Let’s encryptはcentos7で使うのが一番いい?

Pocket
LINEで送る
GREE にシェア
LinkedIn にシェア

GoogleがインターネットのWEBページを全て暗号化する「常時SSL」を推奨しています。
 

世界的規模での仮想通貨ハッキングを受けた「コインチェック」もセキュリティの弱さを指摘されています。
 

今やセキュリティの無いWEBページは、調理師免許を持っていない人しかいない飲食店舗のような状態なのかもしれません。

無料SSLは安全なのか?

SSLと聞けば、「ベリサイン」のような有料で高額なSSLを思い浮かべますが、海外サービスなどでは年間1000円程度で、品質の高い暗号システムを利用する事が可能です。
 

FujiSSL 1,080円(年)
PositiveSSL 1,280円(年)
RapidSSL 2,980円(年)
SSL123 6,480円(年)
QuickSSL 9,000円(年)
(2018/2/10時点の情報です)
 

他にも、国産もグローバル製品も含めるとたくさんの認証サービスを安価に提供しているようです。
※ググると山のように出てきますよ。
 

そんな中、「Let’s encrypt」は、無料で提供しているユニークなサービス展開です。
 

僕のブログサイトでも試しに導入してみましたが、さほど不具合は感じた事がありません。
 

良く問題になる中間証明書なども、1年ぐらい運用してみましたが、問題になった事はありません。
 

そして、2018年2月からは、「ワイルドカード証明書」が正式リリースするようです。
※このブログが2018/2/10に書かれているので、現時点では予定だそうです。
参考ページ
 

確かに、商用サイトでなければ、こうした無料SSLで十分ですよね。

Let’s encryptはCentOS7での運用が望ましい

過去に、UbuntuとDebianとCentOS6にインストールしてみましたが、1年前の時点では、各インストール手順にしたがって操作したところ、どれもスムーズに導入する事ができたのですが、問題が起きたのは、更新タイミングでした。
 

Let’s encryptは3ヶ月ごとの更新という非常に短い証明書有効期限が設定されています。
 

無料であるから、こうした手順はしかたないのですが、CentOS6で利用しているサーバーでの更新作業の時に、以下のようなエラーが発生してしましました。
 

 

「certbot-auto」というモジュールは正常にインストールされているのですが、Python3で少しトラブっているようですね。

トラブル解消手順

モジュールの更新も必須かもしれませんが、以下の手順でなんとか更新する事ができました。
 

 

全ての環境でこの手順でうまくいくとは限らないのですが、CentOS6の場合にPython26がインストールされていて、Python27にアップデートする手順が必要だったんですね。
 

やはり、今現在のスタンダードは、CentOS7なんでしょうか?

SSLじゃなくてTLS

当たり前のようにHTTPSプロトコルを「SSL」と読んでしまいますが、既にSSLは古い技術で、「TLS」に変わっているんですが、なんとなく443ポートの事をSSLと読んでしまうエンジニアも少なく無いようです。
 

個人的には、「レンジでチンする」「チャンネルを回して」などと同じように、「SSL対応してる」というような日本語に定着しているという認識でいいように思えますが、厳密なエンジニアであれば「SSLじゃなくて、TLSでしょ」と突っ込まれるかもしれませんね。

Leave a Reply

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です