14時50分54秒 [Web関連]
うちのウェブサイトで使っているSSL証明書を、DigiCert(GeoTrustのRapidSSL)発行のものからLet's Encrypt発行のものに変更しました。
9月13日にβ版がリリースされるChrome70から適用される「SymantecのSSL証明書失効問題」が、うちの証明書にも該当していましたので。再発行は無料でできるんですが、どうせ手続きをするなら継続するよりも無料の証明書に変更しようかと思いまして。
私が管理しているサイトのうち、メインの個人サイト(www.nishishi.com)以外では既に Let's Encrypt を使っていたのですが。メインサイトだけは(レンタルサーバ側でLet's Encryptを超簡単に導入できる仕様が用意されるよりも)ちょっとだけ早めにSSL化をしたので、GeoTrustのRapidSSLを使っていたのでした。
RapidSSLの証明書はまだ2019年まで使う権利はあるので、ここで捨てると1年半くらいの料金が無駄になってしまいますが、まあ、そこはサンクコストですからね。
別にLet's Encryptと比較してRapidSSLの方がセキュリティ的に望ましいということもないですし、どうせ元々RapidSSLの権利消費後にはLet's Encryptに移行するつもりでしたから。移行作業が早いか遅いかの違いしかありません。
RapidSSLのまま放置していれば良いだけなら放置していたと思いますが、「SymantecのSSL証明書失効問題」が出てきて、RapidSSLに関しても証明書の再発行手続きと設定のし直しが必要になりましたので、どうせ設定変更の作業が必要になるなら、今Let's Encryptに変更して手間を1段階節約しよう、という考えです。
既にChrome70のβ版はリリースされていますので、それを導入すればチェックも可能ですが。
特定のウェブサイトで使われているSSL証明書が「SymantecのSSL証明書失効問題」に該当するのかどうかは、シマンテックの下記チェックサイトで調べられます。
→『Google Chromeにより警告がでるウェブサイトかチェックする』
うちのドメインで調べると、下記のように「証明書を入れ直すように」と表示されます。(※今はもちろん表示されません)
SSL証明書を変更すると、しばらくの間はSSL通信ができなくなります。
うちのサイトで使っているレンタルサーバ側の案内によると、数十分~数時間くらいは不通時間ができるかもよ、とのことでした。(結果的には不通時間は約30分間でした)
したがって、1日のうちでアクセス数の最も少ない時間帯に作業することにしました。
先月1ヶ月間の時間帯別アクセス数をログで調べたところ、うちの個人サイトでは午前4時台のアクセスが最も少ないようでした。
と言うわけで、昨夜は早めに寝て、わざわざ4時に一旦起きて作業しました。(^_^;)
夜間よりも昼間の方が多いですね。
うちのサイトは、主にCSSやJavaScriptの書き方など、仕事関連情報を求めて職場からアクセスしてくる方々が多いのだろうと思います。たぶん。
以下は、私が利用しているさくらインターネットのウェブサーバで、RapidSSLのSSL証明書を削除して、Let's Encryptの証明書を入れ直した作業記録です。
作業記録と言っても、特に難しいことはありません。
単にコントロールパネルから作業するだけです。
まずは、ドメイン設定からSSL証明書を削除します。
「SSL設定の全削除」ボタンを押すと、秘密鍵をバックアップしておきなさいよと案内されます。
まあ再度使うことはないだろうと思いつつ、何らかの問題が発生したときにロールバックできたほうが良いかと思って念のためにバックアップしておきました。
SSL証明書を削除すると、もう次の瞬間にはSSLでの通信はできなくなります。
HTTPSで自サイトにアクセスしようとすると、下図のようなエラーが常時表示されるようになりました。(当たり前ですが)
もしウェブサイトで、強制的にHTTP→HTTPSにリダイレクトしている場合は、常時エラーが表示されるようになります。
一時的にリダイレクトを解除する手もありますが、
1. 301リダイレクトはブラウザ側がキャッシュしているので、リピーターに対しては意味が薄い。
2. 検索サイトには既にHTTPSページが拾われているので、リダイレクトを解除したところで検索経由で来る人々にはエラーが見えてしまう。
3. Let's EncryptのSSL証明書のインストールが完了すればすぐにSSL通信が復活する。
……というわけで、何もせずにそのままエラー状態を放置することにしました。
1時間も経てばSSL通信を復活させられる予定でしたし、なによりもそのためにアクセス数の最も少ない午前4時台を選択したわけですからね。^^;
すぐさま、コントロールパネルからLet's Encryptの無料SSL証明書を申し込みました。
これも単に申し込みボタンを押すだけなのでとても簡単です。
すぐには反映されないので、しばらく待ち時間があります。
特にすることはなく、ただ待つしかありません。^^;
さくらインターネットでは、Let's Encryptの無料SSL証明書が発行されてサーバへの設定が完了した時点でメールで知らせてくれます。
今回、たまーにリロードしつつ待ってみたところ、サーバへのSSL証明書導入が完了する方がメールよりもかなり早くて、メールはSSL通信ができるようになってから数十分後くらいに届きました。
私の場合は、だいたい30分程度待てば、SSLでのアクセスが可能になりました。
一応、HTTPSではなくHTTPでアクセスを試みた人々向けに、トップページで下記のような案内も掲載してはいたんですが、掲載時間は30分程度だけでした。(^_^;)
というわけで、無事にRapidSSLからLet's EncryptのSSL証明書へと差し替え作業が完了しました。
めでたし、めでたし。
しかしまあ、約30分間のSSL通信不能期間ができるのは避けようがなさそうなので、SSL証明書の差し替え作業はやはりアクセス数の少ない時間帯に作業するのが正解っぽいですね。
この日記へのコメントはお気軽に! コメント数:0件
コメント数: 0件
