あなたはパズルのすべてのピースを正しくし、継続的にそれに気を配る必要があります。 これはプロセスであり、ターンキーソリューションではありません。

人的要因は、悪意のあるユーザーによって何度も悪用されてきたものです。 私たちは、情報提供、ツールの提供、インターネットセキュリティ問題に対する一般の認識の向上を目指すあらゆるイニシアチブを100%バックアップします。 今後の投稿では、WordPressのセキュリティの側面をより深く徹底的に掘り下げていきます。 WordPressは、多くの人に価値と食べ物を提供するために人々や企業によって使用されています。 セキュリティインシデントは、もはやWebサイトの改ざんやサイバー落書きに関するものではありませんが、他の人々の生活に明白な影響を及ぼします。 そして、これは私たちが非常に真剣に受け止めていることです。