皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

既に大半のブラウザで対応が打ち切られている『SHA-1証明書』ですが、先日Apple（アップル）も無効とする方針を表明しています。

AppleもSHA-1証明書を無効化表明

最近では当り前になっている『Webの暗号化（HTTPS化）』において『SSL/TLS証明書』というものが必要になります。

その『SSL/TLS証明書』において『SHA-1』というハッシュアルゴリズムが使われたものがある（あった）のですが、今回、Appleはそれを無効化するというものです。

これに関しては『Google Chrome』、『Mozilla Firefox』、『Microsoft Edge』、『Internet Explorer』においては既に対応が打ち切られており、大手のブラウザの中ではAppleが最後になったという感じです。

Appleの対応としては、『iOS 13』と『macOS 10.15』において『SHA-1』で署名された証明書を信頼できないものとし、『SHA-2』のハッシュアルゴリズムを使用しなければならない規定を発表しています。

もし『SHA-1』の『SSL/TLS証明書』がそのまま使われていた場合、同OSのSafariiブラウザでのWebサイトの読み込みには失敗する可能性があるとしています。

この『SHA-1証明書』問題に関しては既に『Google Chrome』、『Mozilla Firefox』、『Microsoft Edge』、『Internet Explorer』においてWebサイトをブロックする対応がされていますので問題はないかと思いますが、古いバージョンのブラウザを使っている方は要注意であることと、万が一まだ『SHA-1証明書』を使っているのであれば即切り替えを行うことが必要です。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

このブログを読んでいただいている方々、何か数日前までとはパフォーマンスが違うことにお気づきでしょうか？

その理由はこんなことにありました。

Webサイトが突然速くなった理由

さて、昨日突然Webサイトが速くなった（パフォーマンスがアップした）理由ですが、こんな対応がされたことにあります。

『TLS1.3』対応です。

TLS（Transport Layer Security）というのはインターネットなどのコンピュータネットワークにおいてコンピュータ同士が安全にデータのやり取りをするための暗号化通信プロトコルのことを言いますが、これが最新の『TLS1.3』に対応してくれたのです。

何故それがパフォーマンスにつながるのか？

『TLS1.3』は、『TLS1.2』から『セキュリティとスピードの向上が約束された暗号化通信プロトコル』だからです。

セキュリティ面では暗号化の手法などが変更されたことなどで安全性が飛躍的に向上し、秘匿性の徹底も図られています。

また、今回のようなパフォーマンス面への影響に関しては、ハンドシェイクという『2点間の通信路を確立した後に本格的な通信を行う前にパラメータを取り決めるなどの事前のやり取りを自動的に行う技術』が大きく改善され、『TLS1.2』に比べてより少ない回数で暗号化通信を開始できるようになっているという部分が大きく影響しているようです。

簡単に言えば『効率的』になったということで、この部分が大幅に改善されたことでパフォーマンスが向上しています。

中小企業・小規模事業者の場合はホスティングサービス契約を行っていることが大半でしょうから契約先の対応次第となってしまいますが、自社サーバ運用を行っている企業であれば今後は『TLS1.3』の導入が望まれるところでしょう。

※　現在、ホスティングサービス会社は脆弱性のある『TLS1.0/1.1』を順次停止しており（Apple/Google/Microsoft/Mozillaのブラウザは2020年に無効化されます）、多くは『TLS1.2』での対応となっています。また、『SSL1.0/2.0/3.0』は仕様上の脆弱性により数年前から使用されていません。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

現在、Webアクセスのプロトコルは『HTTP/1.1』と通信効率を改善した『HTTP/2』が使われていますが、近い将来、『HTTP/3』が登場し、さらに効率化されたものとなりそうです。

HTTP/3の登場で効率化されるWEB

まず、現状使われている『HTTP/1.1』や『HTTP/2』は以下のように動作しています。

＜HTTP/1.1＞

・基本的には1回のリクエストで1回のレスポンスを返す

・主にTCPを使う

・リクエスト数などによってはレスポンスが重い

＜HTTP/2＞

・1回のTCPコネクションで複数のリクエストを通信し、並列処理を可能にしているためHTTP/1.1と比べWebサイトのパフォーマンスが向上する

・実質的にはHTTPS（SSL/TLS通信）であるため安全性も確保される

そして、新バージョンとなる『HTTP/3（HTTP over QUIC）』は以下のように改善されるようです。

＜HTTP/3（HTTP over QUIC）＞

・TCPではなくUDPを使うため効率的な通信が行える

・TLS1.2より効率の良いTLS1.3を使った暗号化となる

このように改善されます。

（詳細にはもっとあると思います。)

TCPではなくUDPを使うことに対してセキュリティ的に疑問視する方もおられるようですが、その部分は新たに採用される『TLS1.3』などにおいて安全性にも優れいていることがテストで証明されているようです。

安全性が保持され、さらにパフォーマンスが向上するのであれば非常にありがたい話しです。

今、モバイル通信が『5G』へと進化しようとしていることもあり、Webにおいても早い段階で『HTTP/3（HTTP over QUIC）』が導入されることに期待ができそうです。

正式に『Chrome 70』がリリースされたということです。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

とうとうGoogle Chrome 70がリリースになりました。

これにより、HTTPS化（常時SSL化）されていないWebサイト（ページ）ではさらに注意が必要となります。

Chrome70リリースで赤色警告始まる

今回のChrome 70で気をつけたいのは、ノーマル色（グレー）の『！保護されていない通信』に加えてフォームなどへのデータ入力においては『！保護されていない通信』のように赤色の警告表示に変わるようになることです。

ノーマルなグレーであれば気づかない可能性もありますが、フォームなどにデータを入力したと同時に赤色の警告表示に変わりますのでさすがに目立ちます。

これが意味するものは『信頼性の低下』、つまり『イメージダウン』です。

安全性以外にも心理的な要素がありますので、人によっては問い合わせなどを止めてしまう可能性も秘めています。

ユーザーが不安を覚え、Webサイトから離脱してしまい、問い合わせや商品購入の減少を招く可能性があるとしたらどうしますか？

この段階においてもHTTPS化（常時SSL化）を行わないことにメリットはありません。

早急に対応を行うべきです。

また、ほとんどが対応済みかと思いますが、2016年6月1日以前にシマンテック、GeoTrust、RapidSSLが発行したSSL/TLSサーバ証明書はChrome 70より完全に信頼が停止されます。

証明書の再発行費用は発生しないため、まだ再発行を受けていない方は早急に対応されることをお勧めします。

警告対象であるかが不明な場合は以下のサイトからチェックしてみてください。

『Google Chromeによる警告をチェックする』

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

冒頭で書きました通り、以前にWordPressの更新が止まってしまう原因にてお伝えしたわけですが、新たにこんなケースもあることがわかりました。

WordPressの更新が止まる訳（続）

今回わかったケースでは、WordPress本体やプラグインの更新が途中で完全に止まってしまったというより、止まってしまったように見えるような現象です。

ダウンロードしている表示以降、完了しても一覧に戻るなどのリンクは表示されず、一見ダウンロード途中で止まっているように見えます。

このような現象が起きていた原因として、セキュリティソフトの存在があります。

単にセキュリティソフトが常駐していることがダメなわけではなく、ある特定のことを行っている場合に限ってです。

セキュリティソフトの中には、SSL/TLSのプロトコルをチェックする機能を搭載したものがあり、その中に、チェックを行う必要性のないWebサイトのSSL証明書を認識させておくことができるものもあります。

ここにWordPressを使っているWebサイトのSSL証明書を認識させておくと更新が途中で止まってしまっているかのように見える現象が発生します。

やはり、セキュリティソフトが搭載している機能は何らかの形で影響を与えるケースが多いですね。

同じ現象が発生している方、一度試しに認識させたSSL証明書を削除して更新を実行してみると正常な状態に戻ります。

ご参考までに。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

ある程度の方はセキュリティ（ウイルス対策）ソフトが原因でアプリケーションソフトを正常にインストールできなかった経験をお持ちかもしれません。

しかし、このセキュリティ（ウイルス対策）ソフトが原因となってしまう問題はそれだけではありません。

セキュリティソフトが原因で起こる問題

例えば、Windows 10などにおいては『Windows Defender』というセキュリティが標準で用意されていますが、通信を必要とするアプリケーションなどにおいては設定を変更したり、場合によっては一時的にファイアウォールを無効にした状態で作業をしないと前に進められないものもあります。

これはセキュリティ専門のメーカーが出しているセキュリティ（ウイルス対策）ソフトでも同じで、最悪は、一度それをアンインストール（削除）してみないとわからないというケースもあります。

細かいところで言えば、Google ChromeやFirefoxなどのブラウザソフトに用意されている拡張機能などに影響が出る場合もありますし、SSL/TLS証明書とセキュリティ（ウイルス対策）ソフトの絡みで影響が出る場合もあります。

先日、こんなケースに遭遇しました。

WordPressの本体更新やプラグインの更新において、『内部的には正常にダウンロードされて終了までたどり着いているものの、表示的にはダウンロード中で止まってしまっているように見える』というものです。

これ、結果的にはGoogle Chromeに拡張機能が加わった状態にて、セキュリティ（ウイルス対策）ソフト側に特定のWebサイトのSSL/TLS証明書がセキュリティ（ウイルス対策）ソフトに登録されていたことが影響していました。

こういったレアなケースもあったりしますので、パソコンにおけるトラブルの場合、一度はセキュリティ（ウイルス対策）ソフトが起因していることを疑ってみるのも必要と言えるでしょう。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

日本時間の昨日、WordPressの更新版であるWordPress4.9.5が公開されました。

今日はそのニュースをお伝えします。

WordPress4.9.5セキュリティ・メンテナンス

WordPressのブログでは、以下のように説明されています。

WordPress 4.9.5 がご利用いただけるようになりました。これは WordPress 3.7 以降のすべてのバージョンに対するセキュリティ・メンテナンスリリースとなります。今すぐにサイトの更新を行うことを強くおすすめします。

バージョン 4.9.4 以前の WordPress は、3つのセキュリティ問題の影響を受けます。コアチームの継続的なセキュリティ強化の取り組みにより、4.9.5 では、次の修正が実装されました。

１．デフォルトで localhost を同じホストとして扱わない。
２．SSL が強制されている場合に、ログインページのリダイレクトに安全なリダイレクトを使用する。
３．ジェネレータータグでバージョン文字列が正しくエスケープされていることを確認する。

WordPress 4.9.5 では、その他25個のバグが修正されました。特筆すべきは、以下となります。

・キャプションショートコードで以前のスタイルが復元されました。
・タッチスクリーンデバイスでクロッピングがサポートされるようになりました。
・エラーメッセージなどの文字列がより明解となるよう更新されました。
・アップロード中の添付ファイルのプレースホルダーの位置が修正されました。
・REST API JavaScript クライアントのカスタムノンス機能が、コードベース全体で一貫したものとなりました。
・PHP 7.2 との互換性が向上しました。

注意したいのは、『WordPress4.9.3で嫌な不具合』でご紹介した通り、WordPress4.9.3において自動バックグラウンド更新をサポートするサイトが自動的に更新されないというバグ（不具合）があったため、手動で4.9.4にアップデートされていない場合は4.9.5に自動更新されることはないと思われますので、念のため管理画面で確認をしておくことをお勧めします。

次のChrome 66は、4月17日に安定版の公開が予定されています。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

WebブラウザのGoogle Chrome 65がリリースされたばかりですが、次のバージョンChrome 66において一部のSSL証明書への信頼が停止されます。

Symantec系SSL証明書の信頼停止

以前にもこのブログで取り上げましたが、WebブラウザのGoogle Chrome 66において、Googleに信頼できないと判断された『Symantec系認証局（CA）』の『Thawte』、『VeriSign』、『Equifax』、『GeoTrust』、『RappidSSL』が発行したSSL証明書が、同Webブラウザにおいて信頼が停止されます。

さらに、10月16日に公開が予定されているChrome 70においては、これら以外の残りのSymantec証明書に関してもすべて信頼が停止されることが予告されています。

信頼が停止されたSSL証明書のままであった場合、Chromeにて当該サイトを表示する際にエラー警告が表示されるため、事業者にとっては最低でもイメージダウンやアクセス数の低下につながってしまいます。

これが表示された場合であっても詳細設定から『〇〇にアクセスする（安全ではありません）』をクリックすれば実際のページに進めますが、『安全ではない』と表示されている状態で先に進もうとする人は心理的に少ないです。

また、DigiCertがSymantecの証明書事業を買収した後にDigiCertから再発行された証明書は信頼できるものとして扱われるため、これらの措置の対象からは外れます。

問題が起きないようにするため、ウェブサイトのSSL証明書を直ちにチェックして対応する必要があります。

参考：『Google Security Blog:Distrust of the Symantec PKI: Immediate action needed by site operators』

追伸：1月20日より提供されているChromeの試験運用版（Canary）、3月15日にリリースされるChrome 66のβ版においては4月17日公開予定の安定版を待たずに警告が表示されます。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

冒頭に書いた『他にも影響を与えるケース』に関してですが、最近身近なところで確認された現象がありますのでご紹介します。

セキュリティソフトがブラウザに与えた影響

Aというウェブサイトを運営している企業が借りているサーバーはHTTP/2に対応しているサーバーでした。

（HTTP/2とは、従来のHTTP/1.1を効率よく高速化したものと考えてください。）

しかし、Google Chrome、Mozilla Firefox、どちらのブラウザにHTTP/2 indicatorを入れて確認してもHTTP/2が反応しませんでした。

ややこしいことに、Yahoo!やGoogleなどを確認するとHTTP/2のインジケーターが反応しています。

この段階において、『サーバーに何か不具合でもあるのでは？』と思ってもおかしくありません。

理由として、Yahoo!やGoogleなどにおいてはHTTP/2のインジケーターが反応していることからです。

しかしこれ、全くもってサーバーの問題ではなかったのです。

問題は、そのパソコンに導入されていたセキュリティソフトにあったのです。

昨今のセキュリティソフトには、ウェブのSSL通信やTLS通信をフィルタリングする機能が搭載されています。

セキュリティソフトによっては、それらに間違った影響を及ぼしてしまうケースもあります。

もちろん修正方法はありますが、それ以前に、何が原因で問題が起きているのかの答えにたどり着くまでのロスタイムの方が問題です。

もし同じような現象に遭遇した場合、一度セキュリティソフトを疑ってみると良いかもしれません。

それは本当にブラウザ側のチェックだけによるものなのでしょうか？

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

少し前あたりから、主要なブラウザにおいてHTTPSアドレスに対するチェックの強化が行われています。

そのため、SHA-1のSSL証明書を利用している場合であったり、コンテンツ内に非SSLコンテンツを使用している場合などにおいて警告表示がされます。

しかし、それらには問題がない場合においても警告表示が出されてしまい、閲覧したいウェブサイトが表示されないケースもあります。

セキュリティソフトの影響によるもの

昨今のセキュリティソフトには、SSL/TLSプロトコルをチェックする機能が搭載されていることが多いですが、そのSSL/TLSプロトコルのチェック機能がうまく反映されなかった場合においても『安全ではない接続』として警告表示されることがあります。

こういった機能は、セキュリティソフトによって各ブラウザの『信頼されたルート証明機関』であったり、『認証局証明書』部分にセキュリティソフト会社のものを追加させている場合があり、それで中継させてSSL証明書のチェックを行っていたりします。

このような場合、すべてのブラウザとメールソフトを終了させ、当該機能を一度オフにし、セキュリティソフトに設定を書き込みします。

その後、再度セキュリティソフトの設定画面を開き、もう一度その機能をオンにしてセキュリティソフトに書き込みします。

この動作を行った後、各ブラウザにて確認すると通常通り閲覧できるようになったりします。

ただし、これでもNGなケースがないわけではありませんので、その場合は当該機能をオフにしてブラウザにて確認をしてみることになります。

サイバー攻撃、インターネット犯罪が増加するばかりの昨今においては、セキュリティソフト側もさまざまなチェック機能を搭載するようになっていますので、少々複雑化していることは事実ですのでご注意ください。

ご参考までに。