Skip to content

セキュリティについて

Q. espar の公開サーバのTLS対応バージョンを教えて下さい

TLS1.2 以上です。

espar公開サーバでは、各種セキュリティ情報や情勢に応じて、古いバージョンや推奨されないプロトコルを非対応としていく保守運用を行っております。

Q. 常時SSL化の対応は可能ですか?

はい

espar の公開サーバで常時SSL化対応を行います。

WordPress等のCMS側が常時SSL化対応していない場合でも、espar導入直後から自動的に常時SSL化対応済みサイトとなります。既にCMS側で証明書を設置して常時SSL化をしている場合、当該の証明書は不要となります。espar導入後は年次更新して頂く必要もありません。espar の公開サーバでは、証明書にLet’s EncryptのDV証明書を使用しています。証明書の取得や設置、更新の作業を含め全ての料金が espar の基本価格に含まれています。

Q. 常時SSL化のサーバ証明書の更新も行って貰えるということでしょうか?

はい

Let’s Encrypt の認証局と通信する仕組みを使用し、証明書の期限が切れる30日前に自動更新を行っています。esparのサービス開始以来、自動更新が失敗した事例はありません。

Q. 証明書の期限切れに備え espar の公開サーバを監視しても大丈夫ですか?

はい

実施頂いて結構ですが事前にお知らせ下さい。万が一、当該の監視用通信が espar 公開サーバの負荷を過度に上げる要因になる場合は、ご説明の上でアクセス拒否をさせて頂く場合もあります。

なお、証明書期限切れチェックでは期限の2,3週間前程度を設定して下さい。Let’s Encryptの仕様により30日以上前に自動更新が行われることはありません。つまり期限30日以上前に発火する監視は常にアラートが発火することとなり、当該アラートを消す手だてはなく無意味な監視となります。アラート発火のご連絡を頂いても対応は致しませんのでご了承下さい。(期限30日以内〜期限日の間に自動更新が行われます)

Q. 既にhttps通信の為のSSL証明書を持っているのですが継続して使用できますか?

はい

これを「証明書の持ち込み」と呼びます。 esparの公開サーバ上に証明書関連ファイル一式(証明書・中間証明書・秘密鍵)を設置する必要がありますので、一式をCMSサーバから取得して弊社担当者にお送り下さい。設置費用(税込 ¥33,000)が必要となりますのであからじめご了承下さい。

証明書を取得した認証局やレンタルサーバ会社様によっては、証明書関連のファイル一式や一部を入手できない場合があります。その場合、弊社でご用意する無償のLet’s Encrypt証明書(DVタイプ)で取得/設置しますので御安心下さい。その場合は設置費用はかかりません。

また「証明書の持ち込み」を行う場合、お客様または制作会社様で毎年更新用の証明書を取得して頂く必要があります。取得に必要となるCSRは都度弊社からご提供しますので期限30日前頃になりましたらお知らせ下さい。弊社で期限管理は行いませんのでご了承下さい。また毎年、有償での対応(税込 ¥33,000/回)となります。

Q. Let’s Encrypt のDV証明書でセキュリティ的に大丈夫なのでしょうか?

はい

証明書にはDV/OV/EVの3ランク(EVが最も高価)ありますが、セキュリティレベルに差は全くありません

サイト閲覧者に「このサイトはEV証明書やOV証明書で常時SSL化しているから安心だ」と思って貰えるかも知れない程度の効用しかありません。証明書の種類によってセキュリティレベルが異なるという主張は、証明書業者のセールストークに過ぎない点に注意してください。

ところで、質問者様は、お使いの銀行や証券会社のWebサイトが、

  1. https対応しているかどうか
  2. 証明書がEV証明書かどうか

を気にしたことはあるでしょうか?1はあったとしても、2を気にかけた事は無いのではないでしょうか?また、EV証明書であるかどうかの確認方法はご存知でしょうか?質問者様の周囲の知人/同僚は2を気にかけておられるでしょうか?

証明書のランクとは、つまり、その程度のものだということです。銀行業や証券業など金融資産を扱うログイン機能つきWebシステムでない限りDV証明書で十分であり、OV証明書やEV証明書は全く不要です。