こんにちは、吉政創成 菱沼です。
こちらの記事ではKUSANAGIユーザーフォーラムにあるトピックスをご紹介しています。
フォーラムにはKUSANAGIに関する些細な質問から、インストール時・運用中の悩みまでいろいろな情報が投稿されます。課題を抱えている方はぜひご参加ください。
さて今回はSSL/TLS証明書についてのトピックスをご紹介します。
■398日を超えるSSL/TLS証明書のサイトは閲覧ができなくなる
さて、ご存知かとは思いますが、2020年9月1日から、Google Chrome、Apple Safari、Mozilla Firefoxで398日を超えるSSL/TLS証明書が信頼されなくなるという記事が公開されました。(マイナビニュース)
なぜこのようになったかと言うと、記事にもある通り、有効期間が短いものの方が信頼性・安全性の高いものであるという認識が各社にあるからということになります。
確かに半年のSSL/TLS証明書と、1年のSSL/TLS証明書であれば、情報が正しい可能性が高いものは半年のものですし、期間が短い=更新が頻繁=きちんと管理されている、という感覚を受けるのはだれしも同じだと思います。
ただ、コスト面で考えると、期間が長ければ長いほど割引率が高いので、費用負荷が軽く済むのは確かです。
では一体どれほどの影響がでるのでしょうか? 2020年10月下旬のWebブラウザシェアはこちらです。
データ:NetMarketShare 2019年10月~2009年9月(デスクトップ・モバイル)
これを見るとわかる通り、WebブラウザのTOPシェアはChrome(65.98%)です。続いて、Safari(17.04%)、Firefox(3.53%)で、この決定をしたのもまた、この3社です。
つまり、証明書を398日以上のものを利用しているというだけで、ほとんどのユーザーにアプローチ出来なくなってしまうということになります。そういうわけで、9月1日以降にSSL/TLS証明書を購入する場合は398日以上のものを避ける必要があります。
ただ、どうしてもコスト面が厳しいということであればLet’s Encryptを利用するという手段があります。Let’s Encryptはドメイン認証を行うもので、より高度な認証(企業実在認証・EV)はできませんが、無料で利用することができます。
Let’s Encryptは発行から90日間(推奨期間は60日)利用でき、期限が近づけば延長の手続きが必要になります。延長手続きは自動化することも可能です。
ドメイン認証ができればいいというサイトであれば、こちらの利用を検討されるのもいいと思います。
SSL/TLS証明書について詳しく知りたい方は以下をご参照ください。
参考サイト:SSL/TLS証明書無料化は進むか? ~Let’s Encryptに見る無料SSL/TLS証明書の台頭とその注意点~
■KUSANAGIでLet’s Encryptが上手く更新できないときはどうする?
さて、KUSANAGIでもLet’s Encryptを利用することができます。
今回ご紹介する投稿は、更新した際にエラーが出た場合の対処法です。
——————–* 寄せられたご質問 *——————–
さくらVPSで複数のプロファイルで運用しています。
sslで運用していたプロファイルを#kusanagi remove プロファイルで削除しても以下は残ったままです。
(質問の続きはこちらから)
SSL証明書を更新すると削除したホスト名でエラー | KUSANAGIユーザーフォーラム
—————————————————————–
この質問に対して次の回答が寄せられました。
—————————* 回答 *—————————
以下のコマンドを実行することで、letsencryptが管理している証明書を表示できます。
/usr/local/certbot/certbot-auto certificates
おそらく、ここに削除したホスト名が残っているということですね。
以下のコマンドでletsencryptの管理から削除します。
(回答の続きはこちらから)
SSL証明書を更新すると削除したホスト名でエラー | KUSANAGIユーザーフォーラム
—————————————————————–
KUSANAGIでLet’s Encryptを利用しているけれど、更新が上手くいかないという方はどうぞご参考に。もしこちらで解決しなかった場合はフォーラムに投稿いただくか、公式サポートサービスをご利用ください。
KUSANAGIに関する質問や課題を持つ方はぜひKUSANAGIユーザーグループに投稿してみてください。またKUSANAGI詳しいぞという方もぜひご参加ください!