そもそも、サーバというのは、リソースやディスクI/Oの急変だの急に吐かれたエラーログやら数秒に1回のサービス動作チェックへの応答がないときの対応やらその他で24時間体制で監視・対応するもの (それができないなら、できる業者にroot持たせた方が良い) 1年に1回の更新を手動でやったとして、サーバ1台管理する手間に加わる割合なんて微々たるものでしょ 手動の場合は、 ・11ヵ月に1回の更新タスクを職場の共有スケジューラー等にスケジュール ・普通にサーバ証明書をチェックして Not After まで1か月切ったら警告する管理スクリプトの作成 などの対応をして、1年に1回手
ユーザの積極的対応は期待できない (スコア:0)
ので、うちではLet's Encryptを使うのやめました。
予算だけ確保して、より具体的な日程が分かってから、
その日程に合わせてもうちょっとマシな証明書を買う予定。
Re: (スコア:0)
有効期限1年の証明書しか使えなくなったので、自動更新できないCAは使う気になれない。
管理サーバ数が数十ぐらいだったら、「手動更新」の方が良い (スコア:1)
そもそも、サーバというのは、リソースやディスクI/Oの急変だの急に吐かれたエラーログやら数秒に1回のサービス動作チェックへの応答がないときの対応やらその他で24時間体制で監視・対応するもの
(それができないなら、できる業者にroot持たせた方が良い)
1年に1回の更新を手動でやったとして、サーバ1台管理する手間に加わる割合なんて微々たるものでしょ
手動の場合は、
・11ヵ月に1回の更新タスクを職場の共有スケジューラー等にスケジュール
・普通にサーバ証明書をチェックして Not After まで1か月切ったら警告する管理スクリプトの作成
などの対応をして、1年に1回手
OCSPレスポンダ (スコア:1)
FirefoxだとOCSPが反映される数分間はエラー扱いになることが多いので、最低でも10分は待たないと駄目
ググったら、
https://help.sakura.ad.jp/360000143762/ [sakura.ad.jp]
JPRS社のSSL証明書は、OCSPレスポンダにSSL証明書の情報が登録されるまでに最大30分程度かかる場合があります。
このため、SSL証明書が発行された直後はOCSPによる失効情報の検証ができず、有効なSSL証明書として認識されないため、サイト閲覧時にエラーが出る可能性があります。
OCSPに対応しているブラウザをご利用の場合、SSL証明書発行直後は正常にサイトが閲覧できない可能性があります。
また、ブラウザのキャッシュにより1度アクセスすると最大6時間程度アクセスできない可能性があります。
だそうだが、Let's Encryptの情報は出てこなかった。
Let's Encryptだと最大何分?
Re:OCSPレスポンダ (スコア:1)
仮に CDN でキャッシュ機能があるとしてもサーバーに設定して証明書を使い始めるまでは OCSP リクエストがされることはないので、レスポンスがキャッシュされてしまうことはないと思います。
Let's Encrypt は、証明書を発行してから OCSP データベースに反映するまでのタイムラグもほぼゼロじゃないでしょうか。発行後すぐにレスポンスが返ってきそうです。
新規発行でも OCSPへの反映に 30 分もかかるのは遅くないですか? CRL と中途半端に統合していてバッチ的に処理がなされているのでは?