ついに我がブログもhttpsに対応した。
個人情報のやり取りがあるわけでもないので特に必要ないのだが、WordPressにログインする箇所が平文で通信しているのも嫌なので、いつかは暗号化したかった。
もっとも、自分一人しかログインしないのであれば、管理画面に限ってオレオレ証明書を使えば良いのだけれども
「公開しているウェブサービスでオレオレって…」という抵抗感があり実施しなかった(平文で続けるのもいいものではないが)
ちなみにオレオレ証明書というのは自分で勝手に作った証明書のこと。
後で詳しく説明する。
でも調べてみたら、最近は安い証明書が売ってるんだ。
企業向けの証明書なんてのは年に数万から数十万かかるし、以前会社でベリサインで買った証明書を当てる仕事をしたけれども、そのときにベリサインは担当者に電話をかけて企業や担当者の実在とか調べてきたらしい。
お金もさることながら、こういう対応は完全に企業向けだし個人サイトじゃ縁がないなと思った。
ところが、iPhoneのアプリからアクセスする通信は今後httpsでなければならなくなるらしい。
iPhone用アプリを作っているわけではないけれども、こういう流れがきたらウチのような個人で管理しているサイトはどうなるんだとおもった。
で、しらべてみたらなんと安い証明書が結構あった。
うちのはなんと年900円。
「やすいし、かっちゃおうかなー
仕事でSSL証明書あつかったりするけれど、プライベートでも設定したいなー
鍵マークついているとかっこいいしな。」
とか迷っているうちに、いつの間にか買っていた。
ちなみに無料というのもあった!
だが無料の証明書は更新がめんどくさそうなので、有料のものにしておいた。
これで、特に必要ないけれど今後このドメインでwebAPIを作ってiPhoneアプリを作ったときでも安心してアクセスできる。
このブログの管理画面にログインするときに暗号化されるので、盗聴の恐れがなくなった。
会社でログインして書いてもいいってことだ!
あまりメリットはないけれど、鍵マークがついた個人サイト見るだけで結構いい気分なので、
それだけで900円の価値はあった。
激安証明書は大丈夫か?
この激安証明書はKingSSLというところで買った。
SSL証明書にはぴんきりがあって、Twitterのようなサイトではアドレスバーに企業名がついているやつがあるけれども
これが一番高くて、厳格な企業の実在や担当者の権限の確認など国際統一基準で審査をしたうえで取る。
年10万円〜のものが多い。
企業の実在を確認するタイプのものは、だいたい年5万〜10万円といったところ
ドメインの所有権を調べるだけワイルドカードでドメイン指定できるオプション付きなら年数万円。
ワイルドカードというのはサブドメインも使える証明書。
サブドメインというのはhoge.exsample.com hoge2.exsample.com といったようにドメインの左側に文字指定してドメイン内で複数のドメインを作れるのだ。
ドメイン所有権しらべて、ワイルドカードなしのものは年数千円になっているようだ。
ちなみにドメイン所有権をしらべるのはドメイン名を使ったメールアドレスにメール送って届くかどうかだけだ。
数千円なら個人でも買えるが、無駄遣いはしたくない額だ。
それがうちが買ったKingSSLなら千円切る。
値段の違いは、企業が本物であるというアピールと
複数のサーバーに使えたり、導入サポートするサービスがついたりすることで高いというわけで
安い=すぐ暗号が破られるというわけではない。
暗号の方式は変わらないのだから。
しかしこのKingSSLという企業は、値段的に大丈夫かよ。
この企業これで儲かっているのかと心配になってしまう。
運営会社を見てみると、トリトンという会社で本業というかちゃんと企業向けにはAlphaSSLというブランドでやってるようだし、他にもホスティングサービスなどやっているので安くても困るというわけでもなさそうだ。
それに逆ザヤでも客寄せパンダでKingSSLをやっているというわけでもなく徹底的にコスト削って一応利益は出しているようにも見える。
サイトはダサいし、ユーザー用管理画面など一切ない。
フォームで証明書要求送ってカードで金を払ったら、証明書がほしいサーバーのドメインを使ったメールに証明書が送られてくるだけ。
完全に自動だ。数分で作れた。
このようにしてコスト削減しているのだろうな。
でも、そうそう証明書なんて多売できるものでもなさそうだし、その戦略で大丈夫なのだろうか?
ちなみに、この会社はGMOグローバルサイン系列で、ルート証明書もグローバルサインのものだった。
適当に作った認証局を売っているわけではなく親は安定しているので、
買っても損することはなさそうということで、ここを選んだ。
やったこと、こまったこと
後日、もっと詳しく書こうと思うが、
今回やったことは、証明書を買ってサーバーに設定するだけでなく
httpsに対応していないプラグインとか探すことも必要だった。
むしろ後者のほうが大変だった。
httpsのページにhttpにリンクしている画像やスクリプトがあると警告がでてブロックされてしまう。
はてなブックマークのウィジェットがまずhttpsに対応していなかったので、ブロックされてしまった。
また、ハテブやTwitterのシェアボタンなどを表示させる、wp social BookMarking というWordPressのプラグインがあるのだがこれもhttpsに未対応だった。
なのでそれらは諦めるしかなかった。
もっともでかいデメリットは、
はてなブックマーク数がリセットされることだ。
httpとhttpsは別のURLになるので、ブクマされていなかったことになってしまった。
これは仕方がない。
特にブクマがついていたわけでもないので、これは諦めることにした。
次回は、SSL/TLSとはなにか と 実際にどんなことをやってこのブログをSSL/TLS化させたのかをお伝えする。