SSLのサーバ証明書の更新とCRL

私は複数の独自ドメインを所有し、さらにそれらの複数のサブドメインをウェブサーバで運用しております。
そのうちのいくつかについてはきちんとSSLさせるために正式な証明書を導入しております。
その方法については以前紹介しておりますのでこちらを参照ください。

さて、いくつかの証明書のうちのいくつかが期限切れになったのに気づいたので更新することにしました。
というか気づいてからも更新が面倒なのでかなり長い期間放置していました。
期限切れからだと、かれこれ2年経っていたりします。
なおこれはよくない見本なので皆さんは真似しないように。

私の利用している証明書の有効期間は認証局の制限で1年間しか選択できず、
しかも各証明書はその場の思いつきで作成したりしているので期限はばらばらです。
今後ばらばらと期限切れを起こしてその都度更新していくのも面倒なので、
この際全部の証明書を一度に再作成して来年以降は年中行事の一つにしてしまおうと決心しました。
如何にもものぐさな私が考えそうなことです。

ということでStartSSLにログインして、
まだ期限が切れていない証明書を持つサブドメインについて
証明書を作成しようとしたのですがエラーとなりました。
未だ有効な証明書はいったん失効させる必要があるということです。
そこではたと気づきました。CRLです。

CRLは日本語では”証明書失効リスト”と訳されます。
発行された証明書は有効期限が設定されているので、ほうっておけば自動的に失効しますが、
フィッシング等の犯罪目的で用いられてしまう可能性もあり、
期限が切れるまで待つというような悠長なことは言っていられず、
被害を最小限にとどめるためにすぐに証明書を失効させる必要に迫られるケースがあります。
そんなとき用いるのが先のCRLです。
発行元は発行した期限切れ前の証明書についての情報を保持していて、
必要ならCRLに登録して公知させる責任があります。
CRLについては知識はあっても意識はしていませんでした。不覚です。

で、StartSSLでのCRLへの登録方法ですが、
ログインの上[Control Panel]を開き、[Tool Box]の[Revocation Request]から可能なようです。
可能なようと言ったのは私は実行してないからです。
なぜって、有料だったから。
まあいろんな意味で面倒な作業なのでしょうがないですね。

ということで年中行事化はあきらめることにしました。
しょうがないので各ドメインの有効期限と同じく
各証明書の有効期限もGoogleカレンダーに登録して忘れないようにすることにします。
というか、まずサブドメインとウェブサーバを整理することにします。

広告