あなたのSSLは大丈夫?

この記事はだいぶ前に書かれたものなので情報が古いかもしれません
AAランクプラスの朝倉さん

この記事を三行にまとめると

例えばこんなサイトで調べてることができます
朝倉さんのようにAAランクプラスまではいかないらしい
一寸先は闇……まさにそれはウェブのことなのかも
常時SSLがだいぶ浸透してきた昨今、Chromeは非SSLのサイトに「保護されてない通信」と容赦なく表示するようになり、何かもう個人サイトであってもSSL化はしておかなければならないという焦燥感に煽られるようになりました。

そのせいか、昔はSSLの証明書を取得するのに年間何万円というお金を払っていましたが、今ではレンタルサーバーも無料でSSLを使えるところが増えてきました。

ところで一口にSSL証明書といっても、その種類とか提供元はいくつもあります。無料でSSLを使うことが難しくなくなったのに、未だに何万円という料金がかかるSSL証明書もある。

こうなってくると「無料の証明書って本当に大丈夫なん?」みたいな疑問が沸く人もいるかもしれません。安かろう悪かろうなんて言葉もありますが、かつてのオレオレ証明書みたいに、SSLには違いないけど信頼できる接続じゃない的な警告が出やすい証明書だったりしないのかと思う人もいるかもしれません。

ウェブは複雑ですからね。普段自分が使ってるブラウザではSSLは問題なく機能してるのに、実は別のブラウザでは警告が出てるなんてことがあったりしますから。PCだと大丈夫だけどスマホだとダメとかね。



自分とこのSSLがどこまで安心できるかどうかは、例えばこんなサイトで調べてることができます。

SSL Server Test

ここで自分の運営しているサイトのドメインを入力すると、SSLの証明書がどれくらい安全かどうかを確かめることができます。

試しにうちの「norm-nois.com」を入力して確かめてみましょう。

A-だから……まあまあ問題なしってとこですかね

こんな感じです。あかつきのお宿はレンタルサーバーが提供している無料のSSLを使ってます。Aマイナスだから……谷口的美的ランクで言えば長門さんクラスってことですね。完璧とは言えませんがそれほどやばいってこともなさそうです。いや、スペック的には長門さんは地球上のいかなるコンピュータよりも完璧だけどね。

ちなみにこのサイトでの最高評価はAプラスのようです。どんなに優れたSSLでも朝倉さんのようにAAランクプラスまではいかないらしい。

もし証明書に脆弱性があると警告のメッセージが出ます。上の画像でも「The server does not support Foward Secrecy・・・」みたいな警告が出てますね。帯の色がオレンジ色の場合は致命的にやばいわけではなさそうです。もしもピンク色の警告が出てたら注意です。もちろん一つも警告が出てないのが理想ではあるのですが……。

上記の画像は評価の一部だけしかないですが、各ブラウザやOSの対応状況なども細かく見ることができます。

モダンなブラウザは基本オッケーのようです

ここで特に問題がないようだったら、IEやスマホでも接続に関する警告は出てないと判断して良いと思います。画像の文字がちっちゃいために見えづらくて恐縮ですが、うちの場合はWindowsXPのIE8とかはダメみたいですね。まあXPのIE8ならダメでもしかたないでしょう。



先日、AWSで運用しているウェブサイトを上記のサイトを使って調べたら実はCランクだったことが判明しまして……AWSのSSLは暗号化方式を細かくカスタマイズできるんですが、脆弱性のある方式がいくつか有効なままになっちゃってたみたいで、それで評価が低かったと、そんな感じです。そのまま放置してたらいつか誰かに「あなたのウェブサービスをダウンさせて涼宮ハルヒの出方を見る」とか言われかねないので慌てて直しました。

いやはや、セキュリティってやつとはいつまでも向かわないといかんのですな。今は安全でも明日には安全じゃなくなってるかもしれないからね。美人で優しくて料理上手なまさに理想の女性だと思ってたクラス委員長がある日いきなりナイフで切りかかってくるかのように。

一寸先は闇……まさにそれはウェブのことなのかもしれません。
 もしかしたら何か関連しているかも? 
 質問や感想などお気軽にコメントしてください