UGA Boxxx

つぶやきの延長のつもりで、知ったこと思ったこと書いてます

【Fastly】 共有TLSの提供終了について調べてみた

PKI/認証局の団体であるCA/Browser Forum(CAブラウザーフォーラム)で採用されているセキュリティ標準の改善により、TLS証明書を要求する際のドメイン検証に使用されるランダム値の有効期間が30日間のローリングウィンドウに短縮されたらしい

30日間のローリングウィンドウというところがよくわかってないが、
これを受けFastlyでは2020年12月31日までにTLS 1.2接続の共有TLS証明書サービスを廃止する予定とのこと

docs.fastly.com

代わりにFastly TLSがおすすめされている

Fastlyの共有TLS証明書サービス

https://docs.fastly.com/products/tls-service-options#shared-tls-certificate-options

月$100かかっていたが、これが廃止されるみたい

Fastly TLSサービス

  • WebまたはAPIを使用してドメインごとにTLS証明書が管理できる
  • 独自のTLS証明書と秘密キーを生成およびアップロードするか、サードパーティの証明機関を介してTLS証明書を自動的に生成および管理するようFastlyに依頼できる

TLSが有効になっているドメインの数に基づいて請求されるが、5ドメインまで無料?らしい

www.fastly.com

使い方

  • 独自の証明書を持っている場合
    WebまたはAPIを使用してTLSマテリアルをアップロードする
    証明書をアップロードする前に、関連する秘密キーを必ずアップロードする必要がある

  • 証明書をFastlyが管理する場合
    DNSレコードを変更してドメインを制御していることを証明すると、Fastlyはドメインごとに1つの証明書を生成する

共有アドレスではあるが、SNI拡張を使ってクライアントが通信したいホスト名をサーバに通知できるようにしているらしい

SNI拡張についてはまた今度調べるとして

とりあえず移行を考える必要がありそう