HTTPSで始まらないサイトはもういらない!CloudFlareは実は危険

CloudFlare SSL証明書 複数サイト WordPress

どうも、ジャム君です。

アニメティップ情報館は開設当時からほとんどの期間、SSL証明書を使ったURLがHTTPSから始まるサイトになっています。

今もそれは変わらずで、アニメティップ情報館が管理しているどのページにアクセスするためにもURLの頭がHTTPSというもので始まっています。

これって、「アニメの解説や考察、また感想を読みに来るだけだったら関係ないんじゃないか」と思われるかもしれませんが、それは大きな誤解というものです。

URLがHTTPSではなくHTTPで始まるサイトがどれほど危険か、また最近流行りのCloudFlareに潜んでいる危険に気づいているか、休憩がてらに読んでいってください。

スポンサーリンク

HTTPとHTTPSの差

URLがHTTPSで始まらないサイトとHTTPSで始まるサイトとの大きな違いは、そのサイトとの通信が暗号化されているか否かです。

今だと、HTTPSで始まるサイトは鍵のマークが表示されていますよね。

アニメティップ情報館 SSL https

これはサイトを見ている人とサーバー(閲覧者へ文章や画像の送信、コメントや問い合わせ処理などを行う場所)の間でSSLと呼ばれる暗号化がされているかどうかという点で、SがつかないHTTPで始まるのか、SがしっかりとつくHTTPSで始まるのかが変わってきます。

SSLの暗号化がなされていればアニメティップ情報館のようにHTTPSで始まりますが、暗号化がなされていないとHTTPだけで始まってしまうわけです。

ただ、暗号化がどうだと言われても、あまり困らないように感じますか?

実は暗号化技術は超重要!

まず、SSL証明書を発行して利用しているアニメティップ情報館では、皆さんが使っているスマホやパソコンと、ジャム君が利用しているサーバー間で、データが盗み見られてしまう可能性が激減します。

ショッピングをするようなサイトではないので、たとえ盗み見られてしまったとしても被害は最小限に留められはするのですが、コメントや問い合わせの利用時にメールアドレスを入力した際、本来ならば見られないはずなのに、盗み見られてしまうかもしれないんです。

ただし100%解読不可能な仕組みではないため、無駄な労力を惜しまないのであればやってやれないことはないです。

ですが相当な時間と資金を要してしまうため、現実的ではありませんね。

そんなところに労力を使うのであれば、もっとお金になるような時間と資金の使い方をするのが普通でしょう。

そのためURLがHTTPSから始まるサイトなのであれば、データが盗み見られてしまうリスクはほぼないと思っておいていいです。

ですがHTTPだけから始まるサイトは危険!

SSL証明書がなく暗号化もされていないデータのやり取りをしているため、悪者が通信を覗き見たらまるまるデータが見えてしまうんです。

個人情報流出を極力避けたいのであれば、アニメティップ情報館のようにHTTPSから始まるサイト以外にはアクセスしないよう心がけたいですね。

暗号化がされていないとまだリスクがある!

これだけではなく、SSL証明書を使った暗号化がなされていないと、まだリスクが残っています。

それがデータの改ざんなりすましです。

暗号化がなされていないサイトの中に設置されている検索ボックスに文字を入力して検索したのに、こっそり改ざんされて違う結果が表示されるということもあり得ます。

また実はアクセスしているサイトが、別のなりすましたサイトで、こっそり個人情報を収集しているかもしれません。

いずれも「完全に」というのは無理なのですが、SSL証明書を使ってしっかりとHTTPSから始まるサイトにしているのであれば、その驚異にさらされる心配を大きく減らすことができます。

「サイトを見ているだけだから関係ない」と思っていると、大変なことにもなりかねないのが怖いところなわけです。

流行りのCloudFlareは実は危険

最近、サイトを立ち上げている人の中では流行りになっているCloudFlareというサービスがあるのですが、このサービスは危険も伴います。

本来は多くの基本サービスが無料で利用でき、サイトの表示速度を上げることもできる素晴らしいサービスでもあるのですが、ことSSL証明書に関してはお金を払わないとダメです。

無料で使っていくこともできるのですが、そのようなサイトはこのような証明書の内容で通信を行うことになります。

CloudFlare SSL証明書 複数サイト

これはCloudFlareを使っているとあるサイトのSSL証明書の中身なのですが、1つのサイトではなく、いくつものサイトが同じ証明書を使っています。

HTTPSのサイトにはなりますし、基本機能としてはデータを盗み見られることもなく、ないよりマシなのですが、これはいけません!

CloudFlareの無料SSL証明書は何が問題なのか

CloudFlareで利用できる無料のSSL証明書は、多数のサイトが同じ証明書を使ってしまうため、共用SSLと呼ばれています。

一方でアニメティップ情報館で使われているような、そのサイト専用のSSL証明書は、独自SSLと呼ばれています。

まず共有SSLでは独自ドメイン(アニメティップ情報館ならば[anime-tip.com])が利用できないため、サイトのURLと証明書に書かれた「どのサイトを認証しているのか」の基本情報が一致しません。

中身をよく見ていけば、たくさんのアドレスの中にサイトのURLを発見できるのですが、簡易的に見たら偽装されたサイトに見えてもおかしくありません。

また1つの共用SSLに登録されたサイトが増え、アクセスも増えれば増えるほど、サイトの表示速度が低下します。

CloudFlareってサイトの表示速度を上げたい人が多く使っているのですが、本末転倒ですね。

解決するためには独自SSLをCloudFlareで利用すればいいのですが、基本無料で利用できる範囲を超え、月額料金がかかってくるため、先の画像のようなサイトは「ケチっている」というのが丸わかりになるわけです。

はっきり言って、そういうところに無頓着、ケチるような運営者がいるようなサイトは、個人情報もどう扱っているのかわかったものではありませんので、近寄らないのが吉です。

あ、ジャム君はCloudFlareもいいと思うのですが、AmazonがやっているCloudFrontもいいかな~と思ってはいます。

今はまだ必要なさそうですけどね。

Let’s EncryptからCoreSSLに証明書を変更

ジャム君が利用しているエックスサーバーで取り扱いのある証明書として、無料で使えるLet’s Encryptという証明書は、ほかのサーバーでも利用できる場所が増え、独自SSLというメリットも持っています。

ただつい先日のメンテナンスで、CoreSSLの証明書に入れ替えをしました。

理由ですか?
Let’s Encryptだとありふれてる感があるから。

無料サービスですがLet’s Encryptも急なサービス終了ということはないでしょうし、そのまま使い続けてもよかったのですが、ちょっと様子見。

別に証明書が変わっただけで、性能が上がるようなことはありません

一応、先日からCoreSSLはサイトシールと呼ばれるものに対応はしているのですが、アニメティップ情報館はサイトの構成と証明書申し込みの都合上、サイトシールには今のところ未対応です。

エックスサーバーを利用していてCoreSSL導入を考えている方で、サイトシールに対応させようとしているのであれば、2Way利用での申込みは考えてください。
コモンネームと同一でないと、処理されません。

恐らく他社でも挙動は同じと思われますが、詳細はご利用のサーバー会社にお問い合わせください。

ちなみにLet’s Encryptのときは、こんな感じの証明書でした。

Let's Encrypt SSL証明書

CoreSSLに変更した現在は、こうなっています。

CoreSSL SSL証明書

CoreSSLはLet’s Encryptと違い、有料のSSL証明書なのがデメリットですが、3か月更新ではなく最低1年更新なので、来年まではエックスサーバーを使い続ける限りCoreSSLの証明書を使い続けられますね。

エックスサーバーからほかのサーバーに移転させるとなると、持ち出しはできないので、使えなくなっちゃうのはもったいないところでしょうか。

Let’s Encryptは3か月更新ながら自動で更新してくれ、さらに無料で使えるメリットはあるのですが、たまに自動更新失敗していることがあるので、うっかりするとサイトにアクセスできなくなっているんですよね……

さいごに

アニメティップ情報館で解説や考察、また感想を楽しみにしてくださっている方は、どうぞ安心してください!

しっかりと情報は守ってあります。

今でも平気でHTTPSで始まらないサイトを運営している管理者は、ジャム君からしたら信じられませんね。

特に企業レベルでSSL非対応のサイトを見つけてしまうと、信頼して見ることなどできません。

ほかにも、せっかくCloudFlareを利用しているのに、共有SSLを利用している信用度の低いサイトは、本当になりすまされたサイトでないのか確認が手間なので、ケチらず独自SSLを使ってほしいものです。

何でもかんでも金をかければいいわけではないのですが、少なくとも安心して利用できる程度には整備したサイトを用意してお待ちしておきたいですね。

スポンサーリンク
スポンサーリンク
WordPress
スポンサーリンク
関連記事とスポンサーリンク
スポンサーリンク
ジャム君をフォローする
アニメティップ情報館 解説&考察&感想フロア(本館)

コメント

  1. 匿名 より:

    補足です

    HTTPS 通信がされていること自体は確認可能です。
    Tlsモジュールを複合化という事です。

    サイト改ざんとhttpsモジュールは関係ありません。
    あくまで暗号化方式なだけです。
    なのて、サイト改ざんのリスクは接続元の環境によるのです。
    偽装電波などをキャッチしてしまうと影響を受けやすいのです。