方法Let's Encrypt プロジェクトが一般公開され、誰でも無料の TLS 証明書を取得し、簡単な手順で HTTPS ウェブサイトを設定できるようになりました。
これは、世界中のウェブトラフィックを暗号化し、人々の情報やブラウザ履歴を盗聴者やその他の悪意ある者の手に渡らないようにするための大きな前進です。
この証明書発行サービスは、カリフォルニアに拠点を置くインターネットセキュリティ研究グループ(ISRG)によって運営されており、選ばれたボランティアグループによる試験運用を経て、現在パブリックベータ版が提供されています。パブリックベータ版は本日18:00 GMT(10:00 PT)に公開されました。
その証明書はすべての主要なブラウザで信頼されており、Google Chrome、Mozilla Firefox、Microsoft の Internet Explorer は、新興の証明機関からの新しい証明書を使用して当社のオフィスで動作しました。
信じられないほど、使い方は簡単すぎるくらいです。オープンソースのクライアントをWebサーバーにダウンロードし、コマンド1つで証明書の要求とインストール、そして証明書を使用するためのシステム設定まで完了します。たったこれだけです。
このささやかなハックが、Apache を搭載した個人用 Web アプリケーション開発マシンで実行された結果は次のとおりです (そう、昔ながらのやり方です)。
cd ~/src git クローン https://github.com/letsencrypt/letsencrypt.git cd letsencrypt ./letsencrypt-auto --apache -d your.domain.here
次に、sudoパスワードの入力を求められます。次に、クライアントは依存関係をインストールし、問題が発生した場合に連絡が取れるようメールアドレスの入力を求められます。また、利用規約への同意も求められます。次に、すべてのトラフィックをHTTPS経由に強制するかどうかを尋ねられます。もちろん、はい、です。
そして、バン!完了です。SHA-256署名がインストールされ、サーバーがそれを使用するように設定された2048ビットRSA TLS 1.2証明書が作成されます。この証明書はQualys SSL LabsからA評価を取得しました。
重要なのは、このプロセスは完全に自動化できることです。メールアドレスと細則への同意は、コマンドラインで--emailと を使って設定できます--agree-tos。証明書は90日ごとに更新する必要があるため、これは特に重要です。そのため、更新は自動的に行うのが最善でしょう。
完全なドキュメントはこちら、クイックスタートガイドはこちらです。プロジェクトのルート証明書と中間証明書はこちらにあります。中間証明書はIdenTrustによって相互署名されています。
Let's Encrypt は、Mozilla、Akamai、Cisco、スタンフォード大学ロースクール、CoreOS、EFF などの関係者によって監督され、さまざまなインターネット組織によって後援されています。
「Webはセキュリティとプライバシーの面で大きな前進を遂げるべき時が来ました。HTTPSがデフォルトになることを望んでいます。Let's Encryptは、証明書の取得と管理を可能な限り容易にすることで、それを実現するために開発されました」と、チームは本日のブログ投稿で述べています。このサービスにセキュリティホールを発見した人には、報奨金が支払われます。
ベータ版というレッテルを完全に撤廃するまでには、特にクライアントエクスペリエンスに関して、まだ取り組むべき課題が残っています。自動化は私たちの戦略の要であり、クライアントが幅広いプラットフォームでスムーズかつ確実に動作することを保証する必要があります。ユーザーからのフィードバックを注意深くモニタリングし、可能な限り迅速に改善を進めていきます。
Let's Encryptのクライアントソフトウェアは11月初旬に登場し、9月に最初の証明書に署名しました。それ以来、チームはシステムのバグ修正に取り組んでおり、公開前に少なくとも1つの深刻な欠陥を発見することに成功しました。
SSL証明書は通常有料ですが、一部の機関では無料で提供しているところもあります。しかし、私たちの知る限り、Let's Encryptの無料サービスほど簡単なものはありません。®
