前回に引き続き、Let’s Encrypt証明書の今回は注意点など。 注意点といっても、事前にきちんと調べて理解すれば怖いものナシな点ばかりですが。
証明書の有効期限
まず、この証明書は有効期間がとても短いです。 一般の証明書は1年や3年の有効期間があるのに対し、こちらはたったの90日です。 SSL証明書の入れ替え作業をしたことがある人は、あの面倒な作業を90日感覚で……とうんざりするかと思いますが、実はそうではありません。 Let’s Encryptには、SSL証明書の自動更新の仕組みがあるからです。 cronで更新処理を(きちんと設定した上で)定期実行しておけば、一般の証明書よりもむしろ楽な運用をすることができます。 さらに、期限間近で更新されていない証明書については、「期限が切れそうですよ」と通知までしてくれます。 通知を無視して更新処理もきちんと設定しないなんてことがない限り、有効期限切れの心配はないでしょう。 適当な運用してたら個人サイトでは期限切れにさせちゃったんですが
サービスインして間もない
前回も触れたとおり、この証明書は正式にサービス開始されて間もないものです。 かなりの数のサイトにおいてベータ運用が行われた上での正式サービスとはいえ、本格的な運用ではいろいろと注意が必要かもしれません。 よくわかんないけどタダだから! という飛びつき方はキケンです。証明書に限りませんけれど。
ワイルドカード証明書には未対応
少し専門的な話題になりますが、ワイルドカード証明書には非対応です。 いずれ対応の予定はあるそうですが、現時点ではSANリストにサブドメインを記載することで対応できるそうです。 詳しくはこちらのFAQなどをごらんください。
有料の証明書は必要か?
最後に、Let’s Encryptを使えば有料の証明書なんて要らない! という考えの方にご注意です。 SSL証明書は暗号化のための証明書なわけですが、実は種類がいろいろあります。 種類というのは信頼性のことで、Let’s Encryptの証明書はいわゆる「普通」の信頼性を持っています。 普通の信頼性というのは、この証明書を使っている誰かは確かに存在しますね、といったレベルです。 有料の証明書では、これよりも高い信頼性を持ったものが存在します。 実在性証明というのがそれで、「この証明書を使っている××株式会社の担当○○さんは確かに存在します」といったレベルまで、電話で確認したり書類を書いたりあの手この手で信頼性を保証します。 どちらも暗号化の強度自体は一緒なのですが、例えばショッピングサイトや銀行、カード会社などの高い信頼性を担保する必要があるサイトでは「通信の相手先は本当に安全な相手か」が重要になります。
Let’s Encryptは確かにすばらしいものですし、だからこそ弊社でも今回導入しました。 ただし、暗号化(SSL)通信はあくまでも盗聴を防ぐためのものであって、通信相手が本当に安全な相手であることまでは保証してくれません。 逆に、無料証明書を気軽に使えるような環境が整いつつあるということは、悪意ある相手がSSL通信路を用意して「うちは安全ですよー」と騙る可能性もあるわけです。 こうした悪意ある相手を見破るには、サービス提供側としては高い信頼性をもった証明書を使うのがやはり一手です。 お金はかかりますが、逆に言えば「お金をかけています」ということもある意味では証明になります。 では、サービスを受ける側はどうしたらいいでしょう。 これは何よりも、サイトにアクセスするユーザーの皆さん自身が賢くなるほかありません。 振り込め詐欺に引っかからないために、普段から気をくばるのと同じことです。 結局のところ相手が本当に信頼できるかを見極めるのは、webに限りませんがやはり大事なことです。
文責:池田