Let’s encryptのドメイン認証の方法をHTTP-01に変更するための準備で試行錯誤した件。

はじめに

Let’s encryptの中の人から「Action required: Let’s Encrypt certificate renewals」というタイトルの以下のようなメールが来ました。

 
…とのことで、本Webサイトで使用していたTLS-SNI-01によるドメイン認証を2019年2月13日でやめるとのことです。

そこでちょいと調べてみたところ、TLS-SNI-01によるドメイン認証には自分が所有していないドメインの証明書を取得できてしまうという脆弱性が発見されていたとのことです。2018年1月にこの脆弱性が発見されて以降、TLS-SNI-01によるドメイン認証での証明書の新規の取得は停止されていたそうです。

スポンサーリンク

それが、この度上記の脆弱性の発見以前にTLS-SNI-01によるドメイン認証での証明書を取得または更新していたサイトについても更新を終了する運びとなったようです。

実は、本Webサイトについては前回の証明書の更新からそれほど日数が経過していませんが、証明書の更新が失敗してしまうと復旧に手間取る可能性が考えられることや、Webサイトが停止してしまったりして精神的に余裕がない中で作業を行うことによる作業ミスなどといった不慮の二次災害の発生も予想されます。

そこで、精神的及び日程的に余裕のあるうちにドメイン認証の方法をHTTP-01に変更するための準備を行うことにしました。

この記事では、ドメイン認証の方法をHTTP-01に変更する準備作業時における試行錯誤について書きます。

なお、この記事はFedora 29上で実行した結果について記述しています。

作業の前に、certbotを更新します。

ITインフラ的なサービスの提供元から前節のようなメールが来た場合には、関連するプログラム群を最新版に更新するのが定石です。

そこでroot権限で以下のコマンドを実行し、certbot等を更新します。

 
更新の結果、バージョンが0.27.1から0.29.1に更新されます。

上記のコマンドのうち、2番目のコマンドによってpython3-acmeパッケージがインストールされます。

また、0.28.0の時点でTLS-SNI-01によるドメイン認証がdeprecatedになるとのことです。

certbotを実行します。

1st try: TLS-ALPN-01に挑戦。

次に、root権限で以下のコマンドを実行します… と言いたいところなのですが、ちょっと寄り道してTLS-ALPN-01が使えないかと思って、以下のように入力して実行してみたのですが、

 
と出力されてしまい、惜しくも実行できませんでした。○|￣|＿

2nd try: HTTP-01でdry run。

よく考えてみると、前節の実行の方法では実際に更新が始まってしまう可能性がありました。

それはそれで予期せぬ結果を招きかねません。

そこで、以下のコマンドを実行し、HTTP-01でドメイン認証ができるかどうか確認してみます。

 
ところが、出力メッセージの途中で…

 
と赤文字で出力されてしまいました。

httpd.confの設定でport 80に対してVirtualHostの設定を追加せねばならないようです。(´・ω・｀)

ここでいったんApache httpdに設定追加です。【-●_●)

そういえば、本Webサイトが稼働しているサーバは複数のドメインを割り当てているのをコロッと忘れていました(なお、実際の出力メッセージにはもう一つのドメインについてのメッセージも出力されているのですが、紙面の関係で省略しています?)ので、前節に示した出力メッセージで指示されたVirtualHostの設定および更新を以下の手順で行います。

1. Fedora 29のApache httpdでは/etc/httpd/conf.dの下に設定ファイルがありますので、そこに以下の設定を追加します。
   

   	NameVirtualHost *:80
   	<VirtualHost *:80>
   	ServerAdmin panda@example.com
   	DocumentRoot /var/www/html
   	ServerName example.com
   	<IfModule mod_rewrite.c>
   	RewriteEngine on
   	# HTTP/1.1 is only available for this site.
   	RewriteCond %{THE_REQUEST} HTTP/(1\.0|0\.[0-9])$
   	RewriteRule ^(.*)$ - [R=403,L]
   	# Redirection to force HTTPS protocol.
   	RewriteCond %{HTTPS} off
   	RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [R,L]
   	</IfModule>
   	</VirtualHost>

   view raw virtualhost-for-letsencrypt.conf hosted with by GitHub

   なお、上記の設定には6-14行目に以下の処理を行う設定を含んでいますが、これらの設定はあってもなくてもこの記事で記述しているHTTP-01によるドメイン認証のdry runは動作するようです。ただし、サーバ共通の設定として以下の設定を行っていた場合でもVirtualHost側には以下の設定は引き継がれませんので、サーバ共通の設定と同じものにしたい場合には当該部分をコピペする必要があります。

   • HTTP接続されたリクエストをHTTPS接続にリダイレクトする設定(詳細はこちら参照)。
   • HTTP 1.1以外のプロトコルでの接続のリクエストがあった場合にはステータスコードとして403を返すための設定(詳細はこちら参照)。
2. root権限で以下のコマンドを実行し、設定の変更を反映させます。
   # systemctl restart httpd

3rd try: HTTP-01で再度dry run。

root権限で再度以下のコマンドを実行します。

 
Dry runは成功したようです。(｀・ω・´)

まとめ

ここまでの作業でLet’s encryptのドメイン認証の方法としてTLS-SNI-01が止まってしまった場合でも、HTTP-01を使ったドメイン認証を行うための準備が整えることが(おそらく)できました。

あとは、本番の作業(2月上旬)を待つのみです。直近の更新は昨年(2018年)の12月上旬に行っているのでちょっと早いのですが、問題発生時の対応のための時間的な余裕が欲しいので、現在使用中の証明書の有効期限まで30日を切ったらできるだけ早めに作業をしようと考えています。

個人的にはTLS-ALPN-01によるドメイン認証に変更したかったのですが、設定作業が大掛かりなものになりそうだったので、今回は断念しました。別の機会に試したいと思います。

この記事は以上ですが、実際に作業した際のメモを続きとしてこちらに書きましたので、ついでにご覧いただけると幸いです。

References / 参考文献

• IMPORTANT: What you need to know about TLS-SNI validation issues
• Deploying Let’s Encrypt certificates using tls-alpn-01 (https)
• Certbot 0.28.0 Release
• VirtualHostを使っていてmod_rewriteの制御が有効にならない件

Related Posts / 関連ページ

【コード例を更新しました。】google-api-python-clientとPython3でちょっと遊んでみる。 python-gistを使ってコマンドライン経由でGistにアクセスしてみる。 WordPress及びMediaWikiがインストールされているものを含むPC群のFedora28を29にアップグレードしてみた。 Let’s encryptのドメイン認証の方法を証明書の更新にあわせてHTTP-01に変更してみた(おまけつき)。