Let’s Encrypt の TLS-SNI-01 validation の無効化への対応備忘録

Photo by hyt.

Let’s Encrypt の TLS-SNI-01 validation の無効化への対応備忘録です.

本 blog の証明書は Let’s Encrypt のものです.

Let's Encrypt でこのサーバーを SSL 対応にした備忘録...

で,本日,その Let’s Encrypt より,

Hello,

**Action is required to prevent your Let’s Encrypt certificate renewals from breaking.**

Your Let’s Encrypt client used ACME TLS-SNI-01 domain validation to issue a certificate in the past 60 days.

TLS-SNI-01 validation is reaching end-of-life and will stop working on **February 13th, 2019.**

You need to update your ACME client to use an alternative validation method (HTTP-01, DNS-01 or TLS-ALPN-01) before this date or your certificate renewals will break and existing certificates will start to expire.

If you need help updating your ACME client, please open a new topic in the Help category of the Let’s Encrypt community forum:

https://community.letsencrypt.org/c/help

Please answer all of the questions in the topic template so we can help you.

For more information about the TLS-SNI-01 end-of-life please see our API announcement:

https://community.letsencrypt.org/t/february-13-2019-end-of-life-for-all-tls-sni-01-validation-support/74209

Thank you,
Let’s Encrypt Staff

なるメールが届きました.調べてみると,どうも Let’s Encrypt が利用してきた TLS-SNI-01 なる方式のドメイン認証方法に脆弱性が見付かったため,この方式での証明書の新規取得だけでなく,更新についても2019年2月13日までとすること.そして,HTTP-01, DNS-01, TLS-ALPN-01 のいずれかに対応する ACME クライアントに入れ替える必要があるとのことの様です.

本 blog の場合,ACME クライアントとして,certbot を利用しています.

Let's Encrypt でこのサーバーを SSL 対応にした備忘録...

で,Let’s Encrypt の community forum を見てみると,要するに certbot の version を TLS-ALPN-01 に対応したものにすれば良さそう.と言う事で,

としてみると,python3 等が自動的にインストールされ,http-01 方式が試されたあと,残念ながら,

とのこと.

エラーを見るに,80番で virtualhost を設定せよとのことなので,/etc/httpd/httpd.conf の最後に,

を付け加え,Web Server を再起動してから,もう一度実行してみると,今度は,

と今度は大丈夫そう.

しかし,結構手間が掛かってしまいました.この辺りキチンと理解しながら使ってないってのはやはり少しまずいなぁ……と思ったのですが,まぁ,今回は設定できたっぽいので,しばらくはしのげるかなと思っています.

以上!

スポンサーリンク
large rectangle advertisement
スポンサーリンク
large rectangle advertisement