2015-12-05 (土)
* Let’s Encrypt
Let’s Encrypt( https://letsencrypt.org/ ) がPublic Betaになったので試す.
用意されたコマンドを実行するだけでSSL証明書の発行や更新ができるのとても良い.一部のCAは既にAPIあるけど,今後はACMEプロトコルに統一されてく流れになると良さそう.
自動更新前提とはいえ,いまのところ証明書の寿命が90日なので,ひとまずは毎月更新にしておくかなあ.2か月だと1回失敗したのに気づかないでいると90日超えてしまうので.
いくつか証明書を作った後に,SAN使えることに気づいて作り直したりしてたらrate limitsに達してしまった.
https://community.letsencrypt.org/t/beta-program-announcements/1631
説明を読むと1つのドメインに対して7日間に5個しか作れないらしい.更新もカウントされるっぽいので,ギリギリの運用すると更新できなくなったりして危なそう.
SANは単に -d オプションで複数指定すればよいっぽい.emailオプションで指定したメールアドレスはアカウントに使われるだけで,証明書には含まれないみたい.
v6アドレスしかないホストもダメっぽい気がする.DNSのTXTレコードでやるしかないのかな.