Let’s Encrypt は、Web サイト上のトラフィックの保護と暗号化に使用される SSL 証明書を無料で発行し、URL バーに緑色の南京錠を表示します。これがないと、あまり安全ではない HTTP を使用することになります。
HTTPS/SSL証明書とは何ですか?
誰かがあなたの Web サイトに接続すると、その人のブラウザは、あなたの接続に誰も侵入していないことを確認するために、あなたの Web サイトに自身を識別するよう要求します。これは、認証局 (CA) から付与された SSL 証明書を使用して行われます。
CA はドメイン名を追跡し、それを暗号化に使用される 公開キー に関連付けます。あなたの Web サイトに接続している人は誰でも、あなたが正しいキーを使用して Web サイトのトラフィックを暗号化していることがわかるため、あなたは本人である必要があります。誰もが CA を信頼している限り、新しい SSL 証明書は CA によって署名され、CA によってのみ発行できるため、悪意のある人は誰も新しい SSL 証明書を偽造できません。
つまり、SSL 証明書を持っている限り、Web サイトの使用中に他のユーザーの接続を覗き見したり、Web サイトになりすましたりすることはできません。これにより、HTTPS は非常に便利になり、さらに安全になります。 Let’s Encrypt の台頭により、 Web トラフィック (Google 経由) の 93% が HTTPS になりました。Web サイトが HTTPS でない場合、Google 検索結果でのランクは大幅に低くなります。
Let’s Encrypt との違いは何ですか?
Let’s Encrypt は完全に無料で使用できます。 CA のほとんどは年間数百ドルを支払う必要があるため、これは CA としては異例です。これが Let’s Encrypt の主な利点です。特別なことを必要としない場合は、HTTPS を使用して Web サイトを簡単に保護できます。
ただし、Let’s Encrypt にはいくつかの欠点があります。証明書は 90 日間のみ有効ですが、更新は自動化できるため、問題にはなりません。また、ドメインを単純に保護するドメイン検証 (DV) 証明書のみも提供します。ビジネスを同時に登録する必要がある組織検証 (OV) 証明書や、広範な審査プロセスが必要で URL にビジネス名が表示される拡張検証 (EV) 証明書も提供していません。バー。
ただし、OV 証明書にはあまりメリットがありません。銀行や主要な機関を経営している場合を除き、おそらく EV 証明書は必要ありません。その場合は、おそらくお金に余裕があります。 AmazonでさえEV証明書を持っていません。
ほとんどの人にとって、証明書を 90 日ごとに更新する必要がないのであれば、今日では LetsEncrypt よりも優れたものを使用する意味はあまりありません。
Let’s Encrypt 証明書の設定方法
SSL 証明書をインストールするサーバーにコマンド ラインでアクセスできる必要があります。あるいは、SquareSpace などのマネージド ホスティング プロバイダーを使用している場合、ホストが Let’s Encrypt をサポートしている可能性があり、デフォルトで有効になっているものもあります。 GoDaddy などの他のサービスでは、有料プランの一部として SSL が含まれており、代替オプションの使用が禁止される場合があります。 プロバイダーがリストに含まれているかどうかを確認し、リストに含まれている場合は Let’s Encrypt を有効にする方法を確認 できます。この記事では、独自の Web サーバーで実行される手動セットアップに焦点を当てます。
証明書を取得するには、ACME クライアントを使用する必要があります。ACME クライアントは、Let’s Encrypt と通信してドメイン名が正当であることを確認するプログラムです。 Let’s Encrypt の使用をお勧めします
certbot、証明書を作成するだけでなく、使用している Web サーバーに証明書を自動的にインストールするコマンド ライン ユーティリティです。
certbot が nginx または Apache 構成ファイルを操作したくない場合は、 別の ACME クライアント を使用して証明書を手動で生成できます。証明書を config に手動で追加する必要があり、90 日ごとに証明書の更新を管理する必要があります (これは自動的に行うことができ、 自分で設定する 必要があります)。ほとんどの人にとって、Certbot は問題なく機能します。
Certbot のインストールと使用
インストールは実行している OS によって異なりますが、Certbot は Unix システムでのみ実行されるため、Windows では実行されません。通常、ディストリビューションのパッケージ マネージャーからインストールするのと同じくらい簡単です。 Ubuntu などの Debian ベースのシステムの場合、次のようになります。
sudo apt-get インストール certbot
ただし、certbot リポジトリをパッケージ マネージャーに追加する必要があります。幸いなことに、 Certbot の Web サイト には、各ディストリビューションのより完全なインストール手順が記載されています。使用している Web サーバーと、それを実行している OS を選択します。 Certbot は、必要なパッケージをインストールするためのコマンドのリストを提供します。これらを実行し、インストールされるまで待ちます。
それが完了したら、次を実行します。
sudo certbot --nginx
--nginx
フラグを、使用している Web サーバーに置き換えます。 Certbot は新しい証明書を生成し、nginx 構成にインストールします。実際には、次のようにして Certbot を手動 ACME クライアントとして実行できます。
sudo certbot --nginx certonly
これにより、Web サーバーに手動で展開できる証明書ファイルが生成されます。
Certbot は、
cron
または
systemd
タイマーを使用してほとんどのディストリビューションで
更新を自動的に管理する
ため、期限切れになることを心配する必要はありません。確認したい場合は、この cron ジョブは通常
/etc/cron.d/certbot
にあります。
注意すべき点の 1 つは、この cron ジョブは完了後にのみ
certbot renew
実行するため、新しい構成を適用するために Web サーバーが自動的に再起動されないことです。
--renew-hook
を使用してこの cron ジョブに追加のコマンドをアタッチし、次のように nginx をリロードするコマンドを渡すことができます。
certbot renew --renew-hook "/etc/init.d/nginx reload"
次のコマンドを使用して、コマンド ラインから直接証明書を手動で更新することもできます。
sudo certbot を更新する
この後も Web サーバーを再起動する必要があります。
HTTPS トラフィックの処理
HTTPS の動作は通常の HTTP とは少し異なります。 HTTP のデフォルト ポートは 80 で、通常は Web サーバーで開かれています。 HTTPS はポート 443 で実行されるため、HTTPS が機能するには、ファイアウォールでこのポートが開いていることを確認する必要があります。
さらに、HTTPS を使用しているので、すべての HTTP トラフィックをブロックすることもできます。これは nginx ルールを使用して行うことができます。
サーバー {
80 デフォルトサーバーをリッスンします。
サーバーの名前 _;
301 https://$host$request_uri を返します。
}
これにより、ポート 80 のすべてのトラフィックが HTTPS リンクにリダイレクトされます。これにより、デフォルトのポート 80 サーバーが置き換えられるため、そのポートで他に何も実行されていないことを確認してください。
