カモメの部屋

一言でいえば雑記。普段考えていること、趣味の野球のこと、エンジニアなのでちょっと技術のことを発信していけたらいいな。

let's encrypt について調べたこと

仕事で利用してみたいなぁと思っているlet's encryptについて調べてみました。

特徴

  • 無料 ドメインがあれば使える
  • 運用を自動化できる。勝手に証明書の更新を行える
  • 技術顧問やスポンサーがすごい
    • アカマイ
    • cisco
    • などなど
  • 運営は Internet Security Research Group (ISRG)
  • DV (Domain Validation)ドメインの所有者であることの証明のみ
  • EV (Extended Validation)は利用できない
  • 証明書発行数等に制限があるらしい
  • wild card 証明書は発行できない、代わりにSANを利用できる
  • 証明書の期限が90日

導入するにあたって考えなければいけないこと

AWSGCPを利用している場合発行した証明書を自動的にELBやらcloud frontなどに自動でアップロードし更新する方法を確立しないといけなそうです。(公式サイトでcloud frontのリンクは見かけたので他のもすでに存在する可能性が高いですが。)有効期限が1~2年の証明書を利用することに慣れている僕にとって、90日というのは非常に短く感じてしまいます。。年最低4回はやらないといけないってことですよ。これを自動化できていないという理由で手動でやっていると時間がもったいなさすぎる感があるので、導入前にかならず自動化できるようにしておかないとなぁと感じました。導入箇所絞って一部で実績を作ってからの切り替えを企てようかなぁ。

でも短い期間で証明書の有効期限が切れることによって、秘密鍵が漏洩した場合のリスクを減らすことができる等ちゃんとした理由があっての期限なので、長すぎず短すぎず妥当かなぁという気もします。

todo

  • certbotをダウンロードして実際に証明書を取得してみる
  • ELBやGCPのLB等に簡単にアップロードするツールがないか探す
  • 上記をやってみたうえで自動更新のサイクルを考える