Let’s Let’s Encrypt!! その0

Let’s Encrypt はあえて自分が書くまでもなく有名になった無料TLS発行サービスで「常時SSL」のトレンド()と相乗効果でキてる感じですが、 hori.pw も使わせてもらっているのでどんなものか書いてみます。

Let’s Encrypt 総合ポータル https://letsencrypt.jp/ こちらのサイトに書いてあるもの以上のことはあまりないのですが…

有効期間は最大90日の意義

無料でサイトをSSL化するというゴールであれば、Let’s Encrypt 以前にも StartSSL があり、古いIE以外であればたいていそれで足りていたはずなのでそちらのほうが実績はあるかと思います。Let’s Encrypt がそれより明確に有利なポイントがあるわけではありませんが、ちょっとした点で Let’s Encrypt のほうがおすすめしたい感じです。

発行される証明書は90日間有効なものになります。これは他のサービスより明らかに短いものです。これは自動化する前提に立った設計の一つに過ぎず、無料とは直結しません。

自動化にあっては ACMA Automated Certificate Management Environment – Wikipedia というプロトコルを用いていて、他の認証局がやるのかはともかく目的としては Let’s Encrypt にロックインさせるためのものでもありません。むしろ、Let’s Encrypt はその対極にあり(Let’s Encrypt – Wikipedia)、HTTPSをオープンかつフリー(自由)に実装することで、サーバー側のユーザーのみならずクライアントも含めあらゆる Web 利用者への安全性確保を目指しているようで、StartSSLのようにドメイン認証なら無料のサービスだよ、という立ち位置とは異なっています。

この自動化推進と相性の悪いEV・OV証明書は発行される予定はなく( https://letsencrypt.org/docs/faq/ )、そういうニーズはおおよそ大手認証局が提供しているサービスを利用したほうが安心かと思われます。例えばセンシティブ情報を扱わざるを得ないようなサービスの提供であればそういった認証の下で発行された証明書を用いた暗号化通信のほうが比較優位では安心かと思われますが、そもそもセキュリティ上の問題がないことの証明ではないので…

Certbot の使い方を学ぶ?

certbot というクライアントが、認証局との署名・証明書更新など手続きを一手に引き受けてくれるようになっています。これを使わなければ Let’s Encrypt が使えないということはなく、 https://letsencrypt.org/docs/client-options/ にあるような多種多様なクライアントを利用することもできます。

マウスポチポチで証明書がもらえればそれでいいという感じであれば ZeroSSL というサイト上で手動取得もできます。ただ、HTTPサーバー自身が(比較的)適切な設定をしたほうが色んな意味でいいんじゃない?というところがなおざりになりますが(ZeroSSL経由の自動化クライアントという選択肢もあります)。

で、当の certbot さんが python2 ベースで Non-Unix (な現役OSってWindowsぐらいでないかな) ユーザーにはあんまりフレンドリーじゃないので、IISで使いたいんじゃいっていう方にまではおすすめできない感じではありますが、やれる人はできると思います(投げやりな…)

かく言う自分も当サイトでは現時点でレンタルサーバーのXREA上にあり、有効期限内に手動で証明書を更新しなければならず、証明書取得までしか自動化できていない状態です。

とはいえ、 certbot にも手動更新のためのEメール通知機能( -m yourname@example.com ) もあり、さらには ACMA に準拠さえすればよいので Let’s Encrypt 対応したレンタルサーバー も出始めているので、様々な形態で利用可能な Let’s Encrypt をどう使うか考える事自体を楽しんだほうが、結果的に Let’s Encrypt が目指すような「健全な暗号化のWeb世界」に近づけるのではないかと感じます。

ちなみに自分は自宅の Linux 機で certbot を運用してますが、Dynamic DNS などと連携させてHTTPS公開サーバーを立てることまではしていません。これも容易に可能だと思いますが、自分に関しては今のところオレオレ証明書で十分だと考えています(自宅がデータセンターな方はぜひ Let’s Encrypt 運用して Qiita とかで広めちゃってくれたりしてほしいです)。

続く…のか?

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です