無料で利用できる証明書で有名なLet’s Encryptの証明書が9月30日午後11時よりエラーが発生しました。
この原因と対策について考えてみます。
暗号化通信ができる仕組みについて
証明書はサーバ証明書、中間証明書、ルート証明書、秘密鍵の構成で暗号化通信を行います。
このうちサーバ証明書、中間証明書、秘密鍵はウェブサイトを設置しているサーバ上に存在し、ルート証明書はウェブサイトへアクセスするデバイス(PC・タブレット・スマートフォンなど)にプリインストールされている情報になり下図のようにサーバ側の証明書・中間証明書とデバイス側のルート証明書の紐づけの確立により暗号化通信できます。
原因について
今回のエラーの原因は、前項の中間証明書の有効期限が切れた事が原因になります。
尚、証明書発行の際は中間証明書も含まれ、中間証明書の有効期限は証明書より長いものが配布されるものであり、証明書より期限が短いものが配布される事は常識的にありえない事です。
対策について
Let’s Encryptが、基本的に自動更新の為、更新の度に管理者へ通知されますが一度設定すれば手を触れる必要が無いという安心感から今回のような事件に対する回避・対策に支障が発生する可能性が非常に高くなります。
これに対し商用の有償で購入する証明書は、事業として運営している認証機関が審査を行い証明書の発行・管理を行います。
また証明書によって補償制度というものがあり、証明書の原因によって発生した損害に対し補償するものがありますので、これを利用する事も有効です。
商用での使用にお勧する証明書ブランド
Geotrustの証明書はクイックSSLプレミアム、トゥルービジネス ID、トゥルービジネス ID with EVに補償制度があります。
FujiSSLの証明書はドメイン認証タイプはFujiSSLプレミアム、これ以外は企業認証、EV認証に対し保険が付帯しています。
コメント