サイトをhttps対応した話

ちょうど直近の 2018年7月25日に Chrome68 がリリースされ、すべての http 通信を行っているサイトに対してアドレスバーの左側に警告を出す仕様となりました。クライアントからデータを送るようなことがなくとも、すべての通信を暗号化しないさいというお達しが出たわけですね。
本サイトも長らく ssl を導入していなかったのですが、ついに重い腰を上げて ssl を導入することにしました。

どこでも良かったので一番リーズナブルであった FUJISSL に決めました。
トップページに色々と気になることがあったので調べてみることにしました。

いろいろ調べる

FUJISSLでは下記のような特徴があるらしいですが、これらにあまり馴染みがなかったので調べてみます。

  • ルート証明書はセコム
  • FujiSSLは、日本国内初の国際基準WebTrust認定を取得したセコムルート証明書を使用しております。
  • SANsの自動登録

WebTrust

こちら のサイトを参考にしました。

WebTrust(ウェブトラスト)とは、AICPA(米国公認会計士協会)とカナダ勅許会計士協会によって共同開発された国際的な電子商取引認証局監査プログラムです。

なるほど、このプログラムに認定されると WebTrust 認定ということになるのですね。
どういう項目がチェック対象になるかというと

1. 運営方式の開示
運営方式を開示し、開示した内容に基づき取引を実行していること
2. サービスの完全性
消費者の同意通りに取引がなされ、正確に請求するための体制が整備されていること
3. 情報の保護
消費者の個人情報について、開示している運営方式に定められていない利用から保護される体制が整備されていること

ということらしいです。
見るとわかるように別に認証局に特化した審査ということではなくて、一般的な企業に対して設備・情報・人材を運用しているかどうかというところが見られるらしいです。
WebTrust にもいろいろな基準が存在し、さらに WebTrust for CA という認証局に特化した基準が存在します。

通常認証局なんかの文脈で WebTrust というと WebTrust for CA のことを指しているはずです。
ルート認証局として各種ブラウザにインストールされるような認証局になると WebTrust 認定の認証局であるというのは必須のようです。

それにしても WebTrust のページが http 通信なのはなんの皮肉でしょうか。

ちょうど Chrome68 では http 通信を行っているサイトはすべて警告を出す仕様に変わってしまったのですが、そういうのは google 様が勝手にやっているから、そっちで勝手に http は危険だと判断されても関係ないから。みたいなスタンスなのでしょうか。

セコム認証局

私は個人的にはこのセコム認証局というのは恥ずかしながら初耳だったのですが、このセコム認証局を運用しているのはセコムトラストシステムズ株式会社という会社のようです。1985年ごろに設立されたらしく結構歴史のある会社のようであの警備サービスを展開しているセコムの関連会社のようですが、沿革を見ていると結構面白いです。

初めはセコムトラストシステムズという会社名ではなかったようです。

2006年セコムトラストネット株式会社とセコム情報システム株式会社が合併し、セコムトラストシステムズ株式会社となる。

2つの会社が合併してできたようです。じゃあそれぞれの会社はどうやってできたのかというと

2000年
サイバーセキュリティ事業の経営資源を結集。
「サイバーセキュリティ事業」の最速化と革新的なサービス提供を図るため、セコム株式会社サイバーセキュリティ事業部、セコムネット株式会社、セコム情報システム株式会社ネットワーク事業、セコム・セキュリティー・ソリューションズ株式会社、日本コンピュータセキュリティ、日本ダスコム株式会社を統合して「セコムトラストネット株式会社」を発足。

いろいろなセコムグループ会社のネットセキュリティ事業を集約してできた会社がセコムトラストネット株式会社というわけですね。

さらに

1991年セコム情報システム株式会社を設立。
国内セコムグループ各社のコンピュータシステムの運営管理とソフトウェアの開発・販売および、コンピュータ機器の販売を行う。

セコム情報システム会社はグループ会社のコンピュータ系の仕事を全般に請け負っている会社のようです。

見てみるとセコムがかなり昔からITに力を入れていることが見て取れます。

セコムって私のような一般人から見ると「セコムしてますか」とか警備員とかそういうイメージとかしかなかったのですが、考えてみると今では防犯カメラを始めとする防犯装置を山のように扱い、それらから発信されるデータを監視したり解析したりということが業務なわけですからそりゃITリテラシー高くないとやっていけないようねということで納得です。

SANsの自動登録

SANs というのはSSLサーバ証明書の拡張領域(Subject Alternative Names)のことを指します。
こちらに登録されたコモンネームがある場合、CSRに登録したコモンネームとは別に SSL通信が可能になります。

つまり FUJISSL で CSR を作った際に www.zudoh.com でコモンネームを作成しておけば SANs フィールドに zudoh.com を登録してくれるので、どちらのドメインでもSSL通信が可能になるというわけですね。

これはあとから知って、失敗したな。と思いました。まあでも www サブドメインなんて使っていないのでいいか。

まとめ

途中からセコムの記事になった。

参考


コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です