PKI/認証局の団体であるCA/Browser Forum(CAブラウザーフォーラム)で採用されているセキュリティ標準の改善により、TLS証明書を要求する際のドメイン検証に使用されるランダム値の有効期間が30日間のローリングウィンドウに短縮されたらしい
30日間のローリングウィンドウ
というところがよくわかってないが、
これを受けFastlyでは2020年12月31日までにTLS 1.2接続の共有TLS証明書サービスを廃止する予定とのこと
代わりにFastly TLSがおすすめされている
Fastlyの共有TLS証明書サービス
- Fastly Subject Alternative Name(SAN)証明書を使用してHTTPSトラフィックが処理できる
- 最大5つの第2レベルのドメインとアドレスを追加できるが、証明書の管理はFastlyが行う
https://docs.fastly.com/products/tls-service-options#shared-tls-certificate-options
月$100かかっていたが、これが廃止されるみたい
Fastly TLSサービス
- WebまたはAPIを使用してドメインごとにTLS証明書が管理できる
- 独自のTLS証明書と秘密キーを生成およびアップロードするか、サードパーティの証明機関を介してTLS証明書を自動的に生成および管理するようFastlyに依頼できる
TLSが有効になっているドメインの数に基づいて請求されるが、5ドメインまで無料?らしい
使い方
独自の証明書を持っている場合
WebまたはAPIを使用してTLSマテリアルをアップロードする
証明書をアップロードする前に、関連する秘密キーを必ずアップロードする必要がある証明書をFastlyが管理する場合
DNSレコードを変更してドメインを制御していることを証明すると、Fastlyはドメインごとに1つの証明書を生成する
共有アドレスではあるが、SNI拡張を使ってクライアントが通信したいホスト名をサーバに通知できるようにしているらしい
SNI拡張についてはまた今度調べるとして
とりあえず移行を考える必要がありそう