certbotでtls-sni-01のサポートが終了するので、証明書の更新方法の確認方法を紹介する
無料のSSL証明書として名高いcertbot(旧 let's encrypt)ですが、証明書の更新方法として tls-sni-01
のサポートを終了するようですね。
なにか対応するつもりだったのらしいですが、諦めたみたいな話らしいです。
上記が脆弱性に対するアナウンスです。どうやら 2019/3/13 までなのでみなさん気をつけてくださいね。(このブログ記事の執筆時の6日後ですけどね!!!)
上記への対応としては、 インストールしてるcertbotをupdateすれば良いみたいです。
$ yum update certbot
とかで更新してしまえばOKです。
他の方法でインストールした人も apt-get
なり yum
なりでインストールしなおしてupdateするのが一番簡単だと思います。
ちゃんと証明書更新方法が変わっているかどうかを確認するにはどうするか
証明書更新する時のコマンドの出力でわかるようになっています。
$ certbot renew Saving debug log to `ログファイル` - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Processing `コンフィグファイル` - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Plugins selected: Authenticator standalone, Installer None Starting new HTTPS connection (1): acme-v02.api.letsencrypt.org Renewing an existing certificate Performing the following challenges: http-01 challenge for `ドメイン名` ... ... ... ...
となりますが、下記の記載を注目してください。
http-01 challenge for `ドメイン名`
ここが更新方法の記載のようなので、 tls-sni-01になってなかったらOKのようです。
certbotもどんどん便利になってきていますね。httpsはもはやサイト公開時は必須といわれているくらいなので、こんな認証機関があるのは非常に助かります。