「.NET 開発基盤部会 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。
目次 †
概要 †
多くの場合、サイト構築にSSLが必要になるので、Lets’s Encryptについて調査してみた。
詳細 †
特徴 †
ドメイン認証までしか行わない。 †
ドメイン認証までしか行わない事の問題。
- 暗号化は行われる。
- 認証はドメインレベルのみ行われる。
その他の制限事項 †
- 有効期限が発行から3ヶ月
- 証明書を定期的に自動更新する仕組みを導入する必要がある。
Lets’s Encrypt のパトロン企業 †
- UID & PWD 認証のアカウント使い回し問題。
- 非暗号化サイトからアカウントが抜かれる。
自サイトも被害に合わないように、
非暗号化サイトを根絶するための動きである模様。
IISで自動更新 †
Windowsで動作するLet's Encrypt クライアントソフトウェア。
letsencrypt-win-simple †
コチラは、win-acmeの旧名とのこと。
win-acme †
- IISマネージャーでサイトのバインディングにホスト名を入力しておく。
- 管理者モードで起動する(IISの設定を確認するため)。
- 「N: Create certificate (default settings)」を選択する。
- 「1: Default Web Site (1 binding)」を選択する。
- 「1: ...ホスト名... (Site 1)」を選択する。
- 「Continue with this selection? (y*/n)」で、yを選択する。
- Terms of service(LET’S ENCRYPT SUBSCRIBER AGREEMENT)が出力される
- 「Open in default application? (y/n*)」で、yで確認する。
- 「Do you agree with the terms? (y*/n)」で、yで同意する。
- 「Enter email(s) for notifications about problems and abuse (comma-separated):」で、メアド入力。
- ...DNSレコードの検証を行う(ココでプライベートIPを設定してたのでNGに)。
参考 †
証明書のランク分け †
DVでは社名確認ができず、空目する問題もある。
従って、OV以上を使用する必要がある。
DV(Domain Validation) †
- 実在性審査
なし。
- 申請者がドメインを所有していることのみを審査
- 組織が実在しているかの審査は実施しない。
- 効用
- ページが暗号化される。
- サブジェクト名に組織名が表示されない。
OV(Organization Validation) †
- 実在性審査
実施。認証機関に発行してもらう。
- 結構なお金を払い、
- 様々な書類を提出する。
- 第3者機関のデータベースや電話連絡などにより組織の実在性を審査。
- 発行元によっては、帝国データバンクを使うと若干提出書類を減らせる。
- 審査を受ける。
- 効用
- DV(Domain Validation)の効用に加え、
- 証明書のサブジェクト名に組織名が表示される。
EV(Extended Validation) †
- 実在性審査
厳格に実施。認証機関に発行してもらう。
- 世界共通で発行元による審査方法に差異が無く、
社会的信用の高い「EV SSLガイドライン」に基づく。
- 結構なお金を払い、
- 様々な書類を提出する。
- OV証明書より更に厳格に組織の実在性を審査する。
- 発行元によっては、帝国データバンクを使うと若干提出書類を減らせる。
- 厳格に審査を受ける。
- 効用
- OV(Organization Validation)に加え、
- ブラウザのアドレスバーに組織名が表示される。
確認方法 †
- EV(Extended Validation)
アドレスバーに表示される組織名はそのまま確認できる。
- DV(Domain Validation)
サブジェクト名は、以下の手順を行なうことによって、ようやく確認できる。
サイト †
- TechRacho? - Ruby on Rails と EPUBの電子書籍を扱うシステムやビューワ開発