読者です 読者をやめる 読者になる 読者になる

Let's Encrypt を使う

まとめ

gigazine.net

letsencrypt.org

letsencrypt.jp

www.websec-room.com


内部的なサーバとか、買うと高いワイルドカードの奴を使いたい。


Let'sEncryptの注意点

  • "Let's Encrypt の中間証明書は、広く信頼されている米大手認証局(CA)である IdenTrust のルート証明書によってクロス署名されています。"
  • "Windows XP は例外で、今のところ Let's Encrypt の中間証明書を受け入れていません。"
  • "公式クライアントソフトウェアをインストールすることで、Let's Encrypt の証明書を取得することが可能です。"
  • "Let's Encrypt 発行の証明書は、標準的なドメイン認証(DV)証明書です。Webサーバのようにドメイン名を使用しているサーバであれば、どのような種類のサーバでも使用可能です。"
  • "プログラムファイル(Windows の exeファイルなど)の署名に使用するコードサイニング証明書や、メール本文の暗号化に使用するS/MIME 用の証明書は、Let's Encrypt が発行する証明書とは異なる種類の証明書です。"よって、それらには使えない。
  • "Let's Encrypt が EV(Extended Validation)SSL/TLS証明書を発行する予定はありません。"
  • "複数の異なるドメイン名で、同じ SSL/TLS サーバ証明書を使用することが可能です。"(SANs)
  • 既存の秘密鍵や署名リクエスト(CSR)を使うことが出来る。
  • ワイルドカード証明書には対応していない。
  • 証明書の期間は90日間。60日での更新を推奨。


ワイルドカード証明書は作れないが、SANsならイケるらしい。


Let's Encrypt は、専用のクライアントソフトウェアを使用することで、SSL/TLS サーバ証明書の取得・更新作業を自動化できる仕組みとなっています。