数・・・;;: //カテゴリ:サーバ ** 今頃のように HTTPS を導入する [#hde490f4] #ref(../bs_tuba01k.png,nolink,あんまり意味ないのー) ちょいとテストに HTTPS を立ててみた。とはいえ、[[証明書:http://ja.wikipedia.org/wiki/%E5%85%AC%E9%96%8B%E9%8D%B5%E8%A8%BC%E6%98%8E%E6%9B%B8]]は[[オレオレ証明書:http://ja.wikipedia.org/wiki/%E8%87%AA%E5%B7%B1%E7%BD%B2%E5%90%8D%E8%A8%BC%E6%98%8E%E6%9B%B8]]である。&br; 個人情報やクレジットカード情報など機密にしたいデータをインターネット上でやりとりする時は、盗聴や改竄を防ぐために暗号化してやりとりする。この暗号化にはアクセス先のサイトが正当なサイトであるかどうかを証明する機能もある。&br; IE などのウェブ・ブラウザには「[[認証局:http://ja.wikipedia.org/wiki/%E8%AA%8D%E8%A8%BC%E5%B1%80]]」というのが登録されており、その認証局が認証した証明書じゃないと、たとえ暗号化が施されていたとしても、接続先が信用できないというエラーを返す。下の画像は暗号化されているが、信用できない証明書だぞと警告している IE の例。ちなみに証明書には有効期限があり、この有効期限が切れてもエラーを出して教えてくれる。 #ref(ssl_error.jpg,nolink) ただ、通販サイトや金融機関、公的機関などが上のような信頼できない証明書を使うのは問題だが、ボクの場合、自分の開発に関係するやりとりを暗号化するのが目的である。なのでまー、とりあえずオレオレ証明書(この言い方はあまり好きではないが)でもいいか、ということで入れてみたしだいである。&br; またこれに伴い、ノート PC の開発に関するアクセス方法を全てグローバルに移した。&br; これはどういうことかというと、自宅の開発機はサーバと同じ LAN 上に存在するため、LAN で普通にサーバにアクセスしている。この間、特に暗号化などはなされていない。LAN を完全に信用しきった運用である(汗)。&br; 一方、ノート PC というのは出先からでもサーバにアクセスする必要がある。そのため、毎回 VPN で自宅サーバとノート PC を結び、その上でやりとりしていた。しかし VPN はアクセスがけっこう遅く、いろいろと面倒だったのだ。&br; HTTP を暗号化することにより、VPN を経由せずに直接自宅サーバとやりとりが可能となった。 ただこれで一つ問題があって、URI はインターネット上に流れてしまうと言うことである(たぶんだけど)。VPN 経由だとそもそも通信全体が暗号化され、VPN だというアクセスは解っても、その中でどんな通信が行われているかは解らない。&br; HTTPS では名前解決などがインターネット上で行われてしまうので、たぶん、自宅サーバのどこにアクセスしているかは解っちゃうような気がするんだよね~。 で、証明書とろうか本気で悩んでいる。&br; 認証局の証明書というのは当然お金がかかる。用途によって様々だけど、年間 8 万円ぐらいから。&br; 安いのだ、16000 円ぐらいからある。で、今頃知ったんだけど、年間 8 万とかのヤツって、個人じゃ取れないのね……orz&br; 自動的に安いのになるんだけど……証明書ってドメイン固定だよねぇ。ボクのサーバではいろんなドメインが運用されているわけ何だけど、そのうちの三つのドメインで HTTPS やりたいのよねぇ。う~ん、どうしようかなぁ……。 #article |
|
|
Modified by tamaki.
Powered by PukiWiki Plus! 1.4.7plus-u2-i18n/PHP 5.3.6. HTML convert time to 0.005 sec. |