Let’s Encrypt
技術部長です。昨日のうちにブログをアップロード予定でしたが、少し遅くなってしまいました。
先日、一時的にウェブマーケットのホームページにアクセスすると「セキュリティ保護なし」のメッセージが出るようになってしまいました。ご迷惑をおかけしました。これは、SSL設定が一時的に無効になってしまったからです。今日はそのお話をしたいと思います。
SSLは通信データを暗号化する技術で、いまやインターネットの世界では必須となっているものです。技術的な詳細は省略しますが、このSSLを支えているものの一つに「認証局」というものがあります。認証局の仕事は、「暗号化の正当性を保証する」というものです。認証を行っている団体・企業は多くあるのですが「認証する」ために結構高額の料金が必要でした。当社では、早い時期からSSLを利用していたので、「高価な」認証料金を支払ってきていました。
「インターネットでは、すべての通信が暗号化されるべきである」という考えのもと、無料で認証を行ってくれる団体が現れました。お聞きになった方もあるかもしれませんが「Let’s Encrypt」という非営利団体です。当社も現在は認証局を「Let’s Encrypt」に変更してサイトを運営しています。
このようにすばらしい活動をしていただいているのですが、唯一、利用者側からすると面倒なことが「認証証明書の期限が90日間」であるということです。つまり、90日ごとに認証の更新作業を行う必要があります。
前置きが長くなりましたが、先日当社のホームページで起きた「セキュリティ保護なし」は、この認証期限切れを起こしてしまったからです。通常は、期限切れを起こす前に認証作業を行うようにしているのですが、今回はそれを忘れていました。期限切れが近いことをチェックするシステムがあるのですが、今回はそれが動作していませんでした。連絡をうけて認証期限切れに気づいた状態でした。
とはいえ、新たに認証作業をすれば問題なく期限が延長されるはずだったのですが、ここでトラブルが起きました。少し、技術的になりますが、Let’s Encryptの認証では、まずhttpで接続し、ウェブサイトの存在を確認したうえで認証期限の延長を行う仕組みになっています。一方、当社のホームページでは、httpにアクセスがあった場合、自動的にhttps(SSL認証あり)に送りなおすようにしてあります。これは、お客様の安全なアクセスのためです。間違えて暗号なしのアクセスをしても、暗号有になるようにしているわけです。通常は、認証期限切れになる前に更新するので問題はないのですが、今回は認証期限が切れています。ということで、httpアクセスによるチェックが働きません。なぜならhttpは自動的にhttpsにリダイレクトされ、httpsは認証切れで動作しません。ということで、サーバーの存在が確認できず、証明書がアップデートされないという事態になってしまいました。
今は、落ち着いて考えているので状況が把握できていますが、その時は、何が起きたのか理解できず慌てました。メッセージを読んでみると「サイトの存在が確認できない」とでています。Let’s Encrypt のサーバー確認のやり方を調べなおして、httpアクセスが必要であることは思い出したのですが、httpアクセスは認める設定になっていますし、サーバー自体は動作しています。外部から、httpでアクセスしてみるまで、リダイレクトが問題であることに気づきませんでした。そのため修正に時間がかかってしまいました。
結局、今までのLet’s Encryptの証明書を削除し、新たに証明書のインストールをして、httpリダイレクトを外すことで証明書を入れることが出来ました。
証明書期限のチェックシステムを見直して。期限切れを起こさないように設定しました。
では、また。
