無料で自動の認証局

明日から徳島に出かける。

今日はえらく涼しかったけど、明日からは暑いんだそうで。

徳島にいると、外にいる時間が長いだろうから、なおさらねぇ。


だいぶ前から気づいてたんだけど、StartSSLの証明書がGoogle Chromeで安全ではないと表示されるようになった。

これは、StartSSLがポリシーに反する証明書の発行を行っていたことに対する対抗措置だ。

グーグル、中国の認証局WoSignの証明書を拒否へ–「Chrome 61」から (CNET Japan)

そもそもの問題を引き起こしたのは中国のWoSignという認証局なのだが、

WoSignはStartSSLを買収して傘下に収めていて、なおかつWoSignの中間証明書をStartSSLに署名させていたので、巻き添えを食らうことになった。


有効期限が切れて、新しい証明書に変えるときに別のところに乗り換えようとは思っていたのだが、

どうせ自分しか使わないんだし、エラーを無視してアクセスして、当面は使い続けようと考えた。

ところが最近、エラーを回避してアクセスすることができなくなってしまったので、早急に対策が必要となった。

他の認証局で無料で使えるところはないんかと調べていたら、Let’s Encrypt という認証局があることがわかった。

ドメイン認証による自動・無料の証明書発行システムが特徴で、

すでに多くのブラウザで導入されているIdenTrust社の署名を受けているので、無料で入手できるSSL証明書としては十分なものだ。


無料はともかく自動ってどういうことよってこういうこと。

Certbot

ドメインを持っているのが前提だけど

ここから certbot-auto というスクリプトをダウンロードして、

# ./certbot-auto certonly

として、多少の必要事項を入力するだけで、自動的にドメイン認証を行って証明書が発行される。

さらに、オプション次第ではApacheへの設定まで自動でやってくれる。

# ./certbot-auto –-apache

ただし、有効期間が3ヶ月とやや短いので、更新の頻度が高くなる。

でも、そもそも証明書の発行が自動化されているので、更新も自動的にやらせればよく、

cronとかで定期的にコマンドを実行すればよいと書かれている。

40 2 * * 0 certbot-auto renew 2>&1 | grep Congratulations
44 2 * * 0 service httpd reload >/dev/null 2>&1
45 2 * * 0 service postfix reload >/dev/null 2>&1
46 2 * * 0 service dovecot reload >/dev/null 2>&1

毎週日曜日の早朝にcertbotを実行して、自動的に更新を試みてもらう。

有効期間が1ヶ月以上残っている場合はそのまま、1ヶ月を切ったら更新をするということになるようで。

その後、Apache・Postfix・Dovecotに更新後の秘密鍵・証明書を読み込んでもらう。

おそらくこれでいけると思うんだけどね。


僕がStartSSLの証明書を使っていたのは無料だからということに尽きる。

オレオレじゃないSSL証明書を作りにいった

それ以前はオレオレ証明書だったんだが、やっぱり認証局証明書をインストールするのは手間ですから。

一方でStartSSLは有料での証明書発行も行っており、大手よりも割安ということをウリにしていた。

商売としての肝はこっちなのだが、せっかくお金を出したのに、ブラウザに弾かれてはたまったもんではない。


これだけ見れば安かろう悪かろうという話だろうと捉えることも出来るが、そうでもなさそう。

グーグルが無効化を発表、シマンテックのサーバー証明書にダメ出し? (ITPro)

Symantecの認証局ってもともとはVerisignのもので、いわば認証局の名門とも言えるところ。

とんでもない大ごとなのだが、さすがにSymantecはそのまま投げ出すようなことはしないよう。

どうするのかというと、Symantecは認証局事業をDigiCertという既存の認証局に譲渡してしまう。

そして、以前からのSymantecのお客さんにはDigiCertの証明書を発行する。これで無効化の影響は抑えられると判断したようだ。

さすが大手とも言えるが、一方で大手の認証局すらも1つ問題を起こすだけで弾かれてしまう世界でもある。


ちょっと話が脱線してしまったが、StartSSLは商売として認証局をやっていた。

一方、Let’s Encryptは無料・自動というコンセプトでやっているので、完全に非営利の認証局だ。

SSL対応を後押しするため、最低限、安全性を確保できる認証局ということでやっているのだろう。

確かにこういう認証局があれば、安心してSSLを導入できるという考えになれるだろうな。

一方で、組織の実在性とかそういうことを証明するものではないので、そこで他の認証局とのすみ分けがある。

あくまでもSSL通信の安全性を担保することだけが目的ということだ。ただし、その用途では最適な認証局だろう。

そうそう、これが欲しかったんだって話ですね。