前回は、お名前.comレンタルサーバーを契約してWEBサーバーを使えるようになったことをお伝えしました。次に何を設定しようと考えたとき、「いまどき、WEB通信はhttpsで暗号化でしょ。」という、思い付きでWEB通信の暗号化に挑戦します。まずは、挑戦1です。
多くのWEBブラウザー(Microsoft Edge, Firefoxなど)ではWEBサイトにアクセスするとアドレスバーのURLの左側に(i)のアイコンが表示されます。それをクリックすると、通信の詳細情報が表示されます。
暗号化されていないWEBサイトにアクセスすると、「注意してください」、「この接続は安全ではありません」などのように表示されます。
Microsoft Edge WEBブラウザーの場合(非暗号化通信: http)
Firefox WEBブラウザーの場合(非暗号化通信: http)
ところが暗号化されているWEBサイトにアクセスすると、「サーバーへの接続は暗号化されています」、「安全な接続」などのように表示されます。
Microsoft Edge WEBブラウザーの場合(暗号化通信: https)
Firefox WEBブラウザーの場合(暗号化通信: https)
明らかに暗号化されているほうが安心しますね。
というわけで、契約したお名前.comレンタルサーバーの通信を暗号化します。
まず、レンタルサーバーを契約した直後の状態で、http を https に変更してWEBサイトに通信してみます。WEBサーバーは https のプロトコルを受け付けるようです。ただ、かなり危険な表示になります。この警告を無視して通信を続けることもできますが、WEBサイトを訪れた人はサイトを見るのを中止すると思います。
Microsoft Edge WEBブラウザーの場合(共用SSL証明書、暗号化通信: https)
Firefox WEBブラウザーの場合(共用SSL証明書、暗号化通信: https)
なぜこんな表示になるかを調べてみました。契約直後の状態でhttps通信をすると共用SSL証明書を使った通信になるようです。
上記の例ではnsw-test.workという独自ドメインを使用して試しました。暗号化通信(https)で使用されている共用SSL証明書の詳細を確認したところ、「*.gmoserver.jp, gmoserver.jp」のドメイン名に有効な証明書でした。独自ドメインの場合、共用SSL証明書のドメイン名と必ず異なります。ドメイン名が異なるSSL証明書が使われていたため、WEBブラウザーが警告を表示しているようです。
いくら契約直後から何もしなくても暗号化通信(https)が使えるとしても、これでは安心して使えません。別の方法で対処する必要があります。
2018年2月14日追記
私は使っていないのですが、Google Chrome WEBブラウザーは、今年7月初めにリリース予定の Chrome 68 から、暗号化していないWEB通信(https)では、アドレスバーに「非安全」(not secure) と表示するようになると2018年2月8日に発表(リンク先は英語)がありました。具体的には以下のように表示されるようです。
(出典:Google Security Blog)
(i)アイコンをクリックしなくても、「非安全」(not secure) と表示されています。目立ちますね。今後はWEBサイト側の暗号化通信(https)の準備は必須ですね。
次回へ続く