GoogleがインターネットのWEBページを全て暗号化する「常時SSL」を推奨しています。
世界的規模での仮想通貨ハッキングを受けた「コインチェック」もセキュリティの弱さを指摘されています。
今やセキュリティの無いWEBページは、調理師免許を持っていない人しかいない飲食店舗のような状態なのかもしれません。
無料SSLは安全なのか?
SSLと聞けば、「ベリサイン」のような有料で高額なSSLを思い浮かべますが、海外サービスなどでは年間1000円程度で、品質の高い暗号システムを利用する事が可能です。
FujiSSL 1,080円(年)
PositiveSSL 1,280円(年)
RapidSSL 2,980円(年)
SSL123 6,480円(年)
QuickSSL 9,000円(年)
(2018/2/10時点の情報です)
他にも、国産もグローバル製品も含めるとたくさんの認証サービスを安価に提供しているようです。
※ググると山のように出てきますよ。
そんな中、「Let's encrypt」は、無料で提供しているユニークなサービス展開です。
僕のブログサイトでも試しに導入してみましたが、さほど不具合は感じた事がありません。
良く問題になる中間証明書なども、1年ぐらい運用してみましたが、問題になった事はありません。
そして、2018年2月からは、「ワイルドカード証明書」が正式リリースするようです。
※このブログが2018/2/10に書かれているので、現時点では予定だそうです。
参考ページ
確かに、商用サイトでなければ、こうした無料SSLで十分ですよね。
Let's encryptはCentOS7での運用が望ましい
過去に、UbuntuとDebianとCentOS6にインストールしてみましたが、1年前の時点では、各インストール手順にしたがって操作したところ、どれもスムーズに導入する事ができたのですが、問題が起きたのは、更新タイミングでした。
Let's encryptは3ヶ月ごとの更新という非常に短い証明書有効期限が設定されています。
無料であるから、こうした手順はしかたないのですが、CentOS6で利用しているサーバーでの更新作業の時に、以下のようなエラーが発生してしましました。
$ certbot-auto
Upgrading certbot-auto 0.20.0 to 0.21.1...
Replacing certbot-auto...
Bootstrapping dependencies for RedHat-based OSes that will use Python3... (you can skip this with --no-bootstrap)
「certbot-auto」というモジュールは正常にインストールされているのですが、Python3で少しトラブっているようですね。
トラブル解消手順
モジュールの更新も必須かもしれませんが、以下の手順でなんとか更新する事ができました。
$ yum install centos-release-scl
$ yum install python27 python27-python-tools
$ scl enable python27 bash
$ certbot-auto
全ての環境でこの手順でうまくいくとは限らないのですが、CentOS6の場合にPython26がインストールされていて、Python27にアップデートする手順が必要だったんですね。
やはり、今現在のスタンダードは、CentOS7なんでしょうか?
SSLじゃなくてTLS
当たり前のようにHTTPSプロトコルを「SSL」と読んでしまいますが、既にSSLは古い技術で、「TLS」に変わっているんですが、なんとなく443ポートの事をSSLと読んでしまうエンジニアも少なく無いようです。
個人的には、「レンジでチンする」「チャンネルを回して」などと同じように、「SSL対応してる」というような日本語に定着しているという認識でいいように思えますが、厳密なエンジニアであれば「SSLじゃなくて、TLSでしょ」と突っ込まれるかもしれませんね。
