Let's encryptについて kixs

について

Speaker : Hiroki_Sakonjuat KIXS Vol.001

What’s our company?

株式会社ブロードリーフ▧ 2005年12月　創業▧ 東京証券取引所第一部▧ 自動車アフターマーケットを中心としたソフトウェア

・ITソリューション＆各種サービスを提供▧ http://www.broadleaf.co.jp/

http://www.broadleaf.co.jp/

http://www.broadleaf.co.jp/

Who are you?

▧ 左近充　裕樹(さこんじゅう　ひろき)▧ インフラエンジニア

(以前はWindowsアプリエンジニア)▧ 嫁に年齢不詳系と言われる30歳▧ 主にオンプレだったけど、最近はGCPやAWSの

クラウドインフラの設計・構築・運用保守も担当▧ Google Qualified System Operations

Professional取得

“通信暗号化してる？

近年の課題

個人情報保護情報漏えい対策セキュリティ対策SHA-2移行HTTP/2対応コスト削減運用自動化・・・etc

“え？SSL証明書ってこんなすんの？

クイック認証SSL クイックSSLプレミアムセキュア・サーバID

For Example

契約期間価格

1年￥34,800

2年￥66,000

契約期間価格

1年￥31,300

2年￥54,800

契約期間価格

1年￥81,000

2年￥153,400

※FQDN単位で必要となる

What’s

▧ 2016年4月12日に正式開始された無償でSSL/TLSサーバ証明書

を取得できるサービス。公式サイト：https://letsencrypt.org/　日本語ポータル：https://letsencrypt.jp/

▧ 証明書の発行・インストール・更新のプロセスを自動化することによ

り、TLSやHTTPS(TLSプロトコルによって提供される、セキュアな接続の上でのHTTP通信)を普及させることを目的としているプロジェクト。

▧ 公益法人のISRGが運営しており、CiscoSystems、Akamai、電子

フロンティア財団、Mozilla財団などの大手企業・団体がISRGのスポンサーとしてLet's Encryptを支援している。

https://letsencrypt.org/

https://letsencrypt.jp/

https://letsencrypt.jp/

https://letsencrypt.jp/about/#ISRG

期待できる効果

▧ SSL証明書取得コストの削減

▧ SSL証明書管理・更新コストの削減 ⇒更新の場合の証明書購入WF申請やSSL発行業者への発注業務がなくなる

⇒自動で更新する仕組みを構築するので、人が入れ替え作業をする必要がなくなる

Use example

▧ WordPress.com上でホスティングされているすべての独自ドメインに対してLet’s Encryptを使用してHTTPS暗号化を実施　関連記事

▧ ファーストサーバ株式会社のレンタルサーバーサービスにてLet's Encryptの取り扱いを開始　関連記事

▧ ネットオウルにてLet's Encryptの取り扱いを開始　関連記事

▧ オルターブース様　のコーポレートサイト

https://ja.blog.wordpress.com/2016/04/11/https-everywhere-encryption-for-all-wordpress-com-sites/

https://www.firstserver.co.jp/news/2016/2016022401.html

http://www.netowl.jp/news_detail.php?view_id=1459

Let's Encrypt Mechanism

http://www.atmarkit.co.jp/ait/articles/1606/02/news049.html

【新規取得時】【更新時】



Example on GCP

Sample

▧ 証明書の有効期限が90日　⇒Let’s Encryptは60日間ごとに更新することを推奨しているため、　　60日で自動更新する仕組みを構築する必要あり。　　※更新されなかったら 20日前にリマインドメールあり。

▧ Windowsは本家のクライアントソフトが対応してない。▧ ワイルドカードのSSL証明書がない。▧ Let's Encryptが認証時に使用する IPアドレスは固定ではない。▧ 発行制限がある

　⇒ドメイン毎に20枚/週　　(100までのFQDNを一枚のSAN証明書にすることが出来る。 )

▧ SSL強度は大丈夫なのか？⇒quality ssl labsでテストしてみたところA判定

Note

Thank you for your attention!!

2016/12/04 add

GCPのHTTPLBでのUPDATEは以下で簡単に実施できる

<SSL証明書アップロード>gcloud compute ssl-certificates create NAME --certificate=LOCAL_FILE_PATH

--provate-key=LOCAL_FILE_PATH※証明書のアップデートは出来ないらしく、Create後にDeleteが必要

<https-proxyアップデート>・https-proxyを確認gcloud compute target-https-proxies list

・アップデートgcloud compute target-https-proxies update NAME --ssl-sertificate=SSL_CERTIFICATE

Software

Let's encryptについて kixs