サーバー証明書には有効期限があるため、期限が切れる前に更新を行わなければならない。JPRSのサーバー証明書は有効期限の2カ月前の1日から更新できる。
新しく発行される証明書は発行後すぐに利用できるが、有効期限自体は古い証明書の有効期限後からカウントされるので早く更新しても無駄になることはない。
更新の際には秘密鍵、CSRの再作成から行う。サーバによっては同じ秘密鍵・CSRを使い回すことができるものもあるが、セキュリティの観点からも秘密鍵・CSRは使い回さないことが望ましい。
また、更新したサーバー証明書、秘密鍵は既存のものを上書きすればサーバの設定(ssl.confなど)を変更することなく差し替えられる。ただし、秘密鍵の上書きには注意が必要だ。
秘密鍵は証明書を購入する前に作成するが、その時点で差し替えてしまうとサーバー証明書との整合が取れなくなってしまう。秘密鍵は現行とは異なるファイル名で作成しておき、サーバー証明書取得後に同時に差し替えるようにしよう。なお、中間CA証明書は有効期限を長く取っているため、差し替えは必要ない場合が多い。
なお、サーバー証明書と秘密鍵の整合性は以下の方法で確認できる。以下の2つのコマンドの結果が同じなら正しい組み合わせだ。
# openssl x509 -noout -modulus -in <サーバー証明書ファイルパス> | openssl md5 # openssl rsa -noout -modulus -in <秘密鍵ファイルパス> | openssl md5
「HTTPSでなければ安全ではない」という現在の流れは今後も加速していくことだろう。だが、「HTTPSであれば安全」かと言えばそうではない。
むしろ、その性質上、脆弱性に対して非常に敏感な領域でもある。使用する暗号スイート、プロトコル、さらには認証局による発行プロセスまで多くの指摘がなされてきた。その中でも、Googleがサーバー証明書の最大手の発行した証明書を信用しない、という措置はかなりインパクトの大きい事件だった。「信頼できる認証局を選ぶ」ことの重要性を改めて思い知らされたとともに、その難しさを突きつける結果ともなってしまった。
JPRSがサーバー証明書事業に参入したのは2016年からだが、同社はドメイン管理という高いセキュリティレベルを必要とする事業を行いながらも、2000年の設立以来、無事故を継続している。その信頼性の高さは実証済みだ。
その上、価格も非常に安価であり、今はJPRSを選ばない理由を見つけることの方が難しいといっても過言ではない。常時SSL化(常時HTTPS化)にはJPRSのサーバー証明書をお薦めしたい。
JPRSのサーバー証明書の詳細や取扱事業者は「https://jprsサーバー証明書.jp」で紹介されている。
Copyright © ITmedia, Inc. All Rights Reserved.
提供:株式会社日本レジストリサービス
アイティメディア営業企画/制作:ITmedia PC USER 編集部/掲載内容有効期限:2018年8月2日