30分で理解するLet's Encryptの仕組みとSSL証明書の使い方
8 likes6,624 views
2018年3月3日(土)に行われた「レッツ!Web制作者が知っておきたいSSL/TLSのこと@福岡」での発表資料です。
![私について
3
どんな人?
・フリーランスエンジニア
・さくらインターネット コミュニティマネージャー
- 会社主催イベントの運営
- 社外イベント対応(協賛/出展/登壇/取材など)
- [New!] さくらのナレッジ 編集長
・日本UNIXユーザ会 幹事 (元会長)
- さまざまなコミュニティと共同でイベントを開催
・くわしくは「法林浩之」で検索
写真
@hourin法林 浩之](https://image.slidesharecdn.com/20180303sslfukuoka-180305003312/85/30-Let-s-Encrypt-SSL-3-320.jpg)
![HTTPによる通信内容の解析
15
HTTPのPOSTメソッドで送付されるデータを
tcpdumpコマンドで収集
http://memo-off.blogspot.jp/2016/02/tcpdumphttp.html
https://qiita.com/genreh/items/cc73ade2c115ee96b22a
tcpdump 'tcp dst port 80 and
(tcp[((tcp[12:1] & 0xf0) >> 2):4] =
0x504f5354)' -w post.dat](https://image.slidesharecdn.com/20180303sslfukuoka-180305003312/85/30-Let-s-Encrypt-SSL-15-320.jpg)
30分で理解するLet's Encryptの仕組みとSSL証明書の使い方
- 1. 30分で理解するLet's Encryptの 仕組みとSSL証明書の使い方 2018/3/3 (C) Copyright 1996-2017 SAKURA Internet Inc さくらインターネット株式会社 コミュニティマネージャー 法林 浩之
- 2. はじめに 本日の資料はこちらで公開します https://www.slideshare.net/hourin/ もしくは 「slideshare 法林」で検索 2
- 3. 私について 3 どんな人? ・フリーランスエンジニア ・さくらインターネット コミュニティマネージャー - 会社主催イベントの運営 - 社外イベント対応(協賛/出展/登壇/取材など) - [New!] さくらのナレッジ 編集長 ・日本UNIXユーザ会 幹事 (元会長) - さまざまなコミュニティと共同でイベントを開催 ・くわしくは「法林浩之」で検索 写真 @hourin法林 浩之
- 5. 5 大阪本社(梅田/大阪) 東京支社(西新宿) さくらインターネットについて 商号 さくらインターネット株式会社(SAKURA Internet Inc.) 代表取締役 田中 邦裕 設立 1999年8月17日(サービス開始:1996年12月23日) 資本金 22億5,692万円 事業内容 インターネットでのサーバの設置およびその管理業務 電気通信事業法に基づく電気通信事業 マルチメディアの企画並びに製作・販売 従業員数 495名(連結/2017年3月末) 所属団体 特定非営利活動法人 日本データセンター協会(JDCC) 社団法人 コンピュータソフトウェア協会(CSAJ) 社団法人 日本ネットワークインフォメーションセンター(JPNIC) 社団法人 インターネットプロバイダー協会(JAIPA) グループ 会社 株式会社Joe’sクラウドコンピューティング ゲヒルン株式会社 株式会社S2i アイティーエム株式会社 櫻花移動電信有限公司 ビットスター株式会社 福岡オフィス(赤坂)
- 6. さくらインターネットの事業領域 6 VPS・クラウド データセンター 新サービスレンタルサーバ さくらのレンタルサーバ さくらのマネージドサーバ 1台を共有 1台を占有 1台のサーバを複数の契約者で サーバを共有または占有するこ とができ、管理はさくらインター ネットに任せて使うサービス 仮想化技術を用い、1 台の物理サーバ上に 複数の仮想サーバを 構築し、仮想専用サー バとして分けた領域の 占有サービス 高性能サーバと拡張 性の高いネットワーク を圧倒的なコストパ フォーマンスで利用で きるIaaS型パブリック・ クラウド・サービス 高性能で拡張性と信頼性の高 いサーバをまるごと独占して利 用することができ、自由にカスタ マイズして利用可能なサービス 1台~複数台 ハウジング リモートハウジング データセンター内にお客様専用 のハウジングスペースを確保し、 ネットワーク機器やサーバなど の機材を自由に置けるサービ ス 通信環境とデータの保存や処理システムを 一体型で提供するIoTプラットフォーム・サー ビス Dockerコンテナをマネージドされた環境へ、 手軽・シンプルにプロビジョニング可能な サービス さくらの VPS 機械学習、データ解析、高精度シミュレー ション用途に特化したGPU搭載の専用サー バサービス 専用サーバ 【サービスの主な利用用途】 ウェブサイト運営、ブログ、インターネット・メール ネットビジネス、電子商取引、動画・音楽配信、開発環境 会員制サイト、キャンペーン・サイト SNS、ウェブ・アプリケーション、SaaS、ASP エンタープライズ 新しい社会のインフラを支えながら、最先端のサービスを構築
- 15. HTTPによる通信内容の解析 15 HTTPのPOSTメソッドで送付されるデータを tcpdumpコマンドで収集 http://memo-off.blogspot.jp/2016/02/tcpdumphttp.html https://qiita.com/genreh/items/cc73ade2c115ee96b22a tcpdump 'tcp dst port 80 and (tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x504f5354)' -w post.dat
- 20. HTTPとHTTPS •HTTP • Hypertext Transfer Protocol • RFC 7230 などで策定 •HTTPS • Hypertext Transfer Protocol Secure • SSL/TLSで提供されるセキュアな接続上で のHTTP • RFC 2818などで策定 20
- 21. SSLとTLS • SSL • Secure Sockets Layer • ユーザとWebサイトの通信を暗号化する仕組み • 脆弱性があるため使わない方がよい • TLS • Transport Layer Security • SSLの後継プロトコル • 現在は主にこちらが使われている • SSLという単語が有名になってしまったので、今で もこれらを総称してSSLと呼ばれる 21
- 22. HTTPSによる通信の仕組み 22 ブラウザ:SSL通信をリクエスト サーバ:サーバ証明書と公開鍵を送付 ブラウザ:受け取った証明書の公開鍵を 使って共通鍵を暗号化し、サーバに送付 サーバ:受け取った共通鍵を、秘密鍵を 使って復号 ブラウザ/サーバ:一致した共通鍵を使っ て送受信するデータを暗号/復号して暗 号化通信を成立 詳しくは「さくらのSSLコラム」を参照 https://ssl.sakura.ad.jp/column/ssl/
- 23. CA(認証局) • CA(認証局) • Certificate Authority • SSL証明書を発行する 組織 • CAの役割 • 対サーバ:SSL証明書 の申請/発行 • 対クライアント:SSL証明 書の有効/無効の確認 23 CA サーバ証明書 の申請/発行 サーバ証明書 の有効/無効 の確認 SSLによる 暗号化通信 サーバクライアント
- 26. SSL証明書の問題点 • 証明書の発行が有償で、しかも高い • 年額数万円とか • しかも毎年更新が必要 • 特に財政基盤のない非営利組織にはつらい • よって証明書の導入が進まない • 証明書の更新が自動化されていない • 証明書には有効期限がある • 手動で更新するのは面倒 • 更新を忘れて期限切れになることも 26
- 27. そこでLet’s Encrypt 27 無料で証明書を発行する認証局 証明書の自動更新に対応 https://letsencrypt.org/ (公式サイト) https://letsencrypt.jp/ (非公式日本語サイト)
- 29. Let’s Encryptの設定(概略) • サーバをDNSに登録 • Certbotクライアントをサーバにインストール • 大半のUNIX系OSはパッケージ管理ツールでインストール可能 • 詳細:https://letsencrypt.jp/usage/install-certbot.html • certbotコマンドにて証明書の取得を実行 • メールアドレス、ドメイン名などを指定 • 正常終了すると証明書がサーバに設置される • 参考:ネコでもわかる!さくらのVPS講座 ~第六回「無料SSL証明書 Let’s Encryptを導入しよう」 • https://knowledge.sakura.ad.jp/10534/ 29
- 30. Let’s Encryptの自動更新設定 • Let’s Encryptが発行する証明書の有効期間は90日 • 最低3か月に1回は更新の必要あり • certbotコマンドで証明書の有効期限チェックや更新が 可能 • 残り有効期間が30日未満だったら証明書を更新 • certbotコマンドを定期実行するようにcronで設定して おけばずっと自動更新される 30
- 31. Let’s Encryptの開発 • ISRG (Internet Security Research Group) が運営 • 無料SSL証明書のため証明書発行による収入なし • 多数のスポンサーが支援 • https://letsencrypt.org/sponsors/ • さくらインターネットもスポンサーに • 個人でも寄付ができる • https://letsencrypt.org/donate/ 31
- 33. さくらのサーバでLet’s Encrypt 33 VPS・クラウド データセンター 新サービスレンタルサーバ さくらのレンタルサーバ さくらのマネージドサーバ 1台を共有 1台を占有 1台のサーバを複数の契約者で サーバを共有または占有するこ とができ、管理はさくらインター ネットに任せて使うサービス 仮想化技術を用い、1 台の物理サーバ上に 複数の仮想サーバを 構築し、仮想専用サー バとして分けた領域の 占有サービス 高性能サーバと拡張 性の高いネットワーク を圧倒的なコストパ フォーマンスで利用で きるIaaS型パブリック・ クラウド・サービス 高性能で拡張性と信頼性の高 いサーバをまるごと独占して利 用することができ、自由にカスタ マイズして利用可能なサービス 1台~複数台 ハウジング リモートハウジング データセンター内にお客様専用 のハウジングスペースを確保し、 ネットワーク機器やサーバなど の機材を自由に置けるサービ ス 通信環境とデータの保存や処理システムを 一体型で提供するIoTプラットフォーム・サー ビス Dockerコンテナをマネージドされた環境へ、 手軽・シンプルにプロビジョニング可能な サービス さくらの VPS 機械学習、データ解析、高精度シミュレー ション用途に特化したGPU搭載の専用サー バサービス 専用サーバ 【サービスの主な利用用途】 ウェブサイト運営、ブログ、インターネット・メール ネットビジネス、電子商取引、動画・音楽配信、開発環境 会員制サイト、キャンペーン・サイト SNS、ウェブ・アプリケーション、SaaS、ASP エンタープライズ さくらのレンタルサーバ、さくらのVPS、さくらのクラウドで Let’s Encryptを簡単に利用できる
- 35. さくらのレンタルサーバでの作業手順 35 • さくらのレンタルサーバを契約 • ドメインを用意 • さくらのレンタルサーバのコントロールパネル で設定 • 全体で数時間もあれば自動更新も含めて設 定完了
- 43. スタートアップスクリプトとは 43 • サーバ作成時にシェルスクリプトを実行する機能 • 用途例 • アプリケーションがインストール済みのサーバを作る • サーバ内の各種設定を自動的に行う • 多数のユーザを登録したサーバを作る • さくらインターネットでスクリプトを多数公開 • 自分でスクリプトを作成して使うことも可能 • 詳細 • VPS:https://vps-news.sakura.ad.jp/startupscripts/ • クラウド:https://manual.sakura.ad.jp/cloud/startup-script/
- 44. さくらのVPSにおける利用方法 44 • さくらのVPSのサーバを契約 • さくらのVPSのコントロールパネルにログイン • サーバを指定しメニューから「OSインストール」を選択
- 45. さくらのVPSにおける利用方法 45 • インストールするOSは CentOS 7を選択 • スタートアップスクリプトと してCentOS_LetsEncrypt を選択し、ドメイン名とメー ルアドレスを設定 • 実行するとCentOS 7上に nginxとLet’s Encryptが設 定されたサーバが作られ る(証明書の自動更新も設 定済み)
- 52. 証明書には認証レベルがある • ドメイン認証(DV)(認証レベル1) • ドメイン名の所有権のみを確認 • 企業認証(OV)(認証レベル2) • ドメインに加えWebサイトを運営する組織の実 在性を確認 • EV認証(認証レベル3) • 法的・物理的に組織の実在性を確認 • 証明書自体の暗号強度は同じ 52
- 53. 有料の証明書が必要なケース • Let’s Encryptはドメイン認証 • より高い認証レベルを得たい場合は有料の証 明書が必要 • Let’s Encryptはワイルドカード証明書には 未対応(対応予定あり) • ワイルドカード証明書:サブドメインを含めた 証明書 • ワイルドカード証明書が欲しい場合も有料の 証明書が必要 53
- 55. 55 まとめ
- 56. どんな話をするのか •HTTPによる通信の仕組み •HTTPSによる通信の仕組み •Let’s Encryptについて •さくらのサーバでLet’s Encrypt •有料の証明書が必要なケース 56
- 57. 57 参考情報
- 58. さくらのSSLコラム 58 基本の理解から最新情報まで、 初心者にも上級者にも役立つコラムを掲載 https://ssl.sakura.ad.jp/column/
- 59. 全国でさくらのイベントを! • さくらのイベントを全国で開催したい! • さくらの各種サービスのハンズオン • sakura.io / さくらのクラウド など • さくらの夕べ / さくらクラブ など… • 協力者求む! • 会場の提供 • 参加者集め • 各種コミュニティとの共催も可 • 連絡先:sakura-club@sakura.ad.jp 59
- 60. 60 そこに、さくら