ヘルプ・用語集
セキュリティ
2018.02.16
.htaaccess - X-Forwarded-For によるアクセス制限
開発時などアクセス制限を設ける場合は、弊社の利用しているレンタルサーバーはロードバランサーによる負荷分散を行っているため、HTTPヘッダの「X-Forwarded-For」を利用したアクセス制限となります。
アクセスできるIPアドレスを制限する場合
1 | SetEnvIf X-Forwarded-For 1.1.1.1 env-variable | env-variableは変数名なので違う名称でもかまいません。 |
---|---|---|
2 | SetEnvIf X-Forwarded-For 1.1.1.2 env-variable | |
3 | Order Allow,Deny | デフォルトで拒否 |
4 | Allow from env=env-variable | env-variableがあれば許可 |
SetEnvIf ディレクティブ
HTTP リクエスト、またはリクエストヘッダの属性が値(正規表現)と一致した場合、環境変数を設定します。
構文:SetEnvIf 属性(attribute) 値(regex) 環境変数(env-variable[=value])...
Allow from env=env-variablerder
env-variable(環境変数)が存在した場合、アクセス許可
構文:Allow from all|host|env=env-variable [host|env=env-variable] ...
参考サイト
2017.04.13
TLS(Transport Layer Security)/SSL(Secure Sockets Layer)
インターネット上で通信を暗号化する技術である「TLS/SSL」を利用して、クライアントとサーバ間のHTTPやFTP、メールなどの通信データを暗号化することで、第三者によるデータの「盗聴」「なりすまし」「改ざん」などを防ぐことができます。
*以下の説明は主にWebサーバーにおける「TSL/SSL」についてご説明いたしております。
TSL/SSLサーバ証明書とは?
情報を暗号化するTLS/SSLの機能に加え、Webサイト所有者を確認できる証明書です。
「TLS/SSLサーバー証明書」は誰でも発行することが可能です。そこで重要となるのが「TSL/SSLサーバー証明書の証明機関・認証局が信頼できるか」ということになります。
通信データの暗号化・復号化
クライアントがTSL/SSLサーバへ訪れるとサーバーで「公開鍵」と「秘密鍵」が生成され、公開鍵の含まれた「TSL/SSLサーバー証明書」をクライアントへ送ります。
クライアントはサーバーから送られてきた「TSL/SSLサーバー証明書」をクライアントにて予め登録している「信頼されたルート証明機関・認証局」の証明書(ルート証明書)を用いて「証明書が正しい認証機関・認証局から発行されているか」など検証を行います。
「TLS/SSLサーバー証明書」の検証が完了すると証明書内に含まれている「公開鍵」を用いてプリマスタシークレットを暗号化してサーバーへ送り、サーバーは「プリマスタ シークレット」を復号化します。
「クライアント」「サーバー」お互いが持つ「プリマスター シークレット」を用いて、「共通鍵」が生成され、以降はこの「共通鍵」を用いた「暗号化」と「復号化」により通信が行われます。
Webサイト所有者の確認
サーバーから発行された「TSL/SSLサーバ証明書」には、「ドメイン認証」「組織認証」「EV認証」の3つの認証があります。
ドメイン認証(DV/Domain Validation)
「ドメイン使用権の所有」と「ドメイン認証 TLS/SSLサーバー証明書」が発行されます。
ブラウザにより表示は異なりますが、Google Chromeの場合アドレスバーの左側が緑色になり「保護された通信」と表示されます。
しかし、「ドメイン認証型TLS/SSLサーバー証明書」は、Webサイト所有者の実在性は確認の対象外となるため、正規Webサイトと間違えるようなドメインで偽Webサイトを作成し、その偽Webサイトにドメイン認証型TLS/SSLサーバー証明書を設定した場合、クライアントは「証明されているので大丈夫」だと判断してしまい、偽Webサイトであることに気づきにくくなります。そのため、「ユーザ名、パスワード、クレジットカード情報など」を奪われる詐欺行為である「フィッシング詐欺」の可能性もあります。
組織認証(OV/Organization Validation/別名:企業実在認証)
「ドメイン使用権の所有」と「組織の法的実在性」の確認により「組織認証 TLS/SSLサーバー証明書」が発行されます。
調査会社などの第三者機関への照会や、登記に関する証明書などを使い、所有者の法的実在性を確認します。クライアントは、「WebサイトのドメインとTSL/SSLサーバー証明書のドメインが一致する事」と「TSL/SSLサーバー証明書に記載された所有者」を確認する事で判断できます。
EV認証(EV/Extended Validation/別名:実在認証・EV SSL認証)
「ドメイン使用権の所有」と「組織の法的実在性」と「組織の物理的実在性」の確認により「EV認証 TLS/SSLサーバー証明書」が発行されます。
ドメイン使用権の有無に加えて、ウェブサイト運営団体の実在性を最も厳格に認証するSSLサーバ証明書です。「CA/ブラウザフォーラム」という主要なブラウザベンダーと認証局で構成される団体が策定した「EVガイドライン」に基づき、実在性の確認を厳格に行うのが特徴です。これにより、EV SSL証明書は最高レベルの信頼性を実現します。
ブラウザにより表示は異なりますが、Google Chromeの場合アドレスバーの左側が緑色になり所有者が表示されます。
情報を送る前に確認!SSLサーバ証明書が導入されているウェブサイトの見分け方
SSLサーバ証明書が導入されているかどうか、ウェブサイトでパスワードやクレジットカード情報などを入力する前には必ず確認しましょう。確認するポイントは大きく2つです。
【1】URLの「S」をチェック!SSLサーバ証明書を使用するとURLは、https://~と表示されます。【2】ブラウザの鍵マークをチェック!SSLサーバ証明が導入されているウェブサイトは、ブラウザに鍵マークが表示。鍵マークをクリックすると証明書情報を確認できます。
※ ブラウザの種類やバージョンによって錠前マークの位置は異なります。(上記図表例は IE9 です。)
1つ目はURL欄です。先頭が「http」ではなく「https」で始まっていることを確認しましょう。この「s」はSSLサーバ証明書を使用している(セキュアである)ということを意味します。
2つ目はブラウザの鍵マークです。SSLサーバ証明書が導入されているウェブサイトにアクセスした場合、ブラウザに鍵マークが表示されます。また、この鍵マークをクリックすることで、証明書の内容を表示でき、有効期限切れになっていないか、などを確認できます。
そのSSLサーバ証明書は、正しい審査を受けて発行されている?
SSLサーバ証明書が導入されていても、第三者による確かな審査を受けて発行されているか、という確認が必要です。通称「オレオレ証明書」と呼ばれる自己署名型の証明書が利用されている場合は、ブラウザに警告画面が表示され、その先のページに進むことが困難です。信頼できる機関によって発行されていない証明書は、サイトの利用を継続してよいかどうか安全性に疑問が残りますので、認証局による正しい発行審査(認証)を経たSSLサーバ証明書が導入されているウェブサイトを利用することが大切です。
安全なウェブサイトの目印ノートンセキュアドシール
ノートン™セキュアドシールが掲載されているウェブサイトには、シマンテックの SSLサーバ証明書が導入されています。
シールをクリックすると、ウェブサイトを所有する企業名などを確認できます。
Norton SECURED powered by symantec
ノートン™セキュアドシール
SSLの警告画面に注意しましょう
SSLサーバ証明書には有効期限が存在します。利用企業のドメイン変更やサイト運営団体の廃業などの事態を想定し、サイト運営団体の実在性確認を定期的に行う必要があり、サーバ証明書は定期的に更新することが必要です。
SSLサーバ証明書を更新せずに有効期限切れとなった場合、サイトを訪れた利用者のブラウザに警告画面が表示されます。
また、有効期限前でもSSLサーバ証明書が無効になる場合があります。クレジットカードを紛失したときなどと同様に、SSLサーバ証明書の所有者が秘密鍵を漏えいしてしまった場合などは、証明書の失効を行う必要があります。この場合は認証局に対して失効の申請を行い、失効の手続きを行います。
この場合も、証明書が無効であるという警告画面が利用者のブラウザに表示されます。
このような警告画面が表示された場合の対応はこちら
SSLサーバ証明書の発行実績世界 No.1 はシマンテック
公的なデータによる調査と厳しい発行審査基準に基づいて発行されるシマンテックの SSLサーバ証明書は、「安心の証」として世界中で認められています。SSLとは暗号化通信のことで、お問い合わせフォームなどに入力した内容を暗号化してサーバーに送る際に使用します。
SSL通信の場合、アドレスが「https://〜」から始まるものとなり、ブラウザによってはページを表示した際、アドレス欄が安全を示すグリーンで着色されたりします。
ただ、機能としてのSSL通信はサーバーの設定次第で有効にできますので、そもそも悪意ある人がセキュリティの安全性をうたって個人情報を集めようとしていたら元も子もありません。
そこでホームページを運営する企業の身元確認を第三者機関が実施し、発行された電子証明書が独自SSL証明書です。独自とついているのは、独自ドメインに対して発行される御社専用の電子証明書であることを示しています。
共有SSLとは何ですか?
共有SSLとは、RAKULINご契約のお客さまホームページすべてに対して適用されるSSL(暗号化通信)です。
独自SSLの場合「https://www.御社名.co.jp/」などになりますが、共有SSLの場合はSSL証明書取得・管理費用がかからないというメリットがある反面、どのホームページでも必ず「https://secure-cms.net/~rakulin.net/」から始まりますので、ホームページを閲覧されている方からはアドレスが変わったように見えてしまうデメリットがあります。
利用者とのプライバシー保護のために通信を暗号化します・
するSSL化が求められるようになってまいりました。
「CMS。Mippy」では、お問合わせなどに利用する「メールフォーム」は共有TLS/SSLを利用した標準システムとなりますが、オプションサービスの「独自TLS/SSL」をご利用いただくことで、より信頼度の高いTLS/SSLをご利用いただけす。
共有TLS/SSLと比較した場合、独自TLS/SSLは独自ドメインで接続されるため、閲覧者にとってはURLが変わることなく安心して利用することができ、独自TLS/SSL証明書は認証局(第三者機関)より発行されるため信用にもつながります。
弊社の「独自TLS/SSL」では、IPアドレスベースの「独自TLS/SSL - IP」と、一部の古いブラウザは非対応ですが安価で導入することのできるネームベースの「独自TLS/SSL - SNI」をご利用いただけます。
*「独自TLS/SSL - SNI」の対応するブラウザはこちらで確認いただけます。
TLSとSSLの違いとは?
SSLプロトコルは、SSLがバージョンアップを重ねて「SSL3.0」となり、SSL3.0を元にした「TLS(Transport Layer Security)1.0」をRFC(Request For Comment)が公表し、SSL3.0の利用は終了しました。現在では「TLS1.2」が制定され、より安全性が高いプロトコルが使われています。
現在でも「SSL」と呼ばれることがあるのは、これまでの流れから通信データの暗号化に「SSL」という呼び方が普及しているためです。TLSでも「SSL」や「SSL/TLS」と呼ばれることもあります。
「CMS.Mippy」は「TLS1.2」を利用しています。
SSLの種類(IPアドレスベース・ネームベース)
SSLでの接続の際には、SSL証明書に改ざんがされていないか確認をするため、通信を開始しようとするドメインごとに異なるIPアドレスが必要となっておりました(IPアドレスベース)。
新たなSSLとして注目されているのが、SSL専用のIPアドレスを必要としないネームベースのSSLです。一般的には、SNI(Server Name Indication)といい、共用サーバーで複数のサイトを管理する場合でも、ドメインごとにIPアドレスを必要とせず、ドメイン名で通信を開始する手続きを行うことができるようになりました(一部の古いブラウザには対応しておりません)。
SSL(IPアドレスベース)SSL(ネームベース)
独自SSL証明書○○
IPアドレス○-
ブラウザ対応◎○
※対応ブラウザは下記の
「ネームベース対応ブラウザ」参照
ネームベース対応ブラウザ
独自SSL(ネームベース)は一部の古いブラウザは非対応となります。対応する主要なブラウザは以下のとおりです。
Internet Explorer7以降(Windows Vista以降) ※Windows XPでは非対応です。
Mozilla Firefox 2.0 以降
Google Chrome 6 以降
Safari 3.0 以降
iOS 4以降の MobileSafari
Android Honeycomb 3以降
Windows Phone 7以降
独自SSL証明書サービスの内容
価格
独自SSL証明書月額 500円(税別)
SSL専用IPアドレス追加月額 1,000円(税別)
※SSL専用IPアドレス追加オプションは、SSL専用のIPアドレスを追加するサービスとなります。独自SSLのお申し込みがない状態での単独のお申し込みは受け付けておりません。
SSLの種類と独自SSL証明書サービスのご利用について
CMS標準サーバーを利用する場合
SSL(IPアドレスベース)SSL(ネームベース)
必要なオプションサービス
(新)独自SSL証明書 [月額500円]
SSL専用IPアドレス追加オプション [月額1000円]
月額合計: 1,500円(税別)
(新)独自SSL証明書 [月額500円]
月額合計: 500円(税別)
ブラウザ対応◎○
※対応ブラウザは下記の
「ネームベース対応ブラウザ」参照
占有サーバーを利用する場合
占有サーバー(WEB100利用)はIPアドレスを有するため、IPアドレスベースの独自SSLのご提供となります。別途IPアドレスを追加する必要はございません。
SSL(IPアドレスベース)SSL(ネームベース)
必要なオプションサービス
(新)独自SSL証明書 [月額500円]
月額合計: 500円(税別)
-
※占有サーバーはネームベースでのSSLの提供は行っておりません。
ブラウザ対応◎
外部の独自SSL証明書での利用について