ことしのSSLお布施は1.1万円

hilotech.jp のSSL証明書を更新しましたよー。弊社期末の7月に更新時期が来るようにしたので忘れにくくてラクかも。ん？　期末？　…アッ（察し）。

ところで初回導入時 は9,720円で激安だったワイルドカード証明書。実は最近、値上げ傾向にあるようです。背景には円安がどーたら合併がどーたらあるんでしょうが、とにかく高くなりました。昨年使ったSSLストア に行ったら、

• ラピッド SSL ワイルドカード
  20,000円

でビックリ！　10,280円アップってどういうことだよ！

しかたないので、おなじ代理店のもちっとお安いメニューである、

• COMODO PositiveSSL ワイルドカード
  11,000円

を買うことにしました。これなら 1,280円の追加出費で済む…。ぼくは暗号化とエラー画面のスキップさえできれば、あとはどんなに信用できない局であろうが安いにこしたことないのです。

SSLストアのショッピングシステムは去年ほぼ壊れていたんですが、今年は直ってしかも使いやすくなってました。ということでそこらへんで迷うことはなし。ただ、一回導入してみたら証明書が更新してなくて半日悩み、よく考えたら新しい証明書を使ってなかったことに気づくというポカミスがあったので、手順をちょっとだけメモ：

• 環境は nginx
  /etc/nginx 以下に設定ファイルを置く
• SSL関連は
  /etc/nginx/ssl
• 新証明書用ディレクトリを
  /etc/nginx/ssl/_20150703-comodo
  とする。更新のたびに実際の証明書を別ディレクトリに置いていくためにこうしている
• 各種証明書を以下のように置く
  • _20150703-comodo/hilotech-jp.crt : *.hilotech.jp 証明書
  • _20150703-comodo/intermediate.crt : 中間証明書（COMODOは弱小なので）
  • _20150703-comodo/joined-hilotech-jp.crt : 上2つを cat したもの
    cat {hilotech-jp,intermediate}.crt > joined-hilotech-jp.crt
• ちなみに hilotech-jp.crt の有効期限を知るにはこう：
  # openssl x509 -in joined-hilotech-jp.crt -noout -dates
notBefore=Jun 30 00:00:00 2015 GMT
notAfter=Jul 11 23:59:59 2016 GMT
• chmod -R og-rwx /etc/nginx/ssl/_20150703-comodo
• ln -s /etc/nginx/ssl/_20150703-comodo/joined-hilotech-jp.crt \
/etc/nginx/ssl/joined-hilotech-jp.crt
  として実際に使う証明書のシンボリックリンクを作っておく
• /etc/nginx/ssl.conf として SSL 設定ファイルをつくり、
  nginx の各 server コンテキストで使用する

listen 443;
ssl on;
ssl_certificate ssl/joined-hilotech-jp.crt;
ssl_certificate_key ssl/hilotech-jp.key;

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

ssl_session_cache shared:SSL:1m;
ssl_session_timeout  5m;

ssl_ciphers  HIGH:!aNULL:!MD5;
ssl_prefer_server_ciphers   on;

例の POODL 対策で ssl_protocols は TLS だけにしてある。

そしたら systemctl restart nginx などとして再起動。

あとはブラウザなどでサイトにアクセスして証明書をチェックしてもいいけど、せっかくなので POODLE チェッカなどを利用するのもいいと思われ。こういうのは GeoTrust も用意してたりします。

• GeoTrust SSL Toolbox

ドメイン名だかコモンネームだかを入れてボタン押すだけで、

有名どころのセキュリティホールと証明書チェーンのようすなどをチェックしてくれる。これでOK！　また来年までさようなら。

なぜ夏コミ時期に決算書作らなくちゃいけなくしたんだろう…。