SSL Server Testをprogrammaticに利用できるSSL Labs APIとその利用規約について簡単にまとめる。
SSL Server Test
そもそもSSL Server Testは何かというと、Qualys SSL Labs社が提供するサービス。publicに動作しているSSLのWebサーバーを解析して、グレードを表示したり個別の項目ごとに診断してくれる。要は、現在のWeb標準において適切でないSSLの設定を発見してくれるサービス。ブラウザ上から利用でき、ホスト名を入力するだけで診断してくれる。
SSL Labs API
Qualys SSL Labs - Projects / SSL Labs APIs
SSL Labs APIは、SSL Server Testの機能をGUI上からじゃなくてAPI経由でアクセスできるようにしたもの。ドキュメントはこちら。
今回の記事では詳細な使い方は説明しないけど、CI上から定期的にスキャンして結果を取得するのを自動化したいというときに便利。
利用規約
APIを使用する上で重要なのが利用規約。利用規約はこちら。
全文は翻訳しないけど、特に重要なのは以下の点。
- 所有者が許可した場合のみ、サイトとサーバーをAPIで解析していい
- 要は、他人のサイトを勝手に解析してはいけない
- 解析結果を公表するのもサイト所有者の許可が必要
- 商用利用禁止
- 非商用で自由にダウンロードできるツールやライブラリのみAPIを組み込んでいい
商用利用禁止は解釈が分かれるところで、以下の2つが考えられる。
- APIを利用して有償サービスを提供する使い方の禁止
- 営利目的で運営しているサイトの解析禁止
1つ目はまず間違いなくアウトで、2つ目がアウトなのか判断が付かなかった。コミュニティサイトを検索したらそれについて質問しているスレッドがあって、公式な回答がまだ付いてなかったので確認してみた。
結論としては、APIを利用した有償サービスの提供が禁止されているだけで、企業サイトを解析するのは問題ないということ。これは素晴らしい。
まとめ
Qualys SSL Labs社が提供しているSSL Server TestにはAPIが存在していて、所有しているサイトであれば企業サイトでも解析OKという結論。次回は、具体的な利用方法について簡単にまとめてみる。