読者です 読者をやめる 読者になる 読者になる

operationservicebuの日記

日々の日記、Webサービスや書籍などのレビュー、スマホやパソコンで困ったことの操作方法など自由に書いているブログです。

共有SSL議論以前の話

この記事は以下のURLを読んで思ったことを書いています。

【wordpressのお問い合わせフォームをSSLで動かすのをやめました】contact form 7 + 共用SSLはやらないことにした | 今村だけがよくわかるブログ

 

この方は、共有SSL(共用SSL)の危険性を知り、WordPress+contact form 7を共有SSLでやらないことにしたとのことです。

 

共有SSLについては、さくらサーバーでは以下のように共有SSLを独自ドメインは非推奨としています。

共有SSLの設定|SSLを利用する|さくらインターネット公式サポートサイト

 

 

さくらサーバーの場合で考えますが、共有SSLを独自ドメインで利用する場合、

 

https:// 共有SSLのURL / 独自ドメイン名

 

となるため、独自ドメインが共有SSLのディレクトリ扱いとなってしまい、同一収容サーバーをご利用のユーザー間でデータの盗聴などが発生する可能性がたしかにあります。

そもそも、レンタルサーバー会社が提供するSSLを利用する共有SSLである以上、収容サーバーの他のユーザーとの干渉や障害が発生することは避けられないこと。

それが不都合であれば、専用SSL(独自SSL)契約を自分で結び、専用SSLでサービスを提供するしかありません。

 

しかし、この共有SSL議論をする以前に考えておかなければならないことがあると思います。

 

  • 共有・専用問わずSSL通信ではないHTTP通信は平文であるということ

通常のHTTP通信では、全ての情報が平文で行なわれています。

自動インストール後のWordPressのログイン画面のURLを確認してみてください。

「http://」から始まってませんか?

ということは、平文のユーザー名とパスワードが送信され、レンタルサーバーでログイン処理が行われるということ。

となれば、通信回線を通っている間にデータ盗聴や改ざんが行われても、こちらは確認しようがありません。

 

仮に、共有SSLで盗聴の可能性があるにしても、レンタルサーバーと自分のコンピュータ間の通信回線では暗号化されたユーザー名とパスワードが送られているわけです。

 

平文で送られるHTTP通信よりは、ずっと安全に思うのは私だけでしょうか

 

  • 電子メールは基本的に平文である

お問い合わせフォームというのは、簡単に言えば、お客様がわざわざメールソフトを起動せずとも、運営者や管理者にお問い合わせメールが送れる機能です。

お問い合わせフォームに送りたい内容を書いて送信ボタンを押すと、裏ではサーバーが運営者や管理者にメールを送っています。その電子メールは基本的に平文です。

 

電子メールというのは便利な反面、未だに平文でデータ通信が行われています

イメージとしては、個人情報保護シールも何も貼られてないハガキで、送り主・お届け先の住所名前、伝えたい内容が書かれている状態です。

なので、誰でも盗聴や改ざんが出来てしまいます。

 

そこで、電子メールの暗号化技術が開発され、現在ではほとんどのメールソフトで利用できるようになっています。

しかし、電子メールの暗号化は送受信双方で暗号化に対応している必要があります。

また、通常の電子メール送受信では平文の電子メールが作成されるため、意識的に暗号化された電子メールを作成しなければならず、手間がかかります。

 

お問い合わせフォームをSSL化するというのは、あなたの代わりに電子メールを送ってくれるサーバーと自分のパソコン間の通信回線のデータが暗号化されていることは間違いありません。しかし、お問い合わせフォームから送られる電子メールがSSLで暗号化されているかについては、サーバーやシステム次第なのです。

 

かといって、何も対策せずHTTP通信でお問い合わせフォームを用意すればいいのかというのも疑問です。「可能なかぎりの対策はしています。」という運営者や管理者の姿勢を現す意味でも、共有・専用問わずお問い合わせフォームはSSL化したほうがいいと、私は思います。

ただし、お問い合わせフォームがSSL化されていようと、運営者や管理者に届くメールは平文であるという意識のもとで、お問い合わせフォームを利用するべきと思います。

 

※contact form 7のお問い合わせフォームから送信される電子メールが共有SSLや専用SSLを利用した場合は暗号化されているのかということについては確認できませんでした。

 

ここまで、いろいろ書かせていただきました。

共有SSLは危険という以前に、全てHTTP通信よりは安全というのが私の考えです。

そもそも、インターネットというのは便利であると同時に、危険と隣り合わせな環境です。

「危険と隣り合わせのインターネット」という意識の基で使うのが、インターネット上のWebサービスを安全に使うための前提条件を思っています。

 

以上、ありがとうございました。