Let's Encrypt、ワイルドカード証明書の発行を開始 17
ストーリー by hylom
ついに 部門より
ついに 部門より
Printable is bad.曰く、
無料でSSL/TLS証明書を発行している認証局のLet's Encryptが、ワイルドカード証明書の発行を開始した(公式発表、和訳、OSDN Magazine)。
従来は証明書にすべてのサブドメインを登録する必要があったが、ワイルドカード証明書では1つのドメイン名に属するすべてのサブドメインを1枚の証明書で保護することができるため、大規模なシステムにおいて証明書の管理が容易になる。
ワイルドカード証明書の取得には、ACMEv2互換クライアントをインストールして、DNSのTXTレコードを使用した認証を行う必要がある。導入方法などについてはACME v2とワイルドカード証明書の技術情報が参考になる。
スギちゃん (スコア:1)
ワイルドだろぉ~
Re:おすぎちゃん (スコア:0)
こすぎよ!ピータンよ!
[.jp]で証明書発行したぜい!
ワイルドすぎるだろ?
そして零細の証明書屋は貧する (スコア:0)
イギリスのクソ証明書屋がやらかした件 [security.srad.jp]などが記憶に新しいが、これでさらに証明書業界の再編が進むと思う。
貧すれば鈍する、で、しばらくはトラブルがぞろぞろ現れるのでは。
過渡期だから仕方が無いといえばそうだけど、警戒が必要かも。
#という観測が流れてさらに寄らば大樹の陰、大手に集まると言う循環が始まる
Re: (スコア:0)
今の時点でもDV証明書が売れる理由がよく分からないんだけど、大量の申し込みにでも実在確認出来る体力がない発行機関は淘汰されざるを得ないだろうね。
そろそろブラウザ側は、OVとDVを簡単に見分ける手段を用意してもらいたいところ。
Re: (スコア:0)
一応、有効期限の長い、最大2年までの証明書が利用できるっていうメリットはあるよ>有料のDV証明書
後はセキュアシールが使える。あんまり意味あるとは思えないけど一応。
Re: (スコア:0)
>一応、有効期限の長い、最大2年までの証明書が利用できるっていうメリットはあるよ>有料のDV証明書
Let's Encryptだと自動更新にしておけば有効期限がないに等しいんだけどね。
セキュアシールは貼ってるところの方が少ないかも。
DigiCertじゃ在りし日のVerisignみたいな強力なブランドでもないし。
Re: (スコア:0)
LEはシステムを解ってる・触ることを苦にしない人がいないと
運用できない(何かあったときに対応できないと思われる)ので、
そうでない人は有料DV証明書使ってねって棲み分けはできるんじゃ?
LEワイルドカード証明書は現状DNSチャレンジ認証だから自動化がちょい面倒。
自前DNS鯖なんで、どういう実装にしようか思案中。
Re: (スコア:0)
> Let's Encryptだと自動更新にしておけば有効期限がないに等しいんだけどね。
課金したら無料でガチャが回せるみたいな…
Re: (スコア:0)
いわゆるレンタルサーバ系だとLet's Encrypt自動更新対応はまだまだですので、
手動で取得した証明書を手動で適用しなければなりません。年4回は必要。
そうなると有効期限の長い有料DVのほうが楽、ということはあります。
レンタルサーバ事業者がDV販売しているということもありますね。RapidSSLのOEMっぽいところが多いようです。
日本ではセコムのSSLの方がイメージがいいのかな?
エンドユーザに紹介するときにセコムだけ食いつきます。値段で却下されるけど。
Re: (スコア:0)
日本ではセコムのSSLの方がイメージがいいのかな?
エンドユーザに紹介するときにセコムだけ食いつきます。値段で却下されるけど。
セコム「ルート」で良いなら FujiSSL(https://www.fujissl.jp/)ってのがあるよ。
Re: (スコア:0)
Symantecは大手中の最大手だったんだよなあ。
そんな能天気で単純な話ならどれだけ良かったことか
Re: (スコア:0)
大手中の大手と言われれば、未だに誰もがVerisignを連想するよね。
一方のSymantecは、ノートンというかウイルスソフト屋ってイメージが強すぎるし、それ以外の商材がパっとしない。
それが分かってたのか、SymantecもVerisignのVロゴを使い続けてたという・・・
Re: (スコア:0)
下手に身内を庇ったせいで全体がダメになってしまった。
まあSymantecはいつもそうだが。
有効期間 (スコア:0)
それでLet's Encryptのワイルドカード証明書の有効期間はどれくらいなの?
ワイルドカード証明書でも90日間です (スコア:3)
Let's Encryptの証明書の有効期間は90日間固定 [letsencrypt.jp] で、ACME v2やワイルドカード証明書導入でも変更されていません。
ワイルドカード証明書の更新時も初回と同様に DNS-01 Challenge が必要でTXTレコードに新しいワンタイムトークンを登録する必要があるので、DNSレコードを簡単に書き換えられるAPIが利用可能なDNSサーバ(や自前のDNSサーバ)を使っていないと自動更新は難しいです。そのため、自動更新のハードルは非ワイルドカード証明書(http-01 / tls-sni-01 Challenge が可能)より高いといえます。
# CA/Browser Forum でも有効期間を短縮する流れ [rms-digicert.ne.jp] があり、今月から有償の証明書も有効期間が39か月から825日間に短縮されました。
Re:有効期間 (スコア:1)
自分で調べたの?
Re: (スコア:0)
ちょっと待ってあげて。
「期間はほら、この通り」
「じゃあお高いんでしょ?」
「ふっふーん、そう思うでしょ?」
って続けるつもりなんだよ、きっと