2018年10月にマネージドのSSL証明書がパブリックベータでリリースされました。
GCPのHTTPロードバランサ用のマネージドSSL証明書がリリースされたので試してみた
先程確認したところ、ロードバランサーのコンソール画面から簡単にマネージドSSL証明設定できるようになっていました。早速、使ってみようと思っているので周辺を整理しました。
そもそもSSLってなに
SSL暗号通信時に使う証明書。SSL暗号通信の目的は以下の2つ。
- 通信の暗号化
- 認証局によるwebサイトの認証
詳しくは: 改めて知ろう、SSLサーバー証明書とは?
SSL? TLS?
調べるとSSL証明書とTLS証明書って呼ぶ人がいることに気づく。
結論どっちも同じものを指している。
元々はSSLが普及したが、2014年に重大な脆弱性が見つかり、SSLを元にしてTLSが開発された。
今は主要ブラウザではSSLは無効化されおりTLSが使われている。
正確にはTLSだが、名残でSSLと呼ばれていることが多い。
参考: TLS について
認証局によるwebサイトの認証には3種類ある
- Domain Validation(DV): Web サイト(サーバー)のドメインについて、確かに使用する権利があることのみを認証したもの
- Organization Validation(OV): DVに加え、運営する組織を認証したもの
- Extended Validation(EV): OVより更に踏み込んで組織の存在を認証するもの
画像&参考: 改めて知ろう、SSLサーバー証明書とは?(第二回)
SSL証明書の発行方法
認証局で発行できる。
詳しくは: SSL証明書の発行方法・手順まとめ(旧来の手作業で発行)
上の方法だと有料だし、手間なのでLet's Enxryptを使った無料のSSL発行がよく行われていた。
詳しくは: Let's Encryptで無料SSL証明書を取得する
ただ、Let's Encryptも2018/10までは90日毎に更新しなければいけなくて面倒だった。
今回のリリースでフルマネージドなSSL管理を無料で行えるようになった。
詳しくは: Working with Google-managed SSL certificates
Let's Encryptってなに?
証明書を発行や更新を自動で無料でできる便利なやつ
詳しくは: Let's Encrypt 総合ポータル
Let's Encryptって安全なの?
運用で無料な分、セキュリティの質は少し落ちる。
Let's EncryptはDVの発行できるが、OVやEVは発行できない。
つまり、接続先サーバーがそのドメイン名に適切に紐づけられていることについては保証するが、証明書の所有者については保証しない。
いろんな議論はされているので目を通して、リスクを考慮して採用すべき。
参考: 上場企業やgo.jpドメインでもLet's Encryptのサーバ証明書の利用が広がる