letsencrypt使って無料でHTTPS対応

昔ながらの人にとっては、HTTPSといえばお金がとか認証がとか実在性がとか鍵の運用がとか、いろいろ面倒だという印象があり、導入するのを避けられてきた印象が強いですが、ただ昨今は、通信路での盗み見とかなりすましとか多様な攻撃を受けるリスクが格段に増えているということもあり、常時HTTPSL化が普通に叫ばれるようになってきてます。そんな中で生まれたのが無料HTTPSサービスとも言われるletsencryptです。つい最近正式サービスに移行したので、このrarul.comも対応することにしました。

導入方法については、Let's Encrypt の使い方に丁寧に書いてあるのでほとんど困らないでしょう。CentOS6だとワナに陥りやすいですが、それも、CentOS 6 で発生するエラーの対処法なんてページがあり、いろいろ親切です。自動実行スクリプトがPythonでいろいろ依存モジュールを勝手に入れようする点が個人的にアレに感じますが、むしろそれすら自動でやってくれるので楽、という人が多いでしょう。

注意点は2つほどあって、
・有効期限が最大3ヶ月なので、「導入したら完了」ではなく「継続的に更新」する手順も確認しときましょう。
・法人格やら実在性やらまでは見ないので、信じていいのはドメインとサーバの正当性と暗号化までです。「悪意を持った人が正しく運用しているサーバ」もあるわけなので、ユーザは、HTTPSだからといってそれが信じていいサイトなのかどうかを判断しないといけないです。

私が実際に導入するときにはまったのは、
・SNI使って複数ドメインを1枚の証明書で運用する場合、Apacheの VirtualHost _default_:443 の ServerNameは別名の方じゃなくて本名の方を書く。
・ルータのポート、TCP 80だけでなく443も開けておく。
CNAMEだとダメて言いましたが、別問題ではまっていただけで、CNAMEでもよかったのかもしれない(未確認)

サーバの移行自体は問題なかったのですが、公開しているコンテンツ、一部が「http://www.rarul.com/」とハードコーディングしているせいで、コンテンツを書き換える方がはるかにめんどいなぁとかとか(特にMovable Type) httpアクセス時はRedirectを入れるにしても、httpをやめるのは難しそうです。

このブログ記事について

このページは、らるるが2016年5月21日 15:53に書いたブログ記事です。

ひとつ前のブログ記事は「automountはtime(NULL)が0の時にバグる」です。

次のブログ記事は「Linux 4.5 から MADV_FREE が登場してた」です。

最近のコンテンツはインデックスページで見られます。過去に書かれたものはアーカイブのページで見られます。

月別 アーカイブ

ウェブページ

Powered by Movable Type 7.9.0