「[[.NET 開発基盤部会 Wiki>http://dotnetdevelopmentinfrastructure.osscons.jp]]」は、「[[Open棟梁Project>https://github.com/OpenTouryoProject/]]」,「[[OSSコンソーシアム .NET開発基盤部会>https://www.osscons.jp/dotNetDevelopmentInfrastructure/]]」によって運営されています。

-[[戻る>SaaS設計のポイント]]

*目次 [#xd980d09]
#contents

*概要 [#bc172a47]
多くの場合、サイト構築にSSLが必要になるので、[[Lets’s Encrypt>https://letsencrypt.jp/]]について調査してみた。

*詳細 [#gc22c2bc]
**特徴 [#n6d49e5e]
***ドメイン認証までしか行わない。 [#od1b6598]
ドメイン認証までしか行わない事の問題。
-暗号化は行われる。
-認証はドメインレベルのみ行われる。

***その他の制限事項 [#f0ccd3f1]
-有効期限が発行から3ヶ月
-証明書を定期的に自動更新する仕組みを導入する必要がある。

***Lets’s Encrypt のパトロン企業 [#o799bf7f]
-以下の問題で、

--UID & PWD 認証のアカウント使い回し問題。
--非暗号化サイトからアカウントが抜かれる。

>自サイトも被害に合わないように、~
非暗号化サイトを根絶するための動きである模様。

-参考
--Current Sponsors - Let's Encrypt - Free SSL/TLS Certificates~
https://letsencrypt.org/sponsors/

**IISで自動更新 [#jac7516f]
Windowsで動作するLet's Encrypt クライアントソフトウェア。

***letsencrypt-win-simple [#hab82bda]
コチラは、[[win-acme>#s51301a0]]の旧名とのこと。

***win-acme [#s51301a0]
-IISマネージャーでサイトのバインディングにホスト名を入力しておく。
-管理者モードで起動する(IISの設定を確認するため)。
-「N: Create certificate (default settings)」を選択する。
-「1: Default Web Site (1 binding)」を選択する。
-「1: ...ホスト名... (Site 1)」を選択する。
-「Continue with this selection? (y*/n)」で、yを選択する。
-Terms of service(LET’S ENCRYPT SUBSCRIBER AGREEMENT)が出力される
-「Open in default application? (y/n*)」で、yで確認する。
-「Do you agree with the terms? (y*/n)」で、yで同意する。
-「Enter email(s) for notifications about problems and abuse (comma-separated):」で、メアド入力。
-DNSレコードの検証を行う(ココでプライベートIPを設定してたのでNGに)。

-...DNSレコードの検証を行う(ココでプライベートIPを設定してたのでNGに)。

*参考 [#zc2e9690]

**証明書のランク分け [#i90c3d1c]
[[DV>#xc4e7ca2]]では社名確認ができず、空目する問題もある。~
従って、[[OV>#j1f27352]]以上を使用する必要がある。

***DV(Domain Validation) [#xc4e7ca2]
-[[Lets’s Encrypt>https://letsencrypt.jp/]]で取得可能。

-実在性審査~
なし。
--申請者がドメインを所有していることのみを審査
--組織が実在しているかの審査は実施しない。

-効用
--ページが暗号化される。
--サブジェクト名に組織名が表示されない。

***OV(Organization Validation) [#j1f27352]
-[[Lets’s Encrypt>https://letsencrypt.jp/]]で取得&color(red){不可能};。

-実在性審査~
実施。認証機関に発行してもらう。
--結構なお金を払い、
--様々な書類を提出する。
---第3者機関のデータベースや電話連絡などにより組織の実在性を審査。
---発行元によっては、帝国データバンクを使うと若干提出書類を減らせる。
--審査を受ける。

-効用
--DV(Domain Validation)の効用に加え、
--証明書のサブジェクト名に組織名が表示される。

***EV(Extended Validation) [#u48ecff5]
-[[Lets’s Encrypt>https://letsencrypt.jp/]]で取得&color(red){不可能};。

-実在性審査~
&color(red){厳格};に実施。認証機関に発行してもらう。

--世界共通で発行元による審査方法に差異が無く、~
社会的信用の高い「[[EV SSLガイドライン>https://cabforum.org/extended-validation/]]」に基づく。
--結構なお金を払い、
--様々な書類を提出する。
---[[OV証明書>#j1f27352]]より更に厳格に組織の実在性を審査する。
---発行元によっては、帝国データバンクを使うと若干提出書類を減らせる。
--&color(red){厳格};に審査を受ける。

-効用
--OV(Organization Validation)に加え、
--ブラウザのアドレスバーに組織名が表示される。

***確認方法 [#k4655e90]
-EV(Extended Validation)~
アドレスバーに表示される組織名はそのまま確認できる。
-DV(Domain Validation)~
サブジェクト名は、以下の手順を行なうことによって、ようやく確認できる。
--ChromeでSSL証明書を確認する方法 | ChunkyNews~
http://chunkynews.com/?p=76

**サイト [#b81c1466]
-GMOグローバルサインブログ > SSL/TLS証明書無料化は進むか?~
~Let's Encryptに見る無料SSL/TLS証明書の台頭とその注意点~~
https://jp.globalsign.com/blog/2016/freessltls_letsencrypt.html

-TechRacho - Ruby on Rails と EPUBの電子書籍を扱うシステムやビューワ開発
--Let’s EncryptがVerisignと棲み分けできる理由:SSL証明書の「DV、OV、EV」とは何か~
https://techracho.bpsinc.jp/hachi8833/2016_09_23/26188
--続編: Let’s Encrypt・激安SSL・AWS Certificate Managerの比較と注意点~
https://techracho.bpsinc.jp/hachi8833/2016_09_26/26324

-IISでLet's Encrypt を利用してSSLサイトを構築する~
(letsencrypt-win-simple クライアントを利用)~
https://www.ipentec.com/document/document.aspx?page=software-iis-ssl-certificate-using-lets-encrypt
--https://github.com/Lone-Coder/letsencrypt-win-simple/releases

-win-acme を利用してIISでLet's Encrypt を~
利用したSSLサイトを作成する - Windows Server Tips~
https://www.ipentec.com/document/software-iis-ssl-certificate-using-win-acme
--https://github.com/win-acme/win-acme/releases

-【無料SSL】Let’s EncryptでIIS上にSSLサイトをカンタン構築!~
誰でもできるインストール方法を解説! | エク短|Extan.jp~
https://extan.jp/?p=2076

トップ   編集 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 単語検索 最終更新   ヘルプ   最終更新のRSS