blogにHTTPSを適用する(サーバー証明書取得編)

  • 投稿日:
  • by
  • カテゴリ:

先日、こんな記事がありました。

グーグル、HTTPSページを優先して登録するよう検索のインデックスシステムを調整 -INTERNET Watch

グーグル株式会社は18日、検索におけるインデックスシステムを調整していると公表した。同じコンテンツであれば、HTTPのページよりもHTTPSのページを優先的に登録するようになる。
 
グーグルでは、検索結果にHTTPSページを表示させることにより、セキュアではない接続を介したウェブサイト閲覧でのコンテンツインジェクション攻撃など、データの傍受や中間者攻撃を受けるリスクの低減につながるとしている。同社では、「HTTPS everywhere」を提唱しており、2014年8月には、HTTPS対応状況を検索結果の順位を算出する要素の1つにする取り組みに着手している。

入力フォームなどだけでなく、普通のWebページにもHTTPSを適用しましょうというのが最近の潮流ですが、公的な認証を受けたサーバー証明書を発行して貰うのは費用が掛かります。

我が家にはWebサーバーとファイルサーバーの2台があり、それぞれ管理画面については「オレオレ証明書」でHTTPS化しています。 使うのは自分だけなので、サーバー証明書をPCにインポートすれば、煩わしいChromeのエラー表示もなく利用可能です。

しかし一般公開して不特定多数の方がアクセスするWebページについては、「オレオレ証明書」では解決できません。 公的な認証に基づくサーバー証明書が必要です。

無料のサーバー証明書を発行してくれるという「Let’s Encrypt」は、当初の予定よりも遅れたものの一般ベータテストを開始したようです。
ただ「無料」に拘っているつもりはなく、ドメイン(年間980円/個)だって一時は3つも所持していたくらいなので、低価格であれば有料でも構わないと思っていました。

そこで、ものは試しに RapidSSLで1620円/年のサーバー証明書を買ってみることにしました。
手順は上記ページの「RapidSSL証明書発行までの流れ」にありますが、会員登録してログインしたダッシュボードにより詳細な「ご利用の流れ」という説明もあります。

注意点としては、「RapidSSL 1年(ファイル認証専用)」はワイルドカード非対応なので、サーバーごとに用意する必要があります(当然ですが)。
例えば www.still-laughin.com と blog.still-laughin.com があれば、それぞれで購入しないといけないということです。
一般公開しているアドレスは今は blog.still-laughin.com だけなので、自分の場合は1個でO.K.でした。

CSR・秘密鍵は、ダッシュボードにツールが用意されているので、それを使って生成しました。

csr_koumoku.jpg

購入した証明書をCSRでアクティベートしたら、送られてくる認証ファイルをWebサーバーのドキュメントルートに配置します。
すると、しばらくしてSSL(サーバー)証明書と中間CA証明書がメールで送られてきます。 証明書が届いたら先ほどの認証ファイルは削除して構いません。
なお、送られてきたメールに秘密鍵はありません(秘密なので)。 ツールで生成した秘密鍵を使います。

申請・登録の過程が日本語でできるので安心感がありますね。 StartComのサーバー証明書は英語なので、ただでさえ専門用語が多くてよく分からないサーバー証明書の取得はちょっとハードルが高いです。

サーバー証明書とはどんなもので、どうやって取得、利用するものかというのを学ぶことができたという意味でも、1620円の価値はあったと思います。