2019/04/08に発生したFRONTL1NEサーバーの証明書エラーとそれの対策について (Let’s Encrypt & nginx)

2019年4月8日nginx,TECHNOLOGY,サーバー

おはようございます。FRONTL1NE運営チームのFL1NEです。

今朝から発生していたSSL証明書エラーの関係でサイトをご利用いただいている皆様にご不便おかけしましたことをお詫び申し上げます。

 

今回のエラーの原因と対策をここに書いておきます。

 

 

何が起きたのか

「Let’s EncryptのTLS-SNI-01を利用した認証終了に伴う証明書の更新エラー」

FRONTL1NE.NET及び子サーバーではLet’s Encryptを利用してSSL証明書を入手しています。

Let’s Encryptの証明書は3ヶ月で期限切れになるため、1ヶ月毎にcronで自動更新を行なっていました。

証明書更新の際に行われる認証はTLS-SNI-01(443ポートを利用したチャレンジ&レスポンス)を利用していましたが、TLS-SNI-01の脆弱性が見つかり、Let’s Encrypt側がTLS-SNI-01での認証を終了したため証明書の期限切れでおきたエラーです。

 

 

対策

nginx内で80(HTTP)で受けたリクエストを全て301で443(HTTPS)に飛ばしていましたがそれをやめ、認証用の /.well-known/acme-challengeへ来たリクエストをそのまま80で返すようにnginxのコンフィグを変更しました。

変更は以下の通りです。

server {    listen 80;    return 301 https://$host$request_uri;}

server {    listen       443 ssl http2;    #設定色々
}

server {    listen 80 default_server;    location ^~ /.well-known/acme-challenge/ {          default_type "text/plain";          root         /opt/acme;        }    location / {          return 301 https://$host$request_uri;        }}

server {
    listen       443 ssl http2;

   #設定色々
}

 

 

参考文献

Let’s EncryptのTLS-SNI-01認証のバリデーションに伴う対応策まとめ | DesignSupply.

 

nginx実践入門 (WEB+DB PRESS plus)

nginx実践入門 (WEB+DB PRESS plus)

久保 達彦, 道井 俊介
3,047円(07/01 22:18時点)
発売日: 2016/01/16
Amazonの情報を掲載しています
マスタリングNginx

マスタリングNginx

Dimitri Aivaliotis
3,300円(07/01 21:01時点)
発売日: 2013/10/26
Amazonの情報を掲載しています
プロフェッショナルSSL/TLS

プロフェッショナルSSL/TLS

Ivan Ristić
5,498円(07/01 22:18時点)
発売日: 2018/06/04
Amazonの情報を掲載しています
Let's Encrypt 設定マニュアル CentOS 7.6対応

Let's Encrypt 設定マニュアル CentOS 7.6対応

よしいず
99円(07/01 13:56時点)
発売日: 2019/06/15
Amazonの情報を掲載しています