パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Let's Encrypt、ルート証明書切り替えに向けて古いAndroidへの対策を呼びかけ」記事へのコメント

  • by Anonymous Coward on 2020年11月08日 20時00分 (#3920569)

    ので、うちではLet's Encryptを使うのやめました。
    予算だけ確保して、より具体的な日程が分かってから、
    その日程に合わせてもうちょっとマシな証明書を買う予定。

    • by Anonymous Coward

      有効期限1年の証明書しか使えなくなったので、自動更新できないCAは使う気になれない。

      • そもそも、サーバというのは、リソースやディスクI/Oの急変だの急に吐かれたエラーログやら数秒に1回のサービス動作チェックへの応答がないときの対応やらその他で24時間体制で監視・対応するもの
        (それができないなら、できる業者にroot持たせた方が良い)
        1年に1回の更新を手動でやったとして、サーバ1台管理する手間に加わる割合なんて微々たるものでしょ
        手動の場合は、
        ・11ヵ月に1回の更新タスクを職場の共有スケジューラー等にスケジュール
        ・普通にサーバ証明書をチェックして Not After まで1か月切ったら警告する管理スクリプトの作成
        などの対応をして、1年に1回手動で更新すればいい

        Let's Encrypt で自動更新している人、本当に安全な方法で出来てる?
        公式サイトは勿論、あちこちの情報サイト見ても、毎秒数百以上のアクセスがあるようなWebサーバで安全に更新できるようなスクリプトは全く見かけない

        certbot certonly --webroot -w /home/www/www.example.com --noninteractive --post-hook "systemctl reload httpd.service" のような方法での解説、よく見かけるけど、
        まずユーザーの端末の時計が数分狂っていたりタイムゾーンがずれていたりなんてこと(特に海外では)はよくあることなので Not Before 前の証明書扱いでエラーになるわけで
        新たに取得した証明書は2~3日は寝かした方が良い
        ユーザーの端末の時刻やタイムゾーン設定が絶対に合っている仮定しても、FirefoxだとOCSPが反映される数分間はエラー扱いになることが多いので、最低でも10分は待たないと駄目

        そして、毎秒数百以上アクセスがあるようなWebサーバーだと再起動で少しでも負荷があがると直後の負荷が心配だから何かあったとき有人で対応できるときじゃないとリロードなんてすべきではない。
        極端な話、スマートニュースやYahoo!ニューストップにサイトが掲載されたなどで急激なトラフィックが生じて負荷がぎりぎりのときにreload走ったら困るでしょ。
        AWSのAuto Scalingだって急激なトラフィック急増には対応できないってのに
        ってことで、サーバーのリロードは負荷状態が問題ないことを確かめたタイミング、かつ深夜などの影響が少ない時間帯、かつ有人で即座に人が対応できる状態でやるべき

        負荷状況といっても、データベース負荷とか現在のコネクション数とか帯域とか色々見るところあるからなかなか自動化は難しい
        Webサーバーのレスポンスが1~2秒遅延しただけで、いっきにDBサーバにまとまってSQLクエリが流れて、そこで過負荷でトラブルなんてこともよくある
        Webサーバーのreloadっていうのは結構危険な作業だったりする

        ってことで色々考えると、管理しているサーバの台数が数十やそこらだったら、変に自動化せずに手動でやったほうがトータルで良いと思われる

        それでも、どうしても自動化したいならば、証明書の更新を自動化できるとこなんてCAなんて山のようにある
        国内だと https://www.fujissl.jp/fujissl-go/ [fujissl.jp] とか
        日本は古い体制のところが多いけど、海外含めればむしろ大手で自動化に対応できていないとこの方が少ないぐらい

        親コメント
        • by Anonymous Coward on 2020年11月09日 1時32分 (#3920660)

          などの対応をして、1年に1回手動で更新すればいい

          そうは言うけど、こういう話もあって、いつか有効期限1年の証明書も出なくなるかもしれない。

          何度も短縮し過ぎ?!SSL証明書の有効期間がどんどん短くなる理由とは? [sakura.ad.jp]

          現在、CA/Browser フォーラムでは397日から9ヶ月→6ヶ月→90日と段階的に有効期間を短縮していく施策が検討されており、数年のうちに実施される可能性があります。

          なお、自分の場合、今のところ1年に1回手動で更新している。会社指定のCAを使わないといけないので、自動化できるかどうかはそこ次第。

          親コメント
        • by Anonymous Coward on 2020年11月08日 22時15分 (#3920623)

          FirefoxだとOCSPが反映される数分間はエラー扱いになることが多いので、最低でも10分は待たないと駄目

          ググったら、
          https://help.sakura.ad.jp/360000143762/ [sakura.ad.jp]

          JPRS社のSSL証明書は、OCSPレスポンダにSSL証明書の情報が登録されるまでに最大30分程度かかる場合があります。
          このため、SSL証明書が発行された直後はOCSPによる失効情報の検証ができず、有効なSSL証明書として認識されないため、サイト閲覧時にエラーが出る可能性があります。
          OCSPに対応しているブラウザをご利用の場合、SSL証明書発行直後は正常にサイトが閲覧できない可能性があります。
          また、ブラウザのキャッシュにより1度アクセスすると最大6時間程度アクセスできない可能性があります。

          だそうだが、Let's Encryptの情報は出てこなかった。
          Let's Encryptだと最大何分?

          親コメント
          • by Anonymous Coward on 2020年11月09日 1時01分 (#3920655)

            仮に CDN でキャッシュ機能があるとしてもサーバーに設定して証明書を使い始めるまでは OCSP リクエストがされることはないので、レスポンスがキャッシュされてしまうことはないと思います。
            Let's Encrypt は、証明書を発行してから OCSP データベースに反映するまでのタイムラグもほぼゼロじゃないでしょうか。発行後すぐにレスポンスが返ってきそうです。

            新規発行でも OCSPへの反映に 30 分もかかるのは遅くないですか? CRL と中途半端に統合していてバッチ的に処理がなされているのでは?

            親コメント
        • by Anonymous Coward

          場末のショボいレンタル web サーバを手動更新してるけど、そんな大規模な人気サイトじゃないから、気にせず reload しちゃってるわw
          というか、たぶん永久にそうならないけど、人気出たら CDN に肩代わりしてもらおうと思ってました。

          負荷が高いサーバだと、考えることがたくさんあるのですね。
          ところで、 CDN を使えば、オリジンサーバにはそこまで心配しないでもいいような気がしますが、別に考慮しなくちゃいけないこと出てきたりするのでしょうか。

        • by Anonymous Coward

          無料なところはともかく、有料のSSL証明書発行してるところは、
          顧客のWebサイトの証明書を監視して、期限が近づくと警告するサービスをやればいのに

          2か月前でメール警告、1か月前で再度メール警告、2週間前にメール&電話&手紙の両方で警告、みたいな

          • by Anonymous Coward
            電話はさておき、メールはやってるんじゃないかと思うけど。てか、Let's Encryptですら何回かくるし。
          • by Anonymous Coward

            なんで監視する必要が? 購入履歴からいつ頃警告メールを送るべきかは分かるはずなのだが。
            他社の証明書を使ってるサイトに際し、そろそろ期限ですがウチに乗り換えませんか?って営業なら別だが。

      • by Anonymous Coward

        Let's Encrypt以外で自動更新できるCAのおすすめありますか?
        # ローバラかませてると対応難しいですが
        # 全部CDN任せにしちゃうのが簡単そう

      • by Anonymous Coward

        ドメイン証明のみなら、自動更新で可能でも、
        組織の実在証明とか、EV SSL証明が必要な金融業界や、大手通販サイトでは、
        自動更新できないCAが必要になるのでは?

    • by Anonymous Coward
      必要ならユーザーも積極的に対応するだろうけど、
      ニュースサイトとかそういうのだと、見れるところに流れていくだろうし、
      ゲームなら古いAndroid切れる絶好の機会だったり?(有料コンテンツ利用率は低そうだし)
      どういうユーザーかとユーザーとの関係にもよるのでしょうね。

犯人は巨人ファンでA型で眼鏡をかけている -- あるハッカー

処理中...