サイトの検索順位を決める要素のひとつが、ページの表示の早さです。そしてサイトのSSL化も重要な要素のひとつです。
SSL化したら、「well-known」という見たこともないフォルダが作成されていた!
このSSL化ですが、最近では無料で行うことができます(「Let’s Encrypt」など)。当サイト「知りたい情報総まとめ」は、Xserverで運営していますが、アドレスを見ても分かるようにSSL化しています。しかも無料です。
納得娘しかしドメインのファイルを見ていたところ、ドメイン直下に「well-known」という見たこともないフォルダが作成されていました。他のドメインも確認したところ、次のような点が確認されました。
(「見たことのないフォルダができていた」、画像はイメージです。)
「well-known」フォルダとはいったい何なのか?
そもそも「well-known」フォルダとは何でしょうか?危険でなければ放置しますが、かなり気になるので検索して調べました。
素人なりにまとめると、こんな説明になります。
納得娘ただしフィッシング詐欺に悪用される例も
したがって放置するつもりでしたが、ネット上で「フィッシング詐欺」に悪用される例があると知り、ビックリしました。
/.well-known/にホストされるフィッシング詐欺サイトが増加中
インターネットサービス企業のNetcraftは2018年1月29日(米国時間)、「The hidden “well-known” phishing sites|Netcraft」において、フィッシング詐欺サイトの多くが「.well-known」と呼ばれるディレクトリ以下にホストされていると伝えた。ここ1カ月だけでも、新たに400のフィッシング詐欺サイトが「.well-known」以下にホストされたと指摘している。
「.well-known」ディレクトリは攻撃者が新たに作成したディレクトリではなく、攻撃を受けたWebサーバがもともと持っていたものである可能性があるという。/.well-known/は「well-known locations」と呼ばれ、「RFC5785 – Defining Well-Known Uniform Resource Identifiers (URIs)」にも定義が記載されている。いくつかのサービスで既にに使用されているディレクトリであるため、Webサーバ自体に既に存在している可能性が高い。
【引用】マイナビ
「well-known」フォルダの対応について、Xserverに聞いてみた
もう私のような素人では分からないので、サーバーを借りているXserverに聞きました。質問内容は以下の点です。
(2)当該フォルダを削除させても構わないのか?
(3)フィッシング詐欺に使われる場合があるが、放置しても大丈夫なのか?
(4)当該フォルダの推奨パーミッションは?
驚いたことに15分後に返事が来た
メールで問い合わせをしたら、15分後に返事がきました(驚き!)。回答を要約すると、次のような内容です。
- 「.well-known」は、サーバーパネルで無料独自SSLを設定する際に作成される(SSLの証明書発行に際し、認証が必要なため)
- 無料独自SSLの設定が完了して、問題がなければ、「.well-known」は削除しても構わない
安心しました。SSLにして問題がなければ、削除しても良いようです。それにしても、Xserverの返答は早い。やはりXserverにして正解でした。
納得娘- 独自無料SSLがある
- メール質問も返答が早い(電話による問い合わせも可能)
- 一番安いX10プランでもデータベースが50個なので、サイトの量産におすすめ
- 他社からのWordPressの引っ越しツールも無料。最短5分の速さ!しかもSSLサイトに対応
【公式サイトはこちら】Xserverではキャンペーンも実施することも。
まとめ
ここまで「well-known」フォルダについてまとめてきました。
最初のうちはネット検索して自分で対応しようとも思いましたが、ワードプレスだと、ちょっとしたミスで真白になることがあります。
やはり専門家に聞くのが一番だと思います。相談は無料ですし。
