にしし ふぁくとりー(西村文宏 個人サイト)

Presented by Nishishi via Movable Type. Last Updated: 2018/09/27. 14:17:19.

SSL証明書を RapidSSLから Let's Encryptに変更した

有料のSSL証明書を削除して、無料のSSL証明書に変更

うちのウェブサイトで使っているSSL証明書を、DigiCert(GeoTrustのRapidSSL)発行のものからLet's Encrypt発行のものに変更しました。

9月13日にβ版がリリースされるChrome70から適用される「SymantecのSSL証明書失効問題」が、うちの証明書にも該当していましたので。再発行は無料でできるんですが、どうせ手続きをするなら継続するよりも無料の証明書に変更しようかと思いまして。

SSLの認証局名がGeoTrustからLet's Encryptに変わった

私が管理しているサイトのうち、メインの個人サイト(www.nishishi.com)以外では既に Let's Encrypt を使っていたのですが。メインサイトだけは(レンタルサーバ側でLet's Encryptを超簡単に導入できる仕様が用意されるよりも)ちょっとだけ早めにSSL化をしたので、GeoTrustのRapidSSLを使っていたのでした。

RapidSSLの証明書はまだ2019年まで使う権利はあるので、ここで捨てると1年半くらいの料金が無駄になってしまいますが、まあ、そこはサンクコストですからね。
別にLet's Encryptと比較してRapidSSLの方がセキュリティ的に望ましいということもないですし、どうせ元々RapidSSLの権利消費後にはLet's Encryptに移行するつもりでしたから。移行作業が早いか遅いかの違いしかありません。

RapidSSLのまま放置していれば良いだけなら放置していたと思いますが、「SymantecのSSL証明書失効問題」が出てきて、RapidSSLに関しても証明書の再発行手続きと設定のし直しが必要になりましたので、どうせ設定変更の作業が必要になるなら、今Let's Encryptに変更して手間を1段階節約しよう、という考えです。

SSLチェッカーで証明書失効対象であることを確認

既にChrome70のβ版はリリースされていますので、それを導入すればチェックも可能ですが。
特定のウェブサイトで使われているSSL証明書が「SymantecのSSL証明書失効問題」に該当するのかどうかは、シマンテックの下記チェックサイトで調べられます。
→『Google Chromeにより警告がでるウェブサイトかチェックする

うちのドメインで調べると、下記のように「証明書を入れ直すように」と表示されます。(※今はもちろん表示されません)

証明書を入れ直して下さいというチェック結果

アクセス数の最も少ない時間帯に作業することに

SSL証明書を変更すると、しばらくの間はSSL通信ができなくなります。
うちのサイトで使っているレンタルサーバ側の案内によると、数十分~数時間くらいは不通時間ができるかもよ、とのことでした。(結果的には不通時間は約30分間でした)
したがって、1日のうちでアクセス数の最も少ない時間帯に作業することにしました。

先月1ヶ月間の時間帯別アクセス数をログで調べたところ、うちの個人サイトでは午前4時台のアクセスが最も少ないようでした。
と言うわけで、昨夜は早めに寝て、わざわざ4時に一旦起きて作業しました。(^_^;)

アクセスログ:Hourly Usage For August 2018 (午前4時台のアクセス数が最も少ない)

夜間よりも昼間の方が多いですね。
うちのサイトは、主にCSSやJavaScriptの書き方など、仕事関連情報を求めて職場からアクセスしてくる方々が多いのだろうと思います。たぶん。

サーバのコントロールパネルから、SSL証明書を削除して、新たにLet's Encryptからの証明書発行を申請する

以下は、私が利用しているさくらインターネットのウェブサーバで、RapidSSLのSSL証明書を削除して、Let's Encryptの証明書を入れ直した作業記録です。
作業記録と言っても、特に難しいことはありません。
単にコントロールパネルから作業するだけです。

  1. レンタルサーバのコントロールパネルからSSL証明書を全削除
  2. レンタルサーバのコントロールパネルからLet's Encryptを申し込み
  3. 完了:だいたい30分後にSSL通信が復活

Step.1■レンタルサーバのコントロールパネルからSSL証明書を全削除

まずは、ドメイン設定からSSL証明書を削除します。
「SSL設定の全削除」ボタンを押すと、秘密鍵をバックアップしておきなさいよと案内されます。
まあ再度使うことはないだろうと思いつつ、何らかの問題が発生したときにロールバックできたほうが良いかと思って念のためにバックアップしておきました。

SSL設定の全削除ボタン

SSL証明書を削除すると、もう次の瞬間にはSSLでの通信はできなくなります。
HTTPSで自サイトにアクセスしようとすると、下図のようなエラーが常時表示されるようになりました。(当たり前ですが)

SSL証明書を削除した状態でHTTPSでアクセスしようとした際のエラー画面(Chrome)

もしウェブサイトで、強制的にHTTP→HTTPSにリダイレクトしている場合は、常時エラーが表示されるようになります。
一時的にリダイレクトを解除する手もありますが、

1. 301リダイレクトはブラウザ側がキャッシュしているので、リピーターに対しては意味が薄い。
2. 検索サイトには既にHTTPSページが拾われているので、リダイレクトを解除したところで検索経由で来る人々にはエラーが見えてしまう。
3. Let's EncryptのSSL証明書のインストールが完了すればすぐにSSL通信が復活する。

……というわけで、何もせずにそのままエラー状態を放置することにしました。
1時間も経てばSSL通信を復活させられる予定でしたし、なによりもそのためにアクセス数の最も少ない午前4時台を選択したわけですからね。^^;

Step.2■レンタルサーバのコントロールパネルからLet's Encryptを申し込み

すぐさま、コントロールパネルからLet's Encryptの無料SSL証明書を申し込みました。
これも単に申し込みボタンを押すだけなのでとても簡単です。

さくらインターネットでのLet's Encrypt無料SSL証明書申し込み後画面

すぐには反映されないので、しばらく待ち時間があります。
特にすることはなく、ただ待つしかありません。^^;

さくらインターネットでは、Let's Encryptの無料SSL証明書が発行されてサーバへの設定が完了した時点でメールで知らせてくれます。
今回、たまーにリロードしつつ待ってみたところ、サーバへのSSL証明書導入が完了する方がメールよりもかなり早くて、メールはSSL通信ができるようになってから数十分後くらいに届きました。

Complete■完了:だいたい30分後にSSL通信が復活

私の場合は、だいたい30分程度待てば、SSLでのアクセスが可能になりました。
一応、HTTPSではなくHTTPでアクセスを試みた人々向けに、トップページで下記のような案内も掲載してはいたんですが、掲載時間は30分程度だけでした。(^_^;)

SSL証明書の入れ替え作業中だという案内(^_^;)

というわけで、無事にRapidSSLからLet's EncryptのSSL証明書へと差し替え作業が完了しました。
めでたし、めでたし。

しかしまあ、約30分間のSSL通信不能期間ができるのは避けようがなさそうなので、SSL証明書の差し替え作業はやはりアクセス数の少ない時間帯に作業するのが正解っぽいですね。

コメント

コメント数: 0件

コメント投稿欄 この日記に対するコメント投稿を歓迎します。



※本文中にURLは書けません。(書くと投稿が拒否されますのでご注意下さい。)

※ご投稿頂いた内容は、掲載前に管理者が確認する設定にしている場合があります。たいていは数日以内には表示されるはずですので、気長にお待ち願います。m(_ _)m

著者紹介


にしし(西村文宏)

にししでございます。本書いたり記事書いたりしてます。あと萌えたり。著書5冊発売中です(Web製作系4冊+小説1冊)。著書や記事は「西村文宏」名義。記事は主にAll Aboutで連載。本の最新刊は2011年3月に発売されたライトノベルでございますよ。

Twitter:にしし/西村文宏
にしし/西村文宏 on facebook にしし/西村文宏 on mixi にしし/西村文宏 on Google+ フォローはお気軽に!

にしし(西村文宏)連絡先
☕ コーヒーをおごる

著書一覧と詳細

関連する記事など

※下記には、本サイト内外の関連記事などが8本くらい自動で表示されています。

にししふぁくとりー Sakura scope内限定での主要なカテゴリ

--- 当サイト内を検索 ---