暗号化しましょう：TLS-SNI-01からの移行

• 問題
• シンプルHTTPへの切り替え
• DNS検証への切り替え

Let's Encryptは、Webサイトを保護するための証明書を生成する無料のサービスです。単一ドメインやワイルドカードなど、さまざまなタイプの証明書の生成をサポートしています。さら��、証明書を生成するためにドメインを認証する多くの方法があります。

• http-01 （シンプルHTTP）
• dns-01 （DNS検証）
• tls-sni-01（自己署名証明書を使用した検証- 現在は非推奨）

問題

残念ながら、脆弱性が2018年1月に発見され、事前の認証/承認なしでドメインの証明書を生成することが可能になりました。たとえば、実際には所有していないドメインの証明書が生成される可能性があります。

その直後、プロトコル（tls-sni-01）は廃止され、ほとんどの新しい発行（新しい証明書）は、プロトコルを使用した認証をブロックされました。

シンプルHTTPへの切り替え

http-01「シンプルHTTP」認証への切り替えは、かなり簡単です。を使用certbot-autoして証明書を生成している場合、Let's Encryptはすでに新しい証明書を生成しているか、次の「更新」時に自動的に生成します。

を使用している場合はcertbot、次の--preferred-challengeパラメータを使用する必要があります。

certbot (...) --prefered-challenge

これは、Let's Encryptにに切り替えるよう指示しhttp-01ます。

DNS検証への切り替え

この面倒な作業をすべて避けたい場合は、Let's EncryptのDNS検証を構成するのは比較的簡単です。を実行するときに、パラメーターとしてcertbot追加--preferred-challenges dnsします。

certbot -d example.com --manual --preferred-challenges dns

certbot 次のようなものが表示されます。

Please deploy a DNS TXT record under the name
_acme-challenge.example.com with the following value:

(random_string)

Once this is deployed,
Press ENTER to continue

DNSプロバイダーでレコードを追加したら、を押しますENTER。次に、証明書を自動的に更新するCRONジョブを設定する必要があります。DNS検証が使用されているのでhttp-01、（ポート80からポート443）の場合のようにリダイレクトを心配する必要はありません。