しらぎくのウェブサイト作成入門メモ
しらぎくのウェブサイト作成入門制作者のメモ。

TLS (SSL・HTTPS) 導入の際に注意する事

今や常時 TLS (SSL・HTTPS)は常識だと言わんばかりに TLS の普及が進んでおります。

でも、TLS を導入する際には注意すべき点もあります。

目次


TLS に対応していない環境

現在の TLS については、旧型の環境で対応出来ない場合があります。

フィーチャフォンやアンドロイド 2.x などでは、

などの問題があります。

更にフィーチャフォンでは

問題もあります。

こう言った環境に対しては、個人情報をやり取りするのでない限りは依然 非TLS でアクセス出来るようにした方が良いかも知れません。

共有 TLS を使う場合

最近では低価格なホスティングサーヴィスでも無償オプションとして共有 TLS が利用出来るところも増えております。

共有 TLS は HTTPS で配信しないといけない場合には簡易な方法として有用です。

ただ、重要な情報をやり取りしたり、セッション管理を伴う場合には注意が必要です。

同じサーヴァの別ユーザにクッキーが送られてしまう恐れがあるからです。

勿論、TLS を使うとクッキーの内容も暗号化されますが、サーヴァが受取る際に復号されるため内容が筒抜けになってしまうのです。

特にアカウントをサブドメインではなくディレクトリ名で指定する仕様では、この危険が強まります。

HTML 文書以外も TLS で配信せよ

これは以前にも書きましたが、画像等, スタイルシート, スクリプト等を 非TLS で取扱っている例は結構多いものです。

TLS で配信されている HTML 文書で扱われる全てのリソースは、やはり TLS で扱わなければなりません

特にスタイルシートやスクリプトについては、非TLS だと一部環境では取扱を拒否される場合があります。

尚、一部フィーチャフォンでは TLS で配信している HTML 文書では、そこに埋込む画像等は同一オリジンでないと埋込まない(※5)ものもあります。

註釈

1. SNI (サーヴァネーム・インディケーション)

従来、IP アドレス毎に一枚の TLS 証明書を割当てていたのを、ホスト名毎に TLS 証明書を割当てられるようにした技術。

これに依り、特に IP アドレスを複数ユーザで共有する共有ホスティングサーヴィスでも TLS の仕様が可能になります。

尚、対応していないクライアントに対してはデフォルトの証明書を割当てられるようになっているサーヴァも多くあります。

そのようなサーヴァであれば、SNI 非対応環境に対してはデフォルトの証明書で利用出来るホスト名を使うようにする事も考えられます。

2. 暗号アルゴリズムについて

TLS で使用される暗号化アルゴリズムとしてはかつては SHA-1 と呼ばれる方式が採用されておりました。

しかし、この方式にはリスクがある事から、平成28年 1月 1日以降は SHA256 と呼ばれる新たな方式に移行しております。

フィーチャフォンや旧型環境では SHA256 に対応していないものも多く、このような環境では現行の TLS は利用出来なくなります。

3. ワイルドカード証明書

一枚の TLS 証明書で複数のホスト名に対応する証明書。

フィーチャフォンでは対応していない端末が殆どのため、証明書エラーになります。

4. TLS 1.x

暗号化プロトコルの標準規格。

平成29年 7月20日現在 TLS 1.0, TLS 1.1 と TLS 1.2 の三つがあり、後継となる TLS 1.3 も策定中です。

暗号化プロトコルは長らく SSL と呼ばれて来ましたが、これはネットスケープ社(もじら財団の起源)の独自規格で、TLS は SSL を改良して標準化したものです。

SSL については全てのヴァージョンで脆弱性が確認されており、このため平成27年 6月時点で使用してはならないものとされております。

とは言え、長らく SSL と言う呼称が定着している事から、TLS 関連の文書でもしばしば SSL は TLS の別名であるかのように書かれております。

5. 同一オリジン

オリジンとはウェブに於けるコンテンツ配信元の事で、 URL で言えば先頭のスキーム名とホスト名を合わせたものとなります。

例えば、URL が https://www.marguerite.jp/Nihongo/ であれば https://www.marguerite.jp がオリジンとなります。

デスクトップやスマートフォンでは TLS さえ使っていれば良いのですが、一部フィーチャフォンではそれに加えてホスト名も合わせる必要があると言う訳です。

ご案内。

制作者の創作キャラクタ

創作キャラクタ・堀北真希うさぎ
主な収録作品
紀子ちゃん(神崎紀子)
主な収録作品

しらぎく日記システム 第 0.685版 (平成29年08月15日)