パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

無料でSSL/TLS証明書を発行するLet's Encryptが正式サービスを開始」記事へのコメント

  • >380万以上のウェブサイトに対して、170万枚以上のサーバ証明書

    逆ならまだ分かるんだけど。
    多分、ウェブページに対して、という事なんだろうね。
    慎重な言葉遣いをするなら、サイト=複数のページで構成される全体、となる。

    • by Printable is bad. (38668) on 2016年04月18日 12時58分 (#2999567)

      原文 [letsencrypt.org] にも 「we’ve issued more than 1.7 million certificates for more than 3.8 million websites」 とありますので、誤訳ではありません。

      証明書数がウェブサイトの数(ドメインを1つのWebサイトとカウント)を上回っているのはSANが利用されているためです。

      Let's Encrypt 正式サービス開始と新スポンサー [letsencrypt.jp] より引用:

      訳注:
      (中略)
      サーバ証明書発行対象のウェブサイトの数が、サーバ証明書発行枚数を上回っているのは、サブジェクトの代替名 (SAN:Subject Alternative Name) [letsencrypt.jp]という仕組みを使うことで、1枚の SSL/TLS サーバ証明書を、複数の異なるドメイン名で使用することが可能な為です。

      今の時代、1つのWebサーバで複数ドメインのHTTPSなWebサイトを配信するのは珍しくありません。その場合、SAN や SNI が使われます(両方とも Let's Encrypt で利用可能)。

      例えば、「srad.jp」と「security.srad.jp」の両方を Let's Encrypt の証明書で HTTPS にしたい場合(実際には複雑な構成だと思いますが、仮にWebサーバが1台だとした場合)

      • 「srad.jp」用の証明書と「security.srad.jp」用の証明書の2枚を発行して、TLSハンドシェイク時にクライアントが伝えてくれたホスト名をもとに証明書を振り分ける方法(SNI)
      • SANsに「srad.jp」「security.srad.jp」の両方を記載した1枚の同一の証明書を、「srad.jp」でも「security.srad.jp」でも使う方法

      のどちらも可能です。

      SNI は Windows XP + IE や Android 2.x だと非対応 [wikipedia.org] なので、SAN の方が対応ブラウザは多いかと思います。ただ、古めのガラケーは SAN にも非対応なことが多いです(Android 2.x が SAN 対応かは未確認)。

      また、SNI と SANs の併用(srad.jp と security.srad.jp を SAN を利用した1枚の証明書として、更に同一のサーバで SNI を利用して other-site.www.example.jp, other-site.www2.example.jp を配信するなど)も可能です。

      ちなみに、証明書発行コマンドのパラメータとして複数ドメインを列挙する [letsencrypt.jp] だけで自動的に SAN を使用した証明書を発行することが可能です。

      親コメント

UNIXはただ死んだだけでなく、本当にひどい臭いを放ち始めている -- あるソフトウェアエンジニア

処理中...