Let’s EncryptでWordPressを常時SSL化

ChristophMeinersmann / Pixabay

常時SSL化のメリット・デメリット

下記サイト参照。

 いつも空が見えるから

【WordPressでSSL対応】httpをhttpsにするためにやった10の設定や手順

このブログを、常時SSL(暗号化通信)に対応しました。SSL(Secure Sockets Layer)とは、インターネットの安全な接続のことで、URLの最初がhttpからhttps (sはsecureの意味...

一番のメリットはGoogle様に優遇されること。

一番のデメリットはhttpで築き上げてきたURL的な資産がなくなること。

Let’s Encryptとは

一言でいうと常時SSL化に必要な「SSL/TLSサーバ証明書」を無料で発行してくれるところ。

スクリプトを叩くだけで証明書の発行からインストール・更新までしてくれる。

詳細は下記サイト参照。

 letsencrypt.jp

Let's Encrypt 総合ポータル

無料SSLサーバ証明書「Let's Encrypt」の総合ポータルサイト。導入方法の解説や技術情報の和訳など。

Let’s Encryptのインストール

うちのさくらVPSはCentOS6なので下記サイトを参考にインストールする。

 letsencrypt.jp

Certbot クライアントのインストール - Let's Encrypt 総合ポータル

yum install epel-release
wget https://dl.eff.org/certbot-auto
chmod a+x certbot-auto
./certbot-auto

必要なパッケージがインストールされるので完了するまで待つ。

証明書の発行・取得

WordPressを止めたくないので、Apacheを利用して証明書を発行・取得する。

※Python関係のWarningが出ても動作に支障はないので無視する。

./certbot-auto certonly --webroot -w /var/www/html(apacheの公開ディレクトリ) -d example.com,www.example.com（ドメイン名） -m mail@example.com（メールアドレス）

上手くいくと下記のようなファイルが作成される。

ls -1 /etc/letsencrypt/live/example.com/
README
cert.pem
chain.pem
fullchain.pem
privkey.pem

Apacheの設定

Apacheに証明書を組み込む

vi /etc/httpd/conf.d/ssl.conf
SSLCertificateFile /etc/letsencrypt/live/hogehoge.hugahuga.jp/cert.pem
SSLCertificateKeyFile /etc/letsencrypt/live/hogehoge.hugahuga.jp/privkey.pem
SSLCertificateChainFile /etc/letsencrypt/live/hogehoge.hugahuga.jp/chain.pem

デフォルトだとセキュリティ上問題があるので設定を変更する。

POODLE脆弱性のあるSSLv3は無効にする

# SSL Protocol support:
# List the enable protocol levels with which clients will be able to
# connect. Disable SSLv2 access by default:
#SSLProtocol all -SSLv2
SSLProtocol all -SSLv2 -SSLv3

POODLE脆弱性については下記サイトを参照。

 www.ipa.go.jp

更新：SSL 3.0 の脆弱性対策について(CVE-2014-3566)：IPA 独立行政法人 情報処理...

情報セキュリティ関連情報のユーザー、管理者、技術者に向けた発信、その前提となる情報収集、調査分析、研究開発、技術評価等の実施

セキュリティ強度の低い暗号化方式は使わない

# SSL Cipher Suite:
# List the ciphers that the client is permitted to negotiate.
# See the mod_ssl documentation for a complete list.
#SSLCipherSuite DEFAULT:!EXP:!SSLv2:!DES:!IDEA:!SEED:+3DES
SSLHonorCipherOrder ON
SSLCipherSuite EECDH+HIGH:EDH+HIGH:HIGH:MEDIUM:+3DES:!ADH:!RC4:!MD5:!aNULL:!eNULL:!SSLv2:!LOW:!EXP:!PSK:!SRP:!DSS:!KRB5

詳しくは下記サイト参照。

 Qiita

ApacheでOpenSSLのセキュリティを強化する - Qiita

# セキュリティランクの確認OpenSSLを利用されている方は下記サイトでセキュリティランクを確認してみると良いでしょう。https://sslcheck.globalsign.com/ja/# apache...

httpへの接続をhttpsに転送する

vi /etc/httpd/conf/httpd.conf
<IfModule mod_rewrite.c>
 RewriteEngine On
 RewriteCond %{HTTPS} off
 RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]
</IfModule>

Apacheを再起動する

service httpd restart

WordPressの設定

• [設定]->[一般]で「WordPress アドレス (URL)」と「サイトアドレス(URL)」をhttpsに直す。
• 記事の内部リンクをhttpsへできれば修正する。

証明書の自動更新設定

cronで週1回期限切れが近い証明書を更新してApacheで読み込むように設定する。

（2018/05/27更新）

いつの間にか自動でサービスの再読込をしてくれるようになっていたので以下の設定でOK。

crontab -e

0 6 * * 0 /root/certbot-auto renew