Let’s EncryptのSSL証明は有効期限が90日と短期ですが、商用・非商用どちらでも無償利用が可能です。
取得に必要なツールも用意されているので、とくにVPSなどTELNETやSSH接続可能な環境のWEBサーバーを利用している場合にはオススメのSSL証明です。

Let’s Encryptは2015年9月からベータ版の運用が開始され、2016年4月より正式サービスが開始されたばかりのSSL証明書発行機関です。
2015年9月からの翌年4月までの期間で、380万以上のウェブサイトに対して170万枚以上のSSL/TLSサーバ証明書を発行した実績もあります。

Let’s EncryptのSSL証明書がもつ最大のメリットは『無償』であることと、『更新を自動化できる』という点にあります。

一般的なSSLの有効期限は12ヶ月ですが、Let’s Encryptは90日です。
WEBサーバーの管理者であれば「年4回もやりたくない」と思うかもしれませんが、Let’s EncryptのSSL証明更新は1コマンドで実行可能。
しかも「有効期限が30日未満になった証明書」のみが更新されるので、日時指定の自動処理（cronなど）で行うことがとても容易なのです。

どうです、便利でしょう？

無料のSSLで大丈夫なのか？という不安もあるかもしれませんが、そこはまったく安全です。

Let’s Encryptの「SSL/TLSサーバ証明書」は、アメリカ合衆国大手認証局（CA）である IdenTrust 社のルート証明書からチェーンできるクロスルート証明書です。IdenTrust 社の証明書（DST Root CA X3）によって、中間証明書「Let’s Encrypt Authority X3」、および予備の中間証明書「Let’s Encrypt Authority X4」に対するクロス署名が行われています。
そのため、Let’s Encrypt 発行の証明書は、大手認証局（CA）が有償で販売している証明書と同様に、ほとんどのWebブラウザやOSが標準で対応しています。

引用：https://letsencrypt.jp/#CompatibleBrowser

実際にこのブログへ導入して、様々なブラウザから確認していますが、ここ数年に販売されたハードウェアと、そこで動かせる最新OSとの組み合わせであれば何も問題なくSSL暗号化通信が確認できています。

下のスクリーンショットはこのブログの証明書ですが、有償のSSLと比較しても目立った違いはないのでまったく問題ありません。
もちろんTLS1.2が利用できるように実装しています。

Let’s Encryptでの証明書作成はVPSなどでのサーバ内作業に多少慣れている人ならとても簡単。
ApacheやnginxなどのhttpサービスをGoogleで調べながらでも構築できた人ならまちがいなく作ることができます。

作り方はLet’s Encryptの公式ページにある手順が最新＆安全＆親切です。
必要なプログラムはすべてyumでインストール可能ですし、証明書発行に必要な情報はドメインとメールアドレスだけ。

SSLは最初の設定こそ面倒なのですが、以下がこのブログで設定しているnginx用設定情報になります。

# SSL（443）およびhttp/2対応
listen 443 ssl http2;

# Let’s Encryptで発行した証明書ファイル
# nginxはfull chainを証明書に定義します
# liveフォルダならシンボリックファイルなので更新時の書き換えが不要です
ssl_certificate      /etc/letsencrypt/live/mag.torumade.nu/fullchain.pem;
ssl_certificate_key  /etc/letsencrypt/live/mag.torumade.nu/privkey.pem;

# SSLプロトコルはTLS1 TLS1.2 TLS1.2のみ
ssl_protocols TLSv1.2 TLSv1.1 TLSv1;

# 暗号化スイートはMozilla準拠
ssl_prefer_server_ciphers on;
ssl_ciphers ECDHE+RSAGCM:ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK;

# 暗号化スイートにDH鍵交換を必要とするものが含まれるので作成
# 作成方法
# 　mkdir /etc/nginx/conf.d/SSL
# 　openssl dhparam 2048 -out /etc/nginx/conf.d/SSL/dhparam.pem
ssl_dhparam /etc/nginx/conf.d/SSL/dhparam.pem;

# SSL通信は遅いので、少しでも早くするオマジナイ
ssl_stapling on;
ssl_stapling_verify on;
ssl_trusted_certificate /etc/letsencrypt/live/mag.torumade.nu/fullchain.pem;
resolver 8.8.8.8 8.8.4.4 valid=300s;
resolver_timeout     5s;

# SSL通信を強制するオマジナイ
add_header Strict-Transport-Security 'max-age=31536000; includeSubDomains;';

これだけでSSLLabのスコアはA+になるので、必要十分な安全性を確保できました。

---

　
　

---

---

---

カテゴリー

• iPhone／iPad (142)
  • iOS (25)
  • ユーティリティ (19)
  • 仕事効率化 (19)
  • 天気 (5)
  • 写真 (17)
  • 動画・音楽 (18)
  • SNSクライアント (6)
  • ナビゲーション (5)
  • ゲーム (5)
  • 知育・教育 (5)
  • ブック (6)
• Mac (190)
  • リリース情報 (1)
  • Mac OS X (38)
  • ユーティリティ (94)
  • Web・Mail (13)
  • iTunes (6)
  • 動画・画像・音楽 (25)
  • SNSクライアント (2)
  • BootCamp (2)
  • ゲーム (5)
• インターネット (133)
  • WEBサービス (86)
  • WordPress (45)
• ハードウェア (259)
  • Mac環境関連 (36)
  • AV機器関連 (48)
  • iPhone/iPad関連 (74)
  • AppleTV関連 (5)
  • デジタルカメラ (62)
  • モバイル関連 (30)
• その他 (220)
  • レシピ・グルメ (25)
  • CD・iTunesミュージック (17)
  • Vape (2)
  • 自転車 (14)
  • 家電・調理器具関連 (22)
  • ファッション (33)
  • 旅行記 (15)
  • 万年筆・文房具 (24)
  • 書籍 (25)
  • WEBLOG (36)

---

https://mag.torumade.nu/　著作権およびプライバシーポリシーに関して