Secure Sockets Layer

【解決】SSLサーバ証明書の他社切り替えで待てども認証ファイルのアップロードから進まず困った時

投稿日: カテゴリー: セキュリティ
Pocket

証明書の更新が提供側の都合でできなくて困った

HTTPSサイトとして公開することは、通信の暗号化だけでなくそのサイトが第三者観点でホンモノであること証明する真正性の観点で重要です。
ラピッドSSLを利用おり更新の時期で手続きをしようとしたところ、デジサート社にて認証システムの障害によりSSL証明書の認証が完了しない問題が発生したとのことで少し待つことにしました。
しかし、待てども障害の状態ままで、16日に「19日まで更新できない」と掲載されていたため他社に切り替えることにしました。
サイト上の「申し込み」のボタン自体は赤く、アクティブに見えますがその先の画面で選択できなくなっています。

2020年10月16日
15時35分 : 問題が解消しないため、10/19まで引き続き販売を停止いたします。
月曜以降の予定については、確認出来次第こちらでお知らせいたします。

切り替え先ですが、個人ブログのため「SSL JPRS ドメイン認証型(1年)」にすることにしました。

ドメイン認証ってセキュリティ上よくないのでは?

確かにドメイン認証証明書は「通信経路」の安全性を担保するのが目的であり、「運営者」の正当性を担保するものではありません。
実際、Let’s Encryptがフィッシングサイトなどに利用されても証明書を失効しないなどhttpsであるから「運営者」の正当性、真正性は担保されないというのは現実的な指摘です。
しかし、企業認証やEV認証は個人が取得することはできません。つまり、個人の場合はドメイン認証一度です。※個人事業主は組織として申請可能です。
OV、企業認証は申請した企業が登記簿に記載があるかを確認したうえで、その登記簿に記載されている代表電話に連絡し、申請責任者に申請の意志を確かめます。(転送はありです。)
OVもコストはかかりますがフィッシングサイトを作る有効な手段はあると言えます。真正性まで担保したいならEV認証まで取得する必要があると言えます。
高額なEV認証に対しLet’s Encryptなどで無料でhttps化できるため、森永乳業がドメイン認証であるのをはじめ多くの企業で利用されている現状があります。

Let’s Encryptは、非営利団体のISRG (Internet Security Research Group) が運営する認証局で、約2億サイトで利用されています。
スポンサー企業も電子フロンティア財団 (EFF)、Mozilla Foundation、アカマイ・テクノロジーズ、シスコシステムズなど有名企業が名を連ねています。

SSLサーバ証明書のざっくりの流れ

STEP1 《料金のお支払い》

メールを待つ(クレジットカード払いなら割とすぐ)

STEP2 《認証ファイルのアップロード》

メールが届くと会員メニューにログイン後のページの左ペインの契約サービス一覧「SSL JPRS ドメイン認証型(1年)」が追加されます。
「手続き」の列の「サーバ証明書」ボタンを押下します。
「手続き」の列の「認証ファイルDL」40文字の16進数.txtがダウンロードされます。
Webサイト/データ>ファイルマネージャで「申請したFQDN/.well-known/pki-validation/」にアップロードします。
メールを待つ←今回はここから進まない場合の解決方法

STEP3 《SSLサーバ証明書のインストール》

ドメイン認証型(DV)の中間CA証明書 中間CA証明書(DV)のダウンロード PEM形式 をクリックしてその内容をサーバに設定
さくらインターネット「会員メニュートップ > 契約情報 > 契約サービス一覧-表示」画面の「SSL JPRS ドメイン認証型(1年)」手続き「サーバ証明書」をダウンロードして設定し、https://ドメインでアクセスし、鍵マークにバツが消えればきちんと設定されています。

待てども証明書が発行されないそんな時は.htaccessファイルを見直してみましょう。

まず、申請ドメイン/.well-known/pki-validation/にアクセスしてみましょう。ここで見えない場合.htaccessファイルの設定で弾いている可能性があります。
(そもそも/.well-known/pki-validation/に所定のファイルが上がってない場合もNGなので確認してみましょう)
常時SSL化を設定するため、.htaccessファイルを変更する場合があります。
この場合、以下のようになっているはずです。
RewriteEngine ona
RewriteRule .* https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L] 常時なので恒久転送R=301となります。

RewriteCondディレクティブが.well-known/pki-validation/配下へのアクセスできるように設定しましょう。
RewriteCondは%{TIME}によるティザーページの設定や%{HTTP_USER_AGENT}による端末振り分けにも利用可能で非常に便利です。

RewriteEngine on
RewriteRule (.*) https://追加ドメイン/サブディレクトリ/$1 [R=301,L]

これではリダイレクトされてしまうので、これを以下のように書き換えます。

RewriteEngine on
RewriteCond %{REQUEST_URI} !=/.well-known/pki-validation/ランダムな文字列.txt ←この行を挿入
RewriteRule (.*) https://追加ドメイン/サブディレクトリ/$1 [R=301,L]

その他にはベーシック認証、IPアドレス制限があるとアクセスできずに失敗しますので併せて確認しましょう。
申請ドメイン/.well-known/pki-validation/にアクセスできるようになればSTEP3に進めます。
設定後多少時間かかるものと思って待ってしまうのがややこしいところです。
STEP3は所定の箇所に設定されていればまず失敗することがないでしょう。サイトのHTTPS設定完了まであと少しです。

以上です。参考になれば幸いです。