GitLab Pages SSL/TLS証明書

すべてのGitLab Pagesプロジェクトは、GitLab.com上で、デフォルトのPagesドメイン（*.gitlab.io）でHTTPSが利用可能です。カスタム（サブ）ドメインでPagesプロジェクトを設定した後、HTTPSで保護したい場合は、その（サブ）ドメインの証明書を発行してプロジェクトにインストールする必要があります。

HTTPSの重要性について説明します。

なぜHTTPSを気にする必要があるのですか？

これが最初の疑問かもしれません。サイトがGitLab Pagesでホストされている場合、それらは静的であるため、サーバーサイドスクリプトやクレジットカード取引を扱うことはありません。では、なぜ安全な接続が必要なのでしょうか？

1990年にHTTPSが登場した際、SSLは銀行や金融取引を行うショッピングサイトのような大企業にのみ必要な「特別な」セキュリティ対策と見なされていました。

現在では状況が異なっています。Josh Aas氏 （Internet Security Research Group (ISRG)のExecutive Director）によると:

HTTPSがほぼすべてのウェブサイトにとって重要であると認識するようになりました。パスワードでサインインできるあらゆるウェブサイト、あらゆる方法でユーザーを追跡するあらゆるウェブサイト、コンテンツを改ざんされたくないあらゆるウェブサイト、そして、人々が他人に知られたくないコンテンツを提供するあらゆるサイトにとって重要です。また、HTTPSで保護されていないサイトは、他のサイトを攻撃するために利用される可能性があることも学んでいます。

したがって、証明書が非常に重要である理由は、clientとserver間の接続を、認証と検証のキーチェーンを介して暗号化するためです。

HTTPSをサポートする組織

ウェブ全体を保護しようとする大きな動きがあります。W3Cは全面的にこの活動をサポートし、その理由を非常によく説明しています。Mozilla Security BlogのライターであるRichard Barnesは、FirefoxがHTTPを非推奨にし、もはや安全でない接続を受け入れなくなるだろうと示唆しました。最近、MozillaはHTTPSの重要性を再確認するコミュニケを発表しました。

証明書の発行

GitLab Pagesは、PEM形式で提供される証明書を、認証局または自己署名証明書として受け入れます。セキュリティ上の理由と、ブラウザがサイトの証明書を信頼することを保証するため、自己署名証明書は通常、公開ウェブサイトでは使用されません。

証明書にはそれぞれ異なるセキュリティレベルがあります。例えば、静的な個人ウェブサイトは、オンラインバンキングのウェブアプリと同じセキュリティレベルを必要としません。

一部の認証局は、インターネットをすべての人にとってより安全にするために、Free証明書を提供しています。最も人気があるのはLet’s Encryptで、ほとんどのブラウザから信頼される証明書を発行しており、オープンソースでFreeで使用できます。カスタムドメインでHTTPSを有効にするには、GitLab PagesのLet’s Encryptとのインテグレーションを参照してください。

同様に人気があるのは、Cloudflareが発行する証明書で、これもFreeのCDNサービスを提供しています。これらの証明書は最長15年間有効です。Cloudflare証明書をGitLab Pagesウェブサイトに追加する方法に関するチュートリアルを参照してください。