TLSで安全な通信

StartSSLで証明書を取ってみて後悔懺悔日記をTLS化してみた。

これで管理ページへのLoginも安全だし〜
WordPressへの安全が少し向上したかなぁ〜

SEOにも有利らしいし・・・HTTPS をランキング シグナルに使用しますにも書かれているしなぁ〜

今後、より多くのウェブサイトで HTTPS が使用されることを期待しています。ウェブの安全性をさらに強化しましょう。

今後はデフォルトHTTPS対応が増えてくるのかなぁ〜
そうするとみたいなPVが少ないところはいいけどそこそこPVがあるところではサーバ負荷もきになるんじゃないかな?

TLSとかSSLとかについては「SSL で守られる生活」が良い感じ。

これはすごくいいねーー。
これによると「SSL was dead」らしい。

HTTPSでコンテンツを提供するつーことはHeartBleedとかPOODLEとかOpenSSLのライブラリに関する問題に対応していくというおとなんだけどね・・・
証明書を取ったのでSSL Server Testでチェックしてみた。

SSL Server Test barasu org Powered by Qualys SSL Labs Evernote Premium

「B」より「A-」とかが良いのはわかるけどAまでがんばるかは悩み中^^;;

SSLCipherSuite HIGH:!aNULL:!MD5:!RC4:!SSLv3:!SSLv2:!LOW:!EXP
として
screen 2015 03 27 20 34
よしよし。と思っていたら・・・・

MarsEditで「Can’t get recent posts for barasu.org because the server reported an error: the server did not respond.」
とか言われた・・・

MarsEdit

SSLCipherSuiteでSSLv3を許可したらMarsEditでの利用は可能。
でもブラウザでは「古い暗号化技術により暗号化されています」なんて出るなぁ〜

screen 2015 03 29 8 32

もう少し調整が必要だ・・・
SSLCipherSuiteとSSLProtocolのSSLv3って違うの?とかそのレベルからスタートだな・・・

とりあえずSSLv3やSHA1をSSLCipherSuiteで対応しなかったらMarsEditでxmlrpc.php経由での投稿は出来ないわけだ・・・

考えられる対応は

  1. xmlrpc.phpはHTTPSではなくHTTPにする
  2. SSLCipherSuiteでSHA1を対応する
  3. ブラウザからの更新にする

3つぐらいしか思いつかないなぁ〜
1のHTTPはさすがに安全な通信といいつつやるのは厳しいよねぇ〜
となると2が無難かな〜

難しいなぁ〜
WordPressやMovable Typeを提供しているサービス屋さんはどうしているんだろうか
普通ブラウザから記事は更新するから気にしなくてOK?

TLS周りの暗号化の勉強をする必要があるなぁ〜
書いている途中で色々いじったから意味がわからなくなってきているのは秘密^^;;