let's encryptについて kixs
TRANSCRIPT
について
Speaker : Hiroki_Sakonjuat KIXS Vol.001
What’s our company?
株式会社ブロードリーフ▧ 2005年12月 創業▧ 東京証券取引所第一部▧ 自動車アフターマーケットを中心としたソフトウェア
・ITソリューション&各種サービスを提供▧ http://www.broadleaf.co.jp/
Who are you?
▧ 左近充 裕樹(さこんじゅう ひろき)▧ インフラエンジニア
(以前はWindowsアプリエンジニア)▧ 嫁に年齢不詳系と言われる30歳▧ 主にオンプレだったけど、最近はGCPやAWSの
クラウドインフラの設計・構築・運用保守も担当▧ Google Qualified System Operations
Professional取得
“通信暗号化してる?
近年の課題
個人情報保護情報漏えい対策セキュリティ対策SHA-2移行HTTP/2対応コスト削減運用自動化・・・etc
“え?SSL証明書ってこんなすんの?
クイック認証SSL クイックSSLプレミアム セキュア・サーバID
For Example
契約期間 価格
1年 ¥34,800
2年 ¥66,000
契約期間 価格
1年 ¥31,300
2年 ¥54,800
契約期間 価格
1年 ¥81,000
2年 ¥153,400
※FQDN単位で必要となる
What’s
▧ 2016年4月12日に正式開始された無償でSSL/TLSサーバ証明書
を取得できるサービス。公式サイト:https://letsencrypt.org/ 日本語ポータル:https://letsencrypt.jp/
▧ 証明書の発行・インストール・更新のプロセスを自動化することによ
り、TLSやHTTPS(TLSプロトコルによって提供される、セキュアな接続の上でのHTTP通信)を普及させることを目的としているプロジェクト。
▧ 公益法人のISRGが運営しており、CiscoSystems、Akamai、電子
フロンティア財団、Mozilla財団などの大手企業・団体がISRGのスポンサーとしてLet's Encryptを支援している。
期待できる効果
▧ SSL証明書取得コストの削減
▧ SSL証明書管理・更新コストの削減 ⇒更新の場合の証明書購入WF申請やSSL発行業者への発注業務がなくなる
⇒自動で更新する仕組みを構築するので、人が入れ替え作業をする必要がなくなる
Use example
▧ WordPress.com上でホスティングされているすべての独自ドメインに対してLet’s Encryptを使用してHTTPS暗号化を実施 関連記事
▧ ファーストサーバ株式会社のレンタルサーバーサービスにてLet's Encryptの取り扱いを開始 関連記事
▧ ネットオウルにてLet's Encryptの取り扱いを開始 関連記事
▧ オルターブース様 のコーポレートサイト
Let's Encrypt Mechanism
http://www.atmarkit.co.jp/ait/articles/1606/02/news049.html
【新規取得時】 【更新時】
Example on GCP
Sample
▧ 証明書の有効期限が90日 ⇒Let’s Encryptは60日間ごとに更新することを推奨しているため、 60日で自動更新する仕組みを構築する必要あり。 ※更新されなかったら 20日前にリマインドメールあり。
▧ Windowsは本家のクライアントソフトが対応してない。▧ ワイルドカードのSSL証明書がない。▧ Let's Encryptが認証時に使用する IPアドレスは固定ではない。▧ 発行制限がある
⇒ドメイン毎に20枚/週 (100までのFQDNを一枚のSAN証明書にすることが出来る。 )
▧ SSL強度は大丈夫なのか?⇒quality ssl labsでテストしてみたところA判定
Note
Thank you for your attention!!
2016/12/04 add
GCPのHTTPLBでのUPDATEは以下で簡単に実施できる
<SSL証明書アップロード>gcloud compute ssl-certificates create NAME --certificate=LOCAL_FILE_PATH
--provate-key=LOCAL_FILE_PATH※証明書のアップデートは出来ないらしく、Create後にDeleteが必要
<https-proxyアップデート>・https-proxyを確認gcloud compute target-https-proxies list
・アップデートgcloud compute target-https-proxies update NAME --ssl-sertificate=SSL_CERTIFICATE