Web

SSLで使用する証明書運用の不便さ

投稿日:

上のどちらも、SSLの証明書が期限を過ぎてしまったことが原因で起きた問題のようです。

前者は詳しく見ていないので分かりませんが、後者はサーバー証明書ではなくデバイス側に保存されているクライアント証明書の期限切れだと思われます(ルート証明書の期限は長いので多分違います)。
ファームウェアの自動更新時に、クライアント証明書を更新する仕組みだったようですが、その自動更新するタイミングが遅かったのか、もしくは証明書の更新処理が失敗していたために期限を過ぎてしまい、サーバーとの通信そのものができなくなったということです。

スイッチサイエンスさんの解説動画では、デバイスを買ってから長期間起動されない可能性についても話されていました。これはもっともな話しで、この間に証明書の期限が切れてしまえば、今回のように通信ができなくなります。これらの可能性があることを考えると、IoTデバイスにおいては、クライアント証明書の期限を10年くらいにしておかないと対応できないのではないかと思いました。ルート証明書はこのくらいの期限になっているものもあります。もちろんセキュリティの観点からは望ましいことではありませんが。

ちなみに、無料でSSLサーバー証明書を作成することができる Let’s Encrypt という有名なツールがありますが、cron を使って証明書の自動更新をさせていても、時々失敗します。

また、今回の場合はあたらないかもしれませんが、何でもかんでも HTTPS を使う必要はないです。Google などが HTTPS の推進に力を入れてきましたが、ちょっとやりすぎだったようにも思います。

📂-Web

執筆者:labo


comment

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

関連記事

no image

ツールを公開するWebサイトを作っています

いろいろなツール(Webページ上で提供できるツールに限ります)を公開するサイトを作っています。 Tools on Web https://tools.laboradian.com/ 載せているツールは …

DokuWiki

DokuWiki が最新版なのに upgrade now! が表示される場合の対処法

目次1. DokuWiki が最新版なのに upgrade now! が表示される2. 対処方法その13. 対処方法その24. おわりに参考 1. DokuWiki が最新版なのに upgrade n …

DokuWiki

DokuWiki のアクセス設定チェックが面白い

目次1. It seems your data directory is not properly secured.2. 対応方法3. 珍しいアクセスチェックの仕組み4. おわりに 1. It see …

DokuWiki

DokuWiki で閲覧専用ユーザーを作る手順

DokuWiki において、閲覧専用ユーザーを作成する手順を紹介します。 目次DokuWiki で、閲覧専用ユーザーを作成する手順1. 閲覧専用グループを追加する。2. ユーザーにグループを指定するお …

Web

HTTP の Range ヘッダフィールドを使い、ページの一部分だけを取得する

HTTP/1.1 の Range ヘッダフィールドを使って、ページの一部分のみを取得する実験です。 目次1. Range ヘッダフィールドとは?2. 環境3. 使うツール4. 対象ページ5. 実験6. …