パスワードを忘れた? アカウント作成
13706 story
暗号

SSL 証明書の運用管理どうしてますか? 83

ストーリー by GetSet
結局、紙の手帳に逐次記入 部門より

uxi曰く、"今朝、livedoor wiki にログインしようとして気付いたのですが本日 10/20 の 9 時をもって SSL 証明書の有効期限が切れになってしまったらしく、接続時に警告が表示されるようになっていました。 (参考: SSL モードの livedoor ID 登録)

公式CAを通した証明書は、コストもかかりますから無駄に更新するのも馬鹿げていますが、スケジュールを詰め過ぎてしまうと、今回のように有効期限切れの期間が生ずる可能性があるかもしれません。また、スケジュールに相当余裕を見ていたとしても、更新手続きがスムーズに行かず、スケジュール通りに行かない事もあるかもしれません。

経路の暗号化のみを行いたい場合、独自CAによる証明書を使うことも少なくないと思いますし、 有効期限切れになったからと言って、即 SSL の安全性が大きく揺らぐわけではありません。 しかし SSL がどんな物について理解の浅い世間一般の人には困惑の種になるかもしれません。

さて /.er の皆さんは公私に渉って web サイトの保守管理をしている人も多いと思いますが、 SSL の CA やその有効期限の設定、証明書の更新のタイミングはどうされているでしょうか?

SSL 証明書の運用管理に関してこれまでに遭遇したトラブル等、面白い(?)体験談があれば是非お聞かせください。"

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 有効期限 (スコア:4, 参考になる)

    by Anonymous Coward on 2006年10月21日 12時25分 (#1041889)
    > 公式CAを通した証明書は、コストもかかりますから無駄に更新するのも馬鹿げていますが、スケジュールを詰め過ぎてしまうと、今回のように有効期限切れの期間が生ずる可能性があるかもしれません。

    ドメインと一緒で「今の残り期限+1年」のような形で有効期限が追加されますが? 早めに更新するのを妨げる理由は何もありません。
    最近のタレコミひどすぎるんですが、ちょっとやそっとデタラメが書かれてた方が突っ込みのコメントで盛り上がるから編集者はスルーしてそのまま掲載する方針にでもなったんですかね。
    編集者が無能なだけだとは思いますが。

    スルーちからが足りないのでAC
    • Re:有効期限 (スコア:5, 興味深い)

      by TonboDama (31248) on 2006年10月21日 12時42分 (#1041905)
      > ドメインと一緒で「今の残り期限+1年」のような形で有効期限が追加されますが? 早めに更新するのを妨げる理由は何もありません。

      そこは実運用したことない人がタレコミしているのでしょうかね。私も自分の担当システムで買うまで知りませんでした。
      それより、タレコミ人の「有効期限切れになったからと言って、即 SSL の安全性が大きく揺らぐわけではありません。」という部分が問題かと思います(もしかしたら釣りで書いているのかな)。

      タレコミ文の「SSL 証明書の運用管理どうしてますか?」に沿った話をすると証明書をかった時点で次回のお金の手当が必要になるので即来年の予算管理簿に載せるので忘れにくいです。
      正直SSLの有効期限の為に管理しているのではなくお金の為ですね;-(

      親コメント
    • Re:有効期限 (スコア:4, 興味深い)

      by kawaz (15398) on 2006年10月21日 14時11分 (#1041947) ホームページ
      >ドメインと一緒で「今の残り期限+1年」のような形で有効期限が追加されますが? 早めに更新するのを妨げる理由は何もありません。

      有効期限が「残り期限+1年」のようにしてくれるかどうかは利用しているCAに因ります。
      僕自身ではいくつかのCAを利用した経験があるだけですが、更新した瞬間から1年後の証明書を与えられるところは少なくないです。
      特にベリサイン等の非常に高価なところは使ったことはあまりなく、年間数10~100ドル程度のところが多いのでそうなのかもしれませんが、「残り期限+1年」というのが普通、という意見には疑問を持ちます。

      なので自分の少ない経験だけから見た「普通」を根拠に編集者の無能を語るのは、如何なもんかと感じました。

      #ここで、料金+更新時の有効期限の扱いを比較したサイトとか示せれば素敵なんだが生憎すぐには思いつかなかった…
      親コメント
      • Re:有効期限 (スコア:4, 参考になる)

        by kawaz (15398) on 2006年10月21日 14時22分 (#1041955) ホームページ
        補足すると証明書の有効期限の扱いは僕の経験したことがあるのは以下の3通りくらいなのかな?

        ・更新後の期限を、残り期限+1年にしてくれる。(これがCAと利用者ともに一番無駄が無い)
        ・更新後の期限は、更新のタイミングから+1年。(これは余裕を持って運用するほど利用者が損をする)
        ・1年で取得すると更新時のダブりを考慮して初めから13ヶ月分の期限を付けてくれる。(ある意味CAが損を被ってくれる形でこれもなかなか好印象)

        ってとこですかね。(他のパターンもあるかもしれません)
        親コメント
        • Re:有効期限 (スコア:2, 参考になる)

          by Anonymous Coward on 2006年10月21日 18時22分 (#1042034)
          Verisignなんですが前回更新したときは13ヶ月付けてくれました。
          ただこの運用にも問題があって、期限切れ一ヶ月前から受付で
          13ヶ月を足すと更新日がどんどん後ろにずれ込んで行きます。

          前回は、3月初めだったので、今度更新するのは3月末になって
          しまいます。
          独法で4月はじめに予算を使えないので、次々回は更新に
          問題が出そうです。
          親コメント
      • Re:有効期限 (スコア:4, 参考になる)

        by Anonymous Coward on 2006年10月21日 15時41分 (#1041979)
        客先関連サーバー:Verisign
        自社サーバー:Comodo
        自社サーバー:GeoTrust
        自宅サーバー:FreeSSL(現RapidSSL)
        を使った事がありますが、どこも残り期限+1年~
        にしてくれたかと。

        逆に「残り期限+1年」にしてくれないCAって
        どこなんでしょうか?
        親コメント
      • Re:有効期限 (スコア:1, すばらしい洞察)

        by Anonymous Coward on 2006年10月21日 14時49分 (#1041963)
        > #ここで、料金+更新時の有効期限の扱いを比較したサイトとか示せれば素敵なんだが生憎すぐには思いつかなかった…

        比較したサイトもいいですが、実際にあなたが利用したCAへのリンクを紹介するだけで十分意味があるのではないですか?
        親コメント
  • by Phalacrocoracidae (29780) on 2006年10月21日 10時19分 (#1041804)
    certwatch(1) か、Nagiosでcheck_http --ssl --certificate xx。これ基本。
    --
    しないさせない!スルー力
    • by nobita2040 (5624) on 2006年10月22日 2時15分 (#1042162)
      「基本」ならやっぱりopensslでしょ

      echo "" | openssl s_client -connect ホスト名:443 | openssl x509 -enddate -noout | sed 's/notAfter\=//'

      みたいにしたら割と簡単に期限のみのチェックできます。
      うちでは上とdateコマンド駆使してタイムリミット日数
      監視してます。
      でもそろそろhobbitに乗り換えようかな?
      BBの時と比べるとアホみたいに有効期限監視が簡単にできます。
      bb-hostsの第2フィールドに
      # https://www.****.jp
      するだけで完了

      親コメント
    • by Ryo.F (3896) on 2006年10月21日 11時28分 (#1041852) 日記
      スケジュール管理ソフトにお世話になるって手もありますわな。
      ハードウェア障害なんかと違って、いつ期限切れになるかはわかってるんだし。
      親コメント
      • 前任の担当者がいなくなったものを引き継ぎ。
        一括申請してたもんだから10サイトくらい同時に切れる直前に遭遇。
        大慌てでGeoTrustの担当にメール直撃した記憶があります。

        証明書関連はドキュメント残しておいて欲しいです。orz
        --
        ... from rakehelly programmer.
        親コメント
  • cacert (スコア:2, 参考になる)

    by nox_dot (11614) on 2006年10月21日 14時11分 (#1041948) 日記
    以前にも書き込みましたが、集団オレオレroot証明の
    http://www.cacert.org/ [cacert.org]
    もありますよ。
    集団になるメリットもデメリットもありますので、皆さんにお勧めというわけではありませんが、面白い試みだと思います。
    • by nox_dot (11614) on 2006年10月21日 19時47分 (#1042080) 日記
      日本語が難しかったようなので補足。
      CACertを皆さんにお勧めしているわけではありません。
      オレオレ証明で遊んでいる人には、良いおもちゃがあるよ、と紹介してみたのです。
      「証明書の運用管理」とはオフトピだったかもしれませんね。すみませんでした。
      親コメント
  • by takano32 (17535) on 2006年10月21日 15時59分 (#1041986) ホームページ 日記
    > 経路の暗号化のみを行いたい場合、独自CAによる証明書を使うことも少なくない

    というタレコミの文を見ていると 独自CA = 信頼できない という図式が脳内に成り立っているように思えます.

    独自CAにしろそうでないにしろ,重要なのはフィンガープリントですよね.
    --
    旅に出ます.(バグを)探さないで下さい.
  • by Anonymous Coward on 2006年10月21日 19時51分 (#1042083)
    タレこんでもたぶん採用されないので、ここに書いとく。

    ウイルスバスターでお馴染みのセキュリティ会社大手トレンドマイクロ [trendmicro.co.jp]は、ネットワーク層での動的なスパムメール防御を実現するサービス「Trend Micro Network Reputation Services [trendmicro.com]において、この10月から新しく管理用Webポータルをスタート [trendmicro.com]させた。これによると、ログイン画面は https://nrs.nssg.trendmicro.com/ [trendmicro.com] とされているのだが、これをクリックしてみると、オレオレ証明書の警告が現れ、正常にアクセスできない状態だ。使われている証明書の内容は以下の通り。

    サブジェクト:
    E = postmaster@mail-abuse.net
    CN = nrs.nssg.trendmicro.com
    OU = Base
    O = TrendMicro
    L = SanJose
    S = California
    C = US
    発行者:
    E = postmaster@mail-abuse.net
    CN = nrs.nssg.trendmicro.com
    OU = Base
    O = TrendMicro
    L = SanJose
    S = California
    C = US
    有効期限の開始: 2006年9月2日 4:49:00
    有効期限の終了: 2007年10月7日 4:49:00
    典型的な自己署名証明書だ。こんな素人同然の会社に私たちや社会の安全を任せられるのか、その対応が問われそうだ。
  • ルートも (スコア:1, 興味深い)

    by Anonymous Coward on 2006年10月21日 10時38分 (#1041817)
    ブラウザに入っているルート証明書もいつかは期限切れになるのですよね。
    使えるルート証明書がなくなるまえにブラウザ更新しないとね。
  • by Kazsa (25846) on 2006年10月21日 15時28分 (#1041975) 日記
    証明書の有効期限が切れる前にCAから通知が来るので、忘れようがありません。
    そういった点も考慮してCAを選ぶ方が後のためですよね。
  • 「livedoor wiki にログインしようとして気付いたのですが本日 10/20 の 9 時をもって SSL 証明書の有効期限が切れになってしまったらしく」という部分が書きたい部分だったんではないかと・・・

    SSLの証明書は、90日前から更新を受け付けてくれるCAだってあるし、ぎりぎりまで更新しないことはないですね~(お客さんの環境を含め20コくらい毎年更新してるけど)。

    もし、ぎりぎりまで更新しないとしたら・・・
    「お財布事情が厳しいから、支払いをぎりぎりまで延ばしたい」という大人の事情とか「忘れ去られたSSL(要は誰もアクセスしていない)で必要性も低い」場合ですかね。

    いずれの場合でも、期日前までには更新 or サイトの破棄 を決定しますね。
typodupeerror

私は悩みをリストアップし始めたが、そのあまりの長さにいやけがさし、何も考えないことにした。-- Robert C. Pike

読み込み中...