サイトをSSL化したらwell-knownフォルダが!削除は?Xseverに聞いてみた

サイトの検索順位を決める要素のひとつが、ページの表示の早さです。そしてサイトのSSL化も重要な要素のひとつです

SSL化したら、「well-known」という見たこともないフォルダが作成されていた!

このSSL化ですが、最近では無料で行うことができます(「Let’s Encrypt」など)。当サイト「知りたい情報総まとめ」は、Xserverで運営していますが、アドレスを見ても分かるようにSSL化しています。しかも無料です。

納得娘
SSL化するとアドレスが、「https」で始まります。

しかしドメインのファイルを見ていたところ、ドメイン直下に「well-known」という見たこともないフォルダが作成されていました。他のドメインも確認したところ、次のような点が確認されました。

ドメインによって、「well-known」フォルダが作成される場合と、そうでない場合がある


(「見たことのないフォルダができていた」、画像はイメージです。)

「well-known」フォルダとはいったい何なのか?

そもそも「well-known」フォルダとは何でしょうか?危険でなければ放置しますが、かなり気になるので検索して調べました。

素人なりにまとめると、こんな説明になります。

「well-known」フォルダとは、SSL化する際に、サイトの認証(確認)のために自動で作成されるもの。
納得娘
じゃあ何もしなくていいんですね

ただしフィッシング詐欺に悪用される例も

したがって放置するつもりでしたが、ネット上で「フィッシング詐欺」に悪用される例があると知り、ビックリしました。

/.well-known/にホストされるフィッシング詐欺サイトが増加中

インターネットサービス企業のNetcraftは2018年1月29日(米国時間)、「The hidden “well-known” phishing sites|Netcraft」において、フィッシング詐欺サイトの多くが「.well-known」と呼ばれるディレクトリ以下にホストされていると伝えた。ここ1カ月だけでも、新たに400のフィッシング詐欺サイトが「.well-known」以下にホストされたと指摘している。

「.well-known」ディレクトリは攻撃者が新たに作成したディレクトリではなく、攻撃を受けたWebサーバがもともと持っていたものである可能性があるという。/.well-known/は「well-known locations」と呼ばれ、「RFC5785 – Defining Well-Known Uniform Resource Identifiers (URIs)」にも定義が記載されている。いくつかのサービスで既にに使用されているディレクトリであるため、Webサーバ自体に既に存在している可能性が高い。

【引用】マイナビ

/.well-known/にホストされるフィッシング詐欺サイトが増加中
インターネットサービス企業のNetcraftは1月29日、フィッシングサイトの多くが「.well-known」と呼ばれるディレクトリ以下にホストされていると伝えた。過去1カ月だけでも、400のフィッシング詐欺サイトが「.well-known」以下にホストされているという。

「well-known」フォルダの対応について、Xserverに聞いてみた

もう私のような素人では分からないので、サーバーを借りているXserverに聞きました。質問内容は以下の点です。

(1)ドメインにより、当該フォルダが作成されている場合と、作成されてない場合があり、この違いは?
(2)当該フォルダを削除させても構わないのか?
(3)フィッシング詐欺に使われる場合があるが、放置しても大丈夫なのか?
(4)当該フォルダの推奨パーミッションは?

驚いたことに15分後に返事が来た

メールで問い合わせをしたら、15分後に返事がきました(驚き!)。回答を要約すると、次のような内容です。

  1. 「.well-known」は、サーバーパネルで無料独自SSLを設定する際に作成される(SSLの証明書発行に際し、認証が必要なため)
  2. 無料独自SSLの設定が完了して、問題がなければ、「.well-known」は削除しても構わない

安心しました。SSLにして問題がなければ、削除しても良いようです。それにしても、Xserverの返答は早い。やはりXserverにして正解でした。

納得娘
サーバー性能もおすすめポイントですが、一番は何と言っても、今回のような迅速なサポート体制だと思います。
Xserverを利用して良かったと思うポイントまとめ

  1. 独自無料SSLがある
  2. メール質問も返答が早い(電話による問い合わせも可能)
  3. 一番安いX10プランでもデータベースが50個なので、サイトの量産におすすめ
  4. 他社からのWordPressの引っ越しツールも無料。最短5分の速さ!しかもSSLサイトに対応

【公式サイトはこちら】Xserverではキャンペーンも実施することも。

まとめ

ここまで「well-known」フォルダについてまとめてきました。

最初のうちはネット検索して自分で対応しようとも思いましたが、ワードプレスだと、ちょっとしたミスで真白になることがあります

やはり専門家に聞くのが一番だと思います。相談は無料ですし。

タイトルとURLをコピーしました