-
Notifications
You must be signed in to change notification settings - Fork 0
Expand file tree
/
Copy pathindex.html
More file actions
164 lines (137 loc) · 13.2 KB
/
index.html
File metadata and controls
164 lines (137 loc) · 13.2 KB
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
<!DOCTYPE html>
<html lang="ja">
<head>
<title>私のサイトをHTTPS化する必要がありますか?</title>
<meta charset="utf-8">
<meta name="viewport" content="width=device-width, initial-scale=1.0">
<meta property="og:locale" content="ja">
<meta property="og:type" content="article">
<meta property="og:title" content="私のサイトをHTTPS化する必要がありますか?">
<meta property="og:description" content="あなたのサイトをHTTPS化する必要があるかどうかを調べましょう。">
<meta property="og:url" content="/">
<meta property="og:site_name" content="Caddy">
<meta property="article:publisher" content="https://HTTPSは必要ですか.jp">
<meta property="article:tag" content="https">
<meta property="article:tag" content="情報セキュリティ">
<meta property="article:tag" content="tls">
<meta name="twitter:card" content="summary">
<meta name="twitter:title" content="私のサイトをHTTPS化する必要がありますか?">
<meta name="twitter:description" content="あなたのサイトをHTTPS化する必要があるかどうかを調べましょう。">
<meta name="twitter:creator" content="@mholt6">
<meta itemprop="name" content="私のサイトをHTTPS化する必要がありますか?">
<meta itemprop="description" content="あなたのサイトをHTTPS化する必要があるかどうかを調べましょう。">
<meta property="og:translator" content="@ale_mercier">
<!-- <script src="script.js"></script> -->
<link rel="stylesheet" href="font.css">
<link rel="stylesheet" href="style.min.css">
</head>
<body>
<div class="header"><a href="https://doesmysiteneedhttps.com/">英語</a></div>
<h1>
はい
<span class="subtitle">
あなたのサイトをHTTPS化する必要があります。
</span>
</h1>
<h2>「でも私のサイトには問い合わせフォームのようなユーザーの個人情報を集めるものはないんだけど」</h2>
<p>
関係ありません。HTTPSは収集する個人情報を保護するためだけのものではありません。HTTPSはURL、ヘッダー、コンテンツなど、転送されるページのあらゆる情報を<b>保護します</b>。
</p>
<h2>「私のサイトには機密情報なんてないんだけど」</h2>
<p>
あなたはあなたのサイトの責任を負わなければなりません!あなたのサイトのサーバーが安全であっても、サイト内の情報がユーザーに届くまでに無数の企業や国有機関が持つケーブルやサーバーを経由するわけです。意図しないスクリプトや画像または<a href="https://justinsomnia.org/2012/04/hotel-wifi-javascript-injection/">広告</a>がだれかに不正に挿入されることを許せますか?またはページの内容を不正に変更される可能性や、あなたのサイトが他のサイトを攻撃するために使用される可能性があります。このようなことが<a href="https://gist.github.com/ryankearney/4146814">発生します</a>。以下に例を挙げます。<a href="https://twitter.com/konklone/status/598696478018666496">機内</a>(<a href="https://www.theregister.co.uk/2015/01/06/gogo_ssl/">例2</a>、<a href="https://twitter.com/troyhunt/status/691166196268417024">例3</a>)、<a href="https://citizenlab.org/2015/04/chinas-great-cannon/">中国で</a>、<a href="https://gist.github.com/Jarred-Sumner/90362639f96807b8315b">プロバイダ</a>でさえもよくやります(<a href="https://arstechnica.com/tech-policy/2014/09/why-comcasts-javascript-ad-injections-threaten-security-net-neutrality/">例2</a>、<a href="https://twitter.com/paul_irish/status/871431848957575168">例3</a>)。HTTPSは以上のようなことを全て防ぎます。HTTPSは<b>コンテンツの完全性</b>を保証し、<b>改ざんを検出する</b>ことができます。機密情報のみを暗号化することは、その情報を標的にすることに繋がります。どの情報が機密情報であるかを知られないために、全ての情報を暗号化するべきです。
</p>
<h2>「サイトはHTTPだけど、問い合わせフォームはちゃんとHTTPSを使っているよ!」</h2>
<p>
これはHTTPSを一切使わないのと同じです!攻撃者はリンク先やフォームの送信先を自身のサーバーへ変更するだけで攻撃ができてしまいます。HTTPで転送されるため、このような操作を検出することは不可能です。<b>サイト全体を暗号化し、HTTPをHTTPSへリダイレクトさせましょう。</b>
</p>
<h2>「証明書高いわ」</h2>
<p>
<a href="https://letsencrypt.org">無料です。</a>
</p>
<h2>「HTTPSの設定と維持が難しい」</h2>
<p>
<a href="https://caddyserver.com">Caddy</a>ウェブサーバーを使用すれば簡単です。証明書の更新は自動ですし、なにも考える必要はありません。Caddyを使わなくても、<a href="https://letsencrypt.org/docs/client-options/">お好みのLet's Encryptクライアント</a>を使用すれば、HTTPSの更新を自動化することができます。
</p>
<h2>「HTTPSを使っても、攻撃者は私のサイトを偽装できてしまうけど」</h2>
<p>
攻撃しようとしますが、あなたの秘密鍵が漏れない限り、一致しない、あるいは無効なTSL証明書が提示されると、ブラウザーは警告を表示します。そして、攻撃者がHTTPSを全く使用していない場合、ブラウザーは偽装ページに「保護されていません」と表示するべきです。そのために、HTTPSは<b>真正性</b>を保証します。
</p>
<h2>「ドメイン認証型SSLサーバ証明書(下記DV証明書)は安全ではない。」</h2>
<p>
安全です。DNSの管理を漏らさない、且つ、<a href="https://letsencrypt.org">有能な認証局</a>を選べば大丈夫です。(<a href="https://www.godaddy.com/garage/godaddy/information-about-ssl-bug/">有能でない認証局</a>の例と<a href="https://groups.google.com/a/chromium.org/d/msg/blink-dev/eUAKwjihhBs/rpxMXjZHCQAJ">面倒な認証局</a>、<a href="https://bugzilla.mozilla.org/show_bug.cgi?id=1311713">例2</a>)。
DV証明書の暗号化はExtended Validation(EV)SSL証明書の暗号化に比べて、違いが一切ありません。
</p>
<h2>「でも認証局はいつでも私のサイトに不正な証明書を発行することができる <・・・その他、認証局の仕組みについての文句>」</h2>
<p>
公開鍵基盤について話しているのではありません。現状では一番いい仕組みです。我慢してあなたのサイトをセキュアにしてください。<a href="https://tools.ietf.org/html/rfc6844">CAAレコート</a>を利用してあなたのサイトに証明書を発行できる認証局を指定して、そして、透明性の確保と監督がうまく行くよう祈りましょう(今までうまく行っています)。
</p>
<h2>「HTTPSはコンテンツのサイズを隠さないため、攻撃者に手がかりを漏らしてします」</h2>
<p>
TLS 1.3とHTTP/2は<a href="https://tlswg.github.io/tls13-spec/#rfc.section.5.4">パッディングフレーム</a>という技術があり、暗号文のサイズを膨張させます。
</p>
<h2>「HTTPSはDNS正引きを隠さない」</h2>
<p>
もちろん。DNS != HTTP。でもこれはあなたのウェブサイトとユーザーの間の接続を暗号化しない理由となりますか??(ヒント:いいえ)
</p>
<h2>「HTTPSは遅い」</h2>
<p>
<a href="https://istlsfastyet.com/">いいえ、遅くなりません。</a> モダンなサーバー 上で動くサイトはHTTP/2のおかげで、HTTPよりHTTPSの方は表示速度が早いです。
</p>
<h2>「フィッシングサイトはHTTPSを使う」</h2>
<p>
... というわけであなたは使いません?
</p>
<h2>「我々のサイトはHTTP経由の広告を表示している」</h2>
<p>
おあいにくさま。<b>あなたのウェブサイトにはHTTPSが必要である</b>という事実には変わりありません。HTTP経由の広告をHTTPS対応のサイトに表示すると、「Mixed Content」(混在したコンテンツ)の警告がブラウザー上で表示されてしまうので、契約時によく見えた広告掲載契約から解消するうまい方法を見つけた方が良いです。または、そのアドネットワークにもHTTPS対応するように説得しましょう。
</p>
<h2>「HTTPで問題なく動いているよ」</h2>
<p>
ブラウザーがHTTPのページ上で「この接続は安全ではありません」と表示し始めるまでは、<a href="https://arstechnica.com/security/2017/03/firefox-gets-complaint-for-labeling-unencrypted-login-page-insecure/">Oil and Gas International</a>も同じことを思っていました。
</p>
<h2>「でもTLSプロクシーはHTTPSの保証を破っている」</h2>
<p>
それはエンドユーザーのコンピューターがTLSプロクシーを信用するように変更した場合のみです。この変更は管理者権限(ルート)が必要なため、コンピューターの所有者が許可しなければいけません。そのうえ、<a href="https://jhalderm.com/pub/papers/interception-ndss17.pdf">HTTPS interception(HTTPS通信盗聴)</a>は通常、<a href="https://caddyserver.com/docs/mitm-detection">ウェブサーバーによって検出されます</a>。
</p>
<h2>「少なくともHTTP経由とHTTPS経由でサイトにアクセス可能にすることができる」</h2>
<p>
サーバーの80ポートを開放する唯一の理由は全てのリクエストを443ポートにリダレクトし、80ポート接続を遮断することです。(いつか、80ポート自体をこの世から消滅させることができるかもしれません。)
</p>
<h2>「私のサイトは内部ネットワークやVPN経由でしか接続できない」</h2>
<p>
どれだけインフラを所有する企業・国有機関を信用しているんですか?ネットワークを構成するハードウェアを生産する会社も信用していますか?
<a href="https://www.troyhunt.com/the-importance-of-trust-and-integrity-in-a-vpn-provider-and-how-mysafevpn-blew-it/">VPNのプロバイダも</a>?
</p>
<h2>「パスワードをハッシュ化する」</h2>
<p>
よかったですね。HTTPS経由で取得しています・・・よね?
</p>
<h2>「HTTPSはSEOに影響がある」</h2>
<p>
正解です!HTTPSはよい影響を与えます!URLを不適切に変更すると、検索順位に悪影響を与える<b>かもしれません</b>が、<a href="https://webmasters.googleblog.com/2014/08/https-as-ranking-signal.html">HTTPSは検索順位によい影響を与えます</a>。好きな検索エンジンに沿って正しく変更していれば、せいぜい、一時的な副作用があるだけで、検索順位に問題ありません。
</p>
<h2>「ユーザーの安全を守るのはブラウザーの役目でしょ」</h2>
<p>
確かにそうですが、不十分です。ブラウザーだけで役目ではありません。サーバーがHTTPS証明書を通じてログイン情報を提供した場合のみ、ブラウザーはユーザーの安全を確保することができます。サイトの所有者として、これらのログイン情報をユーザーへ安全に提供する責任があります。
</p>
<h2>— HTTPS化する方法 —</h2>
<p>
最も簡単な方法は<a href="https://letsencrypt.org">Let's Encrypt</a>と、全てのあなたのサイトに対してHTTPSを自動的に有効化する<a href="https://caddyserver.com">Caddy Webサーバー</a>。または、<a href="https://github.com/xenolf/lego">lego</a>という、Let's Encryptクライアントを使うことができます。それはシンプルで、独立型であり、あらゆるプラットフォームで動きます。
</p>
<p>
昔ながらのウェブサーバーで設定やシステム統合をしたいなら、EFF(電子フロンティア財団)のクライアントである<a href="https://certbot.eff.org/">Certbot</a>がぴったりでしょう。
</p>
<p>
その他にも、手間をかけずにあなたのサイトをHTTPS化する方法がたくさんあります。<a href="https://dassur.ma/things/h2setup/">Das Surma氏はいくつかのウェブサーバーについて説明しています</a>。また、<a href="https://www.cloudflare.com">Cloudflare</a>のようなCDNによって低コスト、あるいは無料であなたのサイトをHTTPS化することができます。
</p>
<footer>
© <script type="text/javascript">document.write(new Date().getFullYear());</script> <a href="https://DoesMySiteNeedHTTPS.com">DoesMySiteNeedHTTPS.com</a>. All rights reserved.<br><a href="https://twitter.com/mholt6">作成者</a>の許可を得て翻訳しました。
</footer>
</body>
</html>
<!--
HTTPSが必要なサイト:
- 全てのサイト
If you like it, you better put a lock on it.
-->