はい、こんばんは。
はるかです。
今回は、私の一番のナレッジデーターベースである
Google先生でどんなに調べても出てこなかった情報を
記録として残しておこうと思います。
2014年8月、GoogleがSSLサイトをランキングシグナルに使用するという
発表をしました。
これをみて、SEOに興味のあるWebマスターの多くが
SSLについて考えたのではないでしょうか。
まず、SSLの簡単な説明をしてみます。
ということで、私の構築した環境をお知らせしたいと思います。
私の環境を記述しておきます。
サーバー:さくらインターネット、スタンダードプラン 429円/月
独自ドメイン:www.harukas.org 155円/月
SSL証明書:Rapid SSL 234円/月
そうです。
月々429円で、広告の無い独自のサーバーを構築でき
+155円で、orgなどという有名なドメインを取ることができ
+234円でSSL化が可能という訳です。
これは、私が構築している環境ですので
もっと安く構築する事も可能です。
それでは本題に入りたいと思います。
まず目的です。
SSLにする目的は大きく3つあります。
1)サイトの運営者情報を証明する
2)通信を暗号化して盗み見を防止をする
3)通信の改竄を検出する
です。
1)サイトの運営者情報を証明する
これは、サイト運営者の住所や氏名、会社などを認証局が証明する方法です。
取得するには、登記簿や様々な証明書が必要になります。
どんなに安くても数万~の費用が必要です。
設置した企業や個人を特定できますので、
販売サイトなどでは、幾ら高くてもお客様に信頼して貰うために
導入は必要だと思います。
2)通信を暗号化して盗み見を防止する
これは、SSLのプロトコルを使いブラウザで暗号化して、
通信経路上の盗み見を防止するためのものです。
Rapid SSLなど安価で正しく暗号化できる証明書を取得することで
構築できるようになりました。
3)通信の改竄を検出する。
セッションジャックやクッキー改竄など
トランスポート層より上位の改竄を検出することが
可能です。
もっと簡単な説明をすると
1)は、鈴木はるかという人物(xxに住んでいる等も)が
このサイトを運営しているという証明を公的な第三者に
証明してもらうことです。
数万~
2)3)はSSLを使って通信をする事により
享受できるメリットです。
無料~
SSLを構築する目的によって、料金が全く違いますので
良く検討して使う証明書を選んでください。
私は個人運営者なので1なんかするとストーカの餌食になってしまいます(>_<)
ですので、2の証明書を取って使っています。
通常、レンタルサーバでは、共有SSLは無料で提供されたりするものです。
私は、共有SSLは絶対に使うべきでは無いと断言します。
なぜか?
それは、共有SSLは、悪意を持った人が同じサーバにいれば
共有SSLを使っている善良なサイトの情報をすべて抜き取る事が可能になるのです。
具体的には、住所や電話番号、カード番号などを情報を
簡単に盗み取ることが可能な訳です。
ですので共有SSLは絶対に使ってはいけない通信なのです。
ということで、賢明なWebマスターは絶対に使わないように
してくださいね。
まず共有SSLとは、どんな仕組みかというと、
ひとつのサーバ(=ひとつのIPアドレス)で
一つの証明書を、Aさん、Bさん・・・・で共有して使うという事になります。
これは、その証明書の鍵をAさん、Bさん・・・で共有するという事になります。
もっと簡単にいうとAさんが素晴らしい暗号で鍵を掛けたとしても
悪意をもったBさんはAさんの鍵を簡単に開けてしまうことができるのですね。
怖いですね(>_<)
さくらインターネットでは、この脆弱性に対応するため
SNIという仕組みを搭載しました。
どんなのかというと、サイトの「名前毎」に鍵を持てるようにしました。
たとえば私のサイト www.harukas.orgの鍵は
世界で私一人しか持っていません。
よって、複数人で鍵を共有する仕組みに比べ
情報が盗み取られる危険性が少ないのです。
これからのレンタルサーバーではSSLを使うために
SNIを搭載することは必至になるといっても過言ではないでしょう。
という事で、私のサイトの鍵は私しかもっていないので
安心してくださいね^^
SNIも良いことばかりではありません。
古いブラウザやガラケーなどでは対応していない場合があるのです。
SNI移行目的と使う客層が一致する事は必ず確認してください。
ちなみに私は、セキュリティが脆弱なXPや脆弱な古いブラウザで
アクセスする人は、すべて切り捨てました。
(GoogleAnalyticsで事前にどのブラウザでサイトに来ているか
確認する事もできます。私の場合影響は皆無でした)
この情報は、現時点で私のサイトしかありません。
<2015.06.01追記>
本設定でも動作しますが、もっと良い設定を発見しました。
さくらでHTTPSにするSSL SNIの設定の仕方
を併せて参照願います。
<追記終わり>
<2018年3月追記>
さくらインターネットがSSL環境を変更しました。
そのため、以下のような設定をしなくても動作すると考えます。
詳しくは上記のページで解説します。
<追記終わり>
それではいってみます。
さくらのSSL SNIで独自ドメインを使いWordPressを動かすには
以下の二つの方法があります。
1)www.harukas.orgでWordPressを運営する
2)harukas.orgでWordPressを運営する
の二つです。
サイト名は例です。ようはwwwが付くか付かないかで
大きく変わるという感じです。
ここで、最初に重大発表です。
さくらでwww付きの独自ドメインで
WordPressを動かす事はできません。
2)なら問題ないですが1)は動かないという事ですね。
それでは、その理由を解説したいと思います。
WordPressの管理画面から「設定」→「一般」の画面を知っている人は
多いでしょうね。
の画面です。
私の場合、wp-config.phpのdefineで設定しているため、
ハイド(グレー)表示になっています。
ここでwwwの付くサイトを入力すると、
必ずリダイレクトループが発生します。
なぜリダイレクトループが発生するか説明します。
さくらのサーバでは、ブラウザのURLフィールドに
https://www.harukas.org/
と入力すると、現在のサーバーの状態を示す環境変数に
「harukas.org」がセットされ返却されます。
※ちなみに
http://www.harukas.org/
と入力するとさくらのサーバは、現在のサーバーを示す環境変数は
「www.harukas.org」となります。(全く正常です。SSLにすると異常動作をします)
どういう事かというと実際は、www.harukas.orgというサーバに居るのに
harukas.orgという別のサーバにいる・・・という狂った動きをするのです。
この仕様でWordPressを動かすとどうなるか説明します。
WordPressではサーバ名が違うとき、正しいサイトにリダイレクトするという機能が
標準で備わっています。
つまり、
ブラウザ:www.harukas.org
さくら:harukas.org
となるので、harukas.org→www.harukas.orgのリダイレクトを行うのですね。
そして、その後www.harukas.orgになったかどうかさくらのサーバーに問い合わせます。
しかしさくらのサーバーはharukas.orgだと主張します。
で、頭の良いWordPressは、もう一度harukas.org→www.harukas.orgの
リダイレクトを行います。
しかしさくらのサーバーはharukas.orgだと主張します。
という事で永遠にこれを繰り返し、リダイレクトループになるわけです。
この状態を回避するには、さくらのサーバが、現在のサーバを
www.harukas.orgとして、WordPressに返却すれば旨く動作する訳です。
それを実現するためには
wp-config.phpに次の記述をします。
if( isset($_SERVER[‘HTTP_X_SAKURA_FORWARDED_FOR’]) ) {
これは、さくらのSSL SNIを使用した時に特別に書き出す変数です。
その変数に数値が入っていたらSSLのアクセスだと判断できます。
SSLのアクセスだと分かれば、こちらに都合のよい変数を
強制的にセットします。
$_SERVER[‘HTTPS’] = ‘on’;
$_ENV[‘HTTPS’] = ‘on’;
これは、httpsでアクセスしているという変数を
強制的にONしています。
なぜかというと、さくらのサーバで、SSLサイトでアクセスしている場合
一度rewrite(URLを書き換える)したら、
その後SSLでアクセスしているにも関わらずSSLではないと主張して
しまいます。それは、WordPressにとって大変都合が悪いのです。
ですので、強制的にSSLだという設定をします。
$_SERVER[‘HTTP_HOST’] = ‘www.harukas.org’;
$_SERVER[‘SERVER_NAME’] = ‘www.harukas.org’;
$_ENV[‘HTTP_HOST’] = ‘www.harukas.org’;
$_ENV[‘SERVER_NAME’] = ‘www.harukas.org’;
これは、先ほどのさくらのサーバがharukas.orgで返してくると
説明したことの対策です。
繰り返しますが、さくらのサーバは、www.harukas.orgでアクセスしても
harukas.orgだと主張します。
これを回避するには、www.harukas.orgだと強制的に入力すれば
良いわけです。
それがこのコードです。
ご自分のサイトで対応する場合、もちろんドメイン名は
ご自分のサイトに合わせてくださいね^^
これで、あとは.htaccessにリダイレクトの設定を入れるだけで
うまく動作させることが可能です。
.htaccessの内容
https://にリダイレクトするという命令です。
# BEGIN WordPress
から
# END WordPress
までは、
WordPressが勝手にセットするセクションですので
このままにしておきます。
どうですか?
以上で、さくらインターネットスタンダードプラン
SNI独自SSLで独自ドメインにて、www付きの全サイトをSSL化することが
可能です。
最後に、私がサイト全体をSSL化するにあたりもの凄く参考になった
サイトをご紹介します。
鈴木謙一さんの海外SEO情報ブログ
ブログの完全HTTPS化を完了、HTTPからHTTPSへの移行プロセスを共有
鈴木謙一さんは、有益で高品質なコンテンツを無料で提供している素晴らしい方です。
(※)当ブログに貴重なアドバイスもしていただきました。
ありがとうございます。
では、おやすみなさい。
またね~♪
はるかです。
今回は、私の一番のナレッジデーターベースである
Google先生でどんなに調べても出てこなかった情報を
記録として残しておこうと思います。
2014年8月、GoogleがSSLサイトをランキングシグナルに使用するという
発表をしました。
これをみて、SEOに興味のあるWebマスターの多くが
SSLについて考えたのではないでしょうか。
まず、SSLの簡単な説明をしてみます。
ということで、私の構築した環境をお知らせしたいと思います。
私の環境を記述しておきます。
サーバー:さくらインターネット、スタンダードプラン 429円/月
独自ドメイン:www.harukas.org 155円/月
SSL証明書:Rapid SSL 234円/月
そうです。
月々429円で、広告の無い独自のサーバーを構築でき
+155円で、orgなどという有名なドメインを取ることができ
+234円でSSL化が可能という訳です。
これは、私が構築している環境ですので
もっと安く構築する事も可能です。
それでは本題に入りたいと思います。
1.SSLの種類
SSLの種類というと語弊があるかもしれません。まず目的です。
SSLにする目的は大きく3つあります。
1)サイトの運営者情報を証明する
2)通信を暗号化して盗み見を防止をする
3)通信の改竄を検出する
です。
1)サイトの運営者情報を証明する
これは、サイト運営者の住所や氏名、会社などを認証局が証明する方法です。
取得するには、登記簿や様々な証明書が必要になります。
どんなに安くても数万~の費用が必要です。
設置した企業や個人を特定できますので、
販売サイトなどでは、幾ら高くてもお客様に信頼して貰うために
導入は必要だと思います。
2)通信を暗号化して盗み見を防止する
これは、SSLのプロトコルを使いブラウザで暗号化して、
通信経路上の盗み見を防止するためのものです。
Rapid SSLなど安価で正しく暗号化できる証明書を取得することで
構築できるようになりました。
3)通信の改竄を検出する。
セッションジャックやクッキー改竄など
トランスポート層より上位の改竄を検出することが
可能です。
もっと簡単な説明をすると
1)は、鈴木はるかという人物(xxに住んでいる等も)が
このサイトを運営しているという証明を公的な第三者に
証明してもらうことです。
数万~
2)3)はSSLを使って通信をする事により
享受できるメリットです。
無料~
SSLを構築する目的によって、料金が全く違いますので
良く検討して使う証明書を選んでください。
私は個人運営者なので1なんかするとストーカの餌食になってしまいます(>_<)
ですので、2の証明書を取って使っています。
2.共有SSL?独自SSL?
SSLに興味が出てくると、この言葉が気になります。通常、レンタルサーバでは、共有SSLは無料で提供されたりするものです。
私は、共有SSLは絶対に使うべきでは無いと断言します。
なぜか?
それは、共有SSLは、悪意を持った人が同じサーバにいれば
共有SSLを使っている善良なサイトの情報をすべて抜き取る事が可能になるのです。
具体的には、住所や電話番号、カード番号などを情報を
簡単に盗み取ることが可能な訳です。
ですので共有SSLは絶対に使ってはいけない通信なのです。
ということで、賢明なWebマスターは絶対に使わないように
してくださいね。
3.SSL SNIってなんぞ?
共有SSLを使うと、簡単に情報が盗み取られるのには理由があります。まず共有SSLとは、どんな仕組みかというと、
ひとつのサーバ(=ひとつのIPアドレス)で
一つの証明書を、Aさん、Bさん・・・・で共有して使うという事になります。
これは、その証明書の鍵をAさん、Bさん・・・で共有するという事になります。
もっと簡単にいうとAさんが素晴らしい暗号で鍵を掛けたとしても
悪意をもったBさんはAさんの鍵を簡単に開けてしまうことができるのですね。
怖いですね(>_<)
さくらインターネットでは、この脆弱性に対応するため
SNIという仕組みを搭載しました。
どんなのかというと、サイトの「名前毎」に鍵を持てるようにしました。
たとえば私のサイト www.harukas.orgの鍵は
世界で私一人しか持っていません。
よって、複数人で鍵を共有する仕組みに比べ
情報が盗み取られる危険性が少ないのです。
これからのレンタルサーバーではSSLを使うために
SNIを搭載することは必至になるといっても過言ではないでしょう。
という事で、私のサイトの鍵は私しかもっていないので
安心してくださいね^^
SNIも良いことばかりではありません。
古いブラウザやガラケーなどでは対応していない場合があるのです。
SNI移行目的と使う客層が一致する事は必ず確認してください。
ちなみに私は、セキュリティが脆弱なXPや脆弱な古いブラウザで
アクセスする人は、すべて切り捨てました。
(GoogleAnalyticsで事前にどのブラウザでサイトに来ているか
確認する事もできます。私の場合影響は皆無でした)
4.さくらSSL SNIでWordPressを構築してみる
はい、本当の本題です。この情報は、現時点で私のサイトしかありません。
<2015.06.01追記>
本設定でも動作しますが、もっと良い設定を発見しました。
さくらでHTTPSにするSSL SNIの設定の仕方
を併せて参照願います。
<追記終わり>
<2018年3月追記>
さくらインターネットがSSL環境を変更しました。
そのため、以下のような設定をしなくても動作すると考えます。
詳しくは上記のページで解説します。
<追記終わり>
それではいってみます。
さくらのSSL SNIで独自ドメインを使いWordPressを動かすには
以下の二つの方法があります。
1)www.harukas.orgでWordPressを運営する
2)harukas.orgでWordPressを運営する
の二つです。
サイト名は例です。ようはwwwが付くか付かないかで
大きく変わるという感じです。
ここで、最初に重大発表です。
さくらでwww付きの独自ドメインで
WordPressを動かす事はできません。
2)なら問題ないですが1)は動かないという事ですね。
それでは、その理由を解説したいと思います。
WordPressの管理画面から「設定」→「一般」の画面を知っている人は
多いでしょうね。
の画面です。
私の場合、wp-config.phpのdefineで設定しているため、
ハイド(グレー)表示になっています。
ここでwwwの付くサイトを入力すると、
必ずリダイレクトループが発生します。
なぜリダイレクトループが発生するか説明します。
さくらのサーバでは、ブラウザのURLフィールドに
https://www.harukas.org/
と入力すると、現在のサーバーの状態を示す環境変数に
「harukas.org」がセットされ返却されます。
※ちなみに
http://www.harukas.org/
と入力するとさくらのサーバは、現在のサーバーを示す環境変数は
「www.harukas.org」となります。(全く正常です。SSLにすると異常動作をします)
どういう事かというと実際は、www.harukas.orgというサーバに居るのに
harukas.orgという別のサーバにいる・・・という狂った動きをするのです。
この仕様でWordPressを動かすとどうなるか説明します。
WordPressではサーバ名が違うとき、正しいサイトにリダイレクトするという機能が
標準で備わっています。
つまり、
ブラウザ:www.harukas.org
さくら:harukas.org
となるので、harukas.org→www.harukas.orgのリダイレクトを行うのですね。
そして、その後www.harukas.orgになったかどうかさくらのサーバーに問い合わせます。
しかしさくらのサーバーはharukas.orgだと主張します。
で、頭の良いWordPressは、もう一度harukas.org→www.harukas.orgの
リダイレクトを行います。
しかしさくらのサーバーはharukas.orgだと主張します。
という事で永遠にこれを繰り返し、リダイレクトループになるわけです。
この状態を回避するには、さくらのサーバが、現在のサーバを
www.harukas.orgとして、WordPressに返却すれば旨く動作する訳です。
それを実現するためには
wp-config.phpに次の記述をします。
// プロクシでIPが入るとSSLアクセス状態をセットする
if( isset($_SERVER['HTTP_X_SAKURA_FORWARDED_FOR']) ) {
$_SERVER['HTTPS'] = 'on';
$_ENV['HTTPS'] = 'on';
$_SERVER['HTTP_HOST'] = 'www.harukas.org';
$_SERVER['SERVER_NAME'] = 'www.harukas.org';
$_ENV['HTTP_HOST'] = 'www.harukas.org';
$_ENV['SERVER_NAME'] = 'www.harukas.org';
}
それでは、説明です。if( isset($_SERVER[‘HTTP_X_SAKURA_FORWARDED_FOR’]) ) {
これは、さくらのSSL SNIを使用した時に特別に書き出す変数です。
その変数に数値が入っていたらSSLのアクセスだと判断できます。
SSLのアクセスだと分かれば、こちらに都合のよい変数を
強制的にセットします。
$_SERVER[‘HTTPS’] = ‘on’;
$_ENV[‘HTTPS’] = ‘on’;
これは、httpsでアクセスしているという変数を
強制的にONしています。
なぜかというと、さくらのサーバで、SSLサイトでアクセスしている場合
一度rewrite(URLを書き換える)したら、
その後SSLでアクセスしているにも関わらずSSLではないと主張して
しまいます。それは、WordPressにとって大変都合が悪いのです。
ですので、強制的にSSLだという設定をします。
$_SERVER[‘HTTP_HOST’] = ‘www.harukas.org’;
$_SERVER[‘SERVER_NAME’] = ‘www.harukas.org’;
$_ENV[‘HTTP_HOST’] = ‘www.harukas.org’;
$_ENV[‘SERVER_NAME’] = ‘www.harukas.org’;
これは、先ほどのさくらのサーバがharukas.orgで返してくると
説明したことの対策です。
繰り返しますが、さくらのサーバは、www.harukas.orgでアクセスしても
harukas.orgだと主張します。
これを回避するには、www.harukas.orgだと強制的に入力すれば
良いわけです。
それがこのコードです。
ご自分のサイトで対応する場合、もちろんドメイン名は
ご自分のサイトに合わせてくださいね^^
これで、あとは.htaccessにリダイレクトの設定を入れるだけで
うまく動作させることが可能です。
.htaccessの内容
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTP:X-Sakura-Forwarded-For} ^$
RewriteRule ^(.*)$ [R=301,L]
</IfModule>
# BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /blog/
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /blog/index.php [L]
</IfModule>
# END WordPress
最初のほうは、http://でアクセスにきた場合は、https://にリダイレクトするという命令です。
# BEGIN WordPress
から
# END WordPress
までは、
WordPressが勝手にセットするセクションですので
このままにしておきます。
どうですか?
以上で、さくらインターネットスタンダードプラン
SNI独自SSLで独自ドメインにて、www付きの全サイトをSSL化することが
可能です。
最後に、私がサイト全体をSSL化するにあたりもの凄く参考になった
サイトをご紹介します。
鈴木謙一さんの海外SEO情報ブログ
ブログの完全HTTPS化を完了、HTTPからHTTPSへの移行プロセスを共有
鈴木謙一さんは、有益で高品質なコンテンツを無料で提供している素晴らしい方です。
(※)当ブログに貴重なアドバイスもしていただきました。
ありがとうございます。
では、おやすみなさい。
またね~♪
コメント一覧
wordpressの高速化で
nginxのリバースプロキシーを導入しましたが
ssl化するとどうしてもサイト表示がおかしくなりました。
ここに書いてあったwp-config.phpの影響があると思い改造しましたら表示されるようになりました。一年ぶりに解決することができました。
ありがとうございました。
sslは結構脆弱性がでています。
下記サイトを参考に楽しいhttpsライフを
ssl脆弱性の確認サイト
https://www.ssllabs.com/ssltest/
無料証明書
https://www.startssl.com/
https://letsencrypt.org/
うまくいって良かったです。
脆弱性とは、添付のサイトの得点のことでしょうか?
>Protocol Support
は、SSLのインタフェイスでサポートしている
プロトコルを示していて、私はSNIを使っているので
古いブラウザやガラケーなどすべて使う事ができません。
それがマイナスポイントになっています。
あと、さくらがTLS1.0までしかサポートしていないのも原因です。
何ヶ月も悩んでいたSSLによる意味不明なリダイレクトループ、
こちらの記事を読ませていただき、一気に解決出来ました。
クライアントの仕事だったので、大変助かりました。
非常に優良な情報ありがとうございました。
情報提供を出来て良かったです。
「さくらでwww付きの独自ドメインで
WordPressを動かす事はできません。」
という素晴らしい事実をお知らせくださり、ありがとうございます!
wwwは顧客要件ではなかったため、
wwwを外して
プラグイン「WordPress HTTPS」を入れて、特定ページのhttps化ができました!
このたびは、素晴らしい記事をまとめていただき、ありがとうございました!
いえいえ、お役に立ててうれしいです。
特定のページのみHTTPS化する場合は、
そのプラグインが有名ですよね。
ただ、最近は全ページが流行なので
全ページのときに、本対応が役に立つと思います。
読者様からコメントをもらったのですが、
www無しでもwwwありでアクセスしたり、リンクしたりする偏屈な人も居ますので、
https://www.harukas.org/blog/2353/
を参考に対策していると効果的です。
雑誌で読んで、サイトのSSL(TLS)化の必要性を知りましたので、拙サイトのSSL化について情報を集めていました。
私もさくらインターネットを使っていますが、サイトが動作しなくなるのではないかと不安ではあります。.htaccessとwp_config.phpを少しいじれば大丈夫そうですが、jQueryやWebフォントの処理ができればなんとかなりそうです。
時間のあるうちに証明書を発行してもらい、SSL化に挑戦しようと思います。
サイト全体のSSL化は、フォームや通販をしていない情報提供だけのページでも
様々な有益な効果が期待できます。
また、Webマスターがセキュリティに関して気を遣っているサイトだという
アプローチも可能です。
安価で構築できるので、是非とも導入してみてください。
さくらのSSL証明書は、かなり安く(私のより数段安い)なっておりまた、
証明書鍵のロストの心配もなくインストールが簡単です。
先ほど拙サイトのSSL化が成功しましたので、報告いたします。
まずさくらのドメイン(***.sakura.ne.jp)では証明書が取れなかったので、ドメインを取得しました。
つづいてCSRの取得とラピッドSSLの契約を行い、半日もしないうちに証明書が発行されました。
さくらのサーバーのドメインを設定し、ウェブフォント(FontPlus)が使うサイトの追加も行いました。
WordPressとテンプレートの設定も、数カ所URL変更すれば対応できました。ただし、記事に配置した画像がSSLなしを参照するので、修正が必要でした。
.htaccessとwp-config.phpの設定変更はこちらのサイトを参考にさせていただきました。SSL化にあたり、URLの変更が伴いましたので、mod_rewriteの部分を新しいサイトのものにアレンジして対応できました。
やはりブラウザのURLの横に鍵マークが表示されるのはいいですね。安心感があります。これでGoogle Analiticsに表示される検索クエ「未設定」の内容が分かるようになればいいなと思います(SSL化されたサイトでないと表示できないため)。
情報を提供してくださり、ありがとうございました。
SSL化おめでとうございます。
そうですね。sakura.ne.jpは
さくらの証明書があるので、使えないですね(T_T)
こちらのブログを参考にSSL対応にしたいと変更を加えていたところ、自身のアドレスを入力するとはるかさんのホームページに飛んでしまいます。
wp-config.phpの内容も.htaccessの内容も自身のホームページの内容に書き換えているんですが…。
ご迷惑おかけしているかもしれません。すみません。
何か解決方法があればご指導いただきたいと思います。
よろしくお願い致します。
>自身のアドレスを入力するとはるかさんのホームページに飛んでしまいます。
これは、双方にあまり良くないエラーが出るので早急に対応をお願いします。
私のWebサイトの名前がどこかにあるのでサイトが移動します。
おそらくwp-configが怪しいですので、もう一度
htaccessと一緒に見て頂けませんか。
また、キャッシュが残っているかもですので、ブラウザのキャッシュもクリアして
試してみてくださいね。
キャッシュが残っていたみたいです。
参考になりました。
ありがとうございました。
さくらのVPSに移すために、必死にリナックスやviエディターも勉強しある程度わかったのですが、
やはり再びsslが鬼門です。
環境はさくらVPSにてさくらの標準OSインストールの場合です。SSLもさくらで取得しています。メールサーバーやワードプレスなどは使わないのでインストしていません。アパッチやmod_sslなどはyumにてインストールしています。
よろしければ、ご教示くださいませ。
何卒、お願い致します。
http://blog.bagooon.com/?p=339
ここのようなサイトを参照したと思います。
肝心なのが、SSLの設定で
vim /etc/httpd/conf.d/ssl.conf
です。
これの、SSLEngine onあたりのセクションは、
個別で編集しなければなりません。
私は
https://mozilla.github.io/server-side-tls/ssl-config-generator/
で得たデータを使っていて
# intermediate configuration, tweak to your needs
SSLProtocol all -SSLv2 -SSLv3
SSLCipherSuite ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!DSS
SSLHonorCipherOrder on
な設定をしています。
http://nekopunch.hatenablog.com/entry/2015/01/16/112402
私は、SSHもSFTPも通常ポートは開けず公開鍵認証です。
セットアップは添付のページが親切です。
http://knowledge.sakura.ad.jp/beginner/2751/
とりあえず、このナレッジの通りにやったらWebサーバは公開できるはずです。
素早いご返信ありがとうございます。
上の文章ははるかさんの返信を確認する前に、送ったものですが、ちょうど同時間になってしまったみたいですね。
実は、SSLがうまくいかなくなったので、OSを再インストールしてしまいました。もう一度、最初からやり直しをして、SSLの段階になったら、はるかさんのを参考にしながら、がんばります。
困っていたのは、ssl.confの中の、証明書のパスです。
公開鍵と秘密鍵はindex直下にsslフォルダを作って、そこに入れてあります。
ご返信ありがとうございます。
さくらのナレッジは大変参考にしています。
とりあえず、ある程度のセキュリティとhtaccessを設定したwebサーバーは再度構築できたので、再びSSLの段階です。
SSLが終われば、ドメインを移して、終了なのですが、mod_sslのssl.confの設定がいまだに曖昧です。
ルート直下にSSLフォルダを作って、その中にserver-key.pemとserver.crtが入っています。
そうすると、sslconfの設定はどうなりますでしょうか。
非常に困っております
何卒よろしくお願い致します
くじらとまとVPS
それぞれのディレクトリをフルパスで指定します。
ルート直下にcertificatesを作成した場合
SSLCertificateFile “/certificates/server.crt”
SSLCertificateKeyFile “/certificates/server.key”
SSLCertificateChainFile “/certificates/chain.key”
(ファイル名はすべて例です)
pwd で本当に正しいか、ディレクトリを確認してください
また、鍵類はオーナ(+グループ)属性のみリードですので
アクセス権が200か220になっていないと駄目ですので
ls- la などで確認してください。
また、ssl.confは基本的にhttpd.confのSSL版なのでバーチャルホストの設定をしなければなりません。
その中でドキュメントルートの(htmlファイルがあるルート)ディレクトリを
virtualhostセクションで指定します。
このあたりは、「さくらVPS ssl.conf 設定」などで出てくると思いますので
検索してやってみてください。
でも、また問題があります。
WWWありだと、https://www.ssllabs.com/ssltest/のページでもHSTS有効になっているのですが、
WWWなしの場合、有効にならないです。
この現象について、教えてください。
単純に301リダイレクトヘッダにHSTSが乗っていないのだと思います。
やっぱりはるかさんはすごいなぁ。
VPSにして、自分のIPもらえて、逆引きでもアクセルできるのが最高にうれしいです。
ただし、にわとりと卵みたいなもので、SSLにしないと機能しないので全く意味がないと思います。
動くがどうか不明ですが^^;
今は今までレンタルサーバーで使ってたメールフォームをさくらVPSでものせようとがんばっていたのですが、うまくいかないです
完全移行まで、ようやく、メールフォームとhtaccessによる任意フォルダのアクセス制限までにたどり着けました
はるかさんのおかげです。
まじでありがとうございます。
あと、老婆心ですけど、はるかさんのこのサイト、ノートンチェックがされてないです。
https://safeweb.norton.com/?ulang=jpn
ここを参考にしてみてください。
はるかさんのこのサイトは?がついてます
とにかく、色々ありがとう。
VPSは高速で好きなようにできるのがよいですね。
あと、Nortonのチェックですがシマンテックは、こういう会社です。
私は既に調査依頼(今年の初めには)を掛けています。ちなみにトレンドマイクロは、1週間でsecureバッチが付きました。
もうシマンテックの製品は買わないし会社で調達する時も、シマンテック製品を使わないようにしています。
リテールをバカにすると、こういう所で恨みを買うんですね。
たしかに、こういうやりかたよくないよね。
HSTSプリロードしようとすると、こんなメッセージが出るんだけど、どうすればいいと思いますか?
Error: Invalid Certificate Chain
uses an incomplete or invalid certificate chain. Check out your site at https://www.ssllabs.com/ssltest/
報告ありがとうございます。
また勝手ながらサイトで紹介させていただきました。記事へのリンク、名前の掲載等、何か問題があればお知らせください。
それではよいお年を
解決できてよかったです。
また、記事の紹介も大変ありがとうございます(*^▽^*)
リンクの仕方ですが、訪問者にとってわかりやすい誘導となっていればなんでもよいですよ♪
では、よいお年をお迎えください。
コメントする