Let’s Encryptの証明書更新

無料で証明書を発行してHTTPSの導入をサポートする「Let’s Encrypt」がベータ版から正式版にという記事が出ていたので安心して使える。

Let’s Encryptに変更で証明書を取り運用しているけど証明書の期間が3ヶ月と短いので前もって更新方法を確立しておかないと忘れて大変な思いをしそう^^;;

手順

更新手順

# git pull
# pip install –upgrade pip
# pip install cryptography –upgrade
# pip install pyopenssl
# sudo ./letsencrypt-auto renew –force-renewal

これで証明書の更新は完了。

コマンドを説明するうと下記の通り
まずはLet’s Encrypt クライアント (letsencrypt-auto)のUpdate。

# git pull

Let’s Encrypt クライアント (letsencrypt-auto)に必要なモジュール関連をUpgrade

# pip install –upgrade pip
# pip install cryptography –upgrade
# pip install pyopenssl

証明書の更新

# sudo ./letsencrypt-auto renew –force-renewal

–force-renewalをつけないとまだ証明書切れていないよと言って更新されません(多分正しい動き)
でも前もって更新しないと困るから

コマンドを流した結果

Updating letsencrypt and virtual environment dependencies…….
Running with virtualenv: /root/.local/share/letsencrypt/bin/letsencrypt renew –force-renewal
Processing /etc/letsencrypt/renewal/www.barasu.org.conf
new certificate deployed without reload, fullchain is /etc/letsencrypt/live/www.barasu.org/fullchain.pem

Congratulations, all renewals succeeded. The following certs have been renewed:
/etc/letsencrypt/live/www.barasu.org/fullchain.pem (success)

Web Serverを再起動

ここまでの一連の手順をスクリプトにして自動更新した方がいいのかなぁ。

確認

ブラウザでアクセスしてみましょう。

更新されているからOK。
これで終了〜

Let’s Encryptが正式版になると

Let’s Encryptが正式版になり無料で証明書が配布されるようになると

  • SSLが手軽になる
  • HTTP/2が普及する
  • サーバ負荷が下がる
  • Mobileで快適なブラウズが可能となる

という流れが加速するのは嬉しい。

前にも書いたけどLet’s Encryptみたいなサービスは悪意ある人に使われたら面倒な事になるよねぇ

The CA’s Role in Fighting Phishing and Malwareについての和訳であるフィッシング詐欺やマルウェアとの戦いにおける認証局の役割書かれている。

少なくとも当分の間、Let’s Encrypt は証明書の発行前に Google セーフブラウジング API を用いてチェックをおこなうことで、フィッシング詐欺サイトやマルウェア配布サイトのフラグが立っているWebサイトへの証明書の発行を拒否します。

Googleの精度次第ではあるけどちゃんと確認はしているんだ。
ただ新規ドメインとかだと厳しいけど、この動きはいいことだ。
証明書とコンテンツの中身はまったく違う話だしな。

ただHTTPSが普及すると企業のネットワーク管理者はつらいはず
コンテンツフィルタリングとか途中経路でのウイルスチェックとかがとても厳しくなるはず。MITM攻撃みたいなことを・・・・うーむ