Let’s Encryptが2018年からワイルドカードに対応ACME v2とは

2017年7月8日server,サービス,サービス,ニュース

無料のSSL証明書でおなじみのLet’s Encryptですが、来年2018年の1月から、ワイルドカードの証明書の発行を開始するそうです。

なにやら、証明書を利用するための規格のようなもので、ACME v2 APIエンドポイントというのが始まるそうで、そのACME v2が開始したらACME v2を利用して提供を始めるとのこと。

これを期にhttpsが一気に広がるかもしれませんね。

そもそもLet’s Encryptとは、寄付によって成り立っている団体で、自動化された適用システム(API)と証明書発行システムと更新システムにより、簡単にHTTPサーバを暗号化通信出来るようなシステムと証明書の発行をしています。

SSL証明書ってなに

ホームページを閲覧する時に、通常PCはhttpという言葉を使って通信しています。

よくあるWEBページのURLの頭に付いていますね。

これは内容をそのままテキストで送受信してページの内容を表示していますが、こちからかメールアドレスやパスワードなどを入力して送信すると、通信の途中でそのデータを閲覧できる人には、そのままパスワードまで見られてしまいます。

この通信を盗聴できないように暗号化して通信するようにしたのが、httpsという暗号通信の言葉です。

しかし、ただ暗号化しただけでは、偽装した通信などで盗聴できてしまうので、正式に認証した証明書を発行する機関が証明書を発行して、そのサイトの通信をしようとした時に、まず証明書が正規のちゃんとしているものか、発行した機関に証明書を確認して問題なければ通信を開始するようになっています。

ですので、証明書というのは、URLのドメイン名ごとに必要になります。

このサイトの場合は「pc-taskal.net」に対して証明書が発行されます。

ですのでpc-taskal.netにアクセスしようとしたのに、ニセのサイトに誘導されてしまっても、そこには証明書が無いのでアクセスが始まりません。

オンラインバンキングなどで偽サイトに行かされたら怖いですよね。

高級な証明書には、認証済みの安心マークが表示できたりと色々あります。

簡単に言うと、「https://」で暗号化通信するための仕組みです。

ブラウザのURLの左側が緑色になっていればhttpsで暗号化している、安心できるサイトだと思っていればOKです。

ワイルドカードってなに

いままでのLet’s Encryptの証明書では、一つの証明書で一つのURLのサイトしか使えませんでした。

例えば、pc-taskal.net の証明書は www.pc-taskal.net には使えずwwwの方はインチキサイトだと認識されてしまいます。

このドメインの頭に付いている文字列をサブドメインといいます。

サブドメインはドメインの持ち主であれば自由に追加することが出来ます。

abcdefg.pc-taskal.net

blog.pc-taskal.net

shop.pc-taskal.net

park.pc-taskal.net

など、自由に作れるので、一つのサーバに全てのサブドメインを使えるようにする事ができます。

ですので、今までのLet’s Encryptでは全部で4つのサブドメインを使っていたら4個別々に証明書をもらう必要がありました。

ワイルドカードというのは、この頭の部分をいくつ作っても一つの証明書で使えますよというものです。

「*.pc-taskal.net」 の「 *」 の部分はいくつでもどんな文字列でもOKということです。

 

ACME v2ってなに

現在使われているACME v1 は Let’s Encrypt の関連団体が作ったプロトコルのAPIです。(certbot)

現在使われている簡単導入もこのACME v1のおかげです。

利用者が簡単に証明書を発行してもらってサーバで利用できるように、設定アプリから検証して認証して発行してを自動化出来る仕組みです。

発行されたら、そのまま設定アプリが自動でサーバの設定までワンストップでしてくれます。

その新しい仕組みのバーションがACME v2で、インターネットでの相互の接続の世界標準化IETF(Internet Engineering Task Force)に対応したものになり、Let’s Encrypt以外の証明書発行機関も利用できるように、その仕組みが開発されています。

当初はDNSを使用したドメインの検証でスタートするようです。

txtフィールドに指定された文字列入れるとかの簡単な認証かもしれませんが、ちょっとばかりDNSの設定スキルが求められるかもしれません。

現在使われているLet’s EncryptでのACME v1は証明書の期限の更新時に自動でACME v2にアップグレードされるようです。

 

2018年2月27日(火曜日)に開始のようです

追記です。

どうやらテストが1月4日開始で2月27日(火曜日)に正式公開の予定になっているようです。

このサイトの更新も3月末なので注意が必要かも知れませんね。