さくらインターネットの有料SSLの一つ、RapidSSLを利用していたのですが、更新を忘れてしまいました。この結果、サイトにアクセスできなくなってしまいました。RapidSSLを更新するには、認証ファイルをアップデートしなければなりません。しかし、認証クローラーがサイトにアクセスできないため、更新もできない状態でした。しかし、さくらインターネットでは無料SSLのLet’s Encrypt が提供されていることを思い出しました。ものは試しで設定してみたところ、サイトに接続できるようになったので、その方法を紹介したいと思います。私のようにRapidSSLを更新し忘れて困っている人の暫定的な方法として参考になれば幸いです。
はじめに
当サイトは、常時SSL化が主流になり始め、さくらインターネット(以下、さくら)で1年間無料のRapidSSLが提供されてから、RapidSSLによる常時SSL化を行ってきました。
ところが、2018年3月5日に1年毎の更新が切れてしまいました。
さくらのRapidSSLの更新のお知らせは、有効期限の60日前に送信されてくるのですが、このことをすっかり忘れていました。
以前、RapidSSLでhttps化しているので、単純に考えれば、以下の方法の逆を行えばhttpsからhttpに戻せると思うのではないでしょうか?
このため、事態はさほど深刻ではないと考えていました。
しかし、実際には、自分の予測と異なり、RapidSSLの更新にかなり梃子摺りました。
恐らく、誰でも初めてRapidSSLを登録したときは、.htaccessやWordpressの知識がなく、ファイル操作も大してしていなかったと思います。
しかし、サイトを運営していくと、その過程の中で何かしらのプラグインをインストールしたり、自分で修正を加えたりしていて、気付かない内に色々な物が変化していきます。
この結果、RapidSSLの認証局のクローラーによる認証ファイルの認証が妨げられる原因が複数生じてしまいます。
そうすると、この原因が何かを特定しない限り、問題を改善することが出来ません。
そして、この原因が何かを特定するには時間が掛かる可能性があります。
私自身、サイトがアクセスできなくなったことで、相当パニックになりました。
このとき、暫定的にサイトにアクセスできる方法がないかと思いついたのが、さくらが提供している無料SSLのLet’s Encryptによるhttps化でした。
実際に行ってみると、RapidSSLを導入するよりも設定が簡単で、スムーズにサイトのアクセスを復帰することが出来ました。
このおかげで、RapidSSLの再設定を余裕を持って行うことが出来ました。
そこで、今回、RapidSSLのような有料SSLの更新忘れで、暫定的にでもサイトのhttps化を復旧する方法を紹介したいと思います。
ただし、もし今までに使用していたRaid SSLなどの有料SSLに戻すのであれば、Let’s Encryptに切り替える前に、必ず復元可能にするための準備が必要です。
そのためには、後述しますが、現在使用しているRaid SSLなどの有料SSL証明書の秘密鍵と証明書、CSR、中間証明書のバックアップを必ずダウンロードしておいてください。
有料SSLの更新時にいくつかのファイルが必要になる可能性があります。
本来であれば、更新のお知らせが来た時に、予め更新の手続きをしておけば良いので、このような問題は起こりにくいのではないかと思います。
それでも、中には私のように更新手続きを忘れてしまう方もいるかもしれません。
もし忘れてしまった場合、その間にサイトにアクセスが出来ない状態になると、Google Adsenseなどで広告収入を得ている場合、大きな損失になりかねません。
何らかの理由で有料のSSLの更新が切れても、Let’s Encryptのような無料のSSLで代替すれば、サイトにアクセスできない期間を最小限に抑えられます。
私のようにRapidのSSLを更新し忘れて困っている人の参考になれば幸いです。
Let’s Encrypt の設定
Let’s Encryptで設定を行う場合、どのようなサブドメインを利用するかを考える必要があります。
例えば、当サイトの場合、ドメインはtnrsca.jpですが、サブドメインはwww.tnrsca.jpに設定してあります。
そして、最終的にはtnrsca.jpからのアクセスでもwww.tnrsca.jpへ転送するようにサイトのドメインをwwwありに統一します。
この統一を行わないと、Googleなどの検索エンジンから各URLが別物と判断され、SEO的に不利になります。
この場合、RapidSSLではtnrsca.jpとwww.tnrsca.jpのどちらのドメインもサーバーコントロールパネルの「ドメイン/SSL設定」で登録します。
Let’s Encryptでも同様で、RapidSSLで既にhttps化を行っている場合、この二つのドメイン(例:example.comとwww.example.com)を登録しているはずです。
今回のLet’s Encryptの設定は、以下のサイトを参考にさせていただきました。
そして、今回の説明では、RapidSSLで既にwwwなしのドメインとwwwありのドメインを登録していることを前提に説明します。
サーバーコントロールパネルへのログイン方法は理解しているもののとして、ここでは割愛します。
wwwありの設定
もし、サイトのURLをwwwに統一している場合、まずwwwありのドメインから設定を行いましょう。
なぜなら、これまでに公開したサイトのURLは全てwwwありになっており、wwwありのドメインにアクセスする人の方が多いからです。
逆に、wwwなしのURLにアクセスしてくることは少ないと思います。
先にこちらの設定を済ませておけば、wwwなしのドメインを設定していなくても、問題なくサイトにアクセスできます。
wwwなしのドメインの設定は、リダイレクトで必要になってくるので後回しで構いません。
これは、RapidSSLの設定の時とは逆なので、注意が必要です。
最初にまず、左メニューにある「ドメイン/SSL設定」(図1の赤枠)をクリックし、「ドメイン一覧」ページを表示します。
表示された「ドメイン一覧」のページで、対象となるwwwありのドメインの「登録」ボタン(図1の青枠)をクリックします。
図の例として、当サイトのドメイン(www.tnrsca.jp)を表示しています。
注意:もし他のSSLを登録している場合は、後述している「既存SSLの設定の全削除」を先に読んでください。
図1
「登録ボタン」をクリックすると、「無料SSLの設定へ進む」・「有料証明書の購入へ進む」・「詳細設定」の三つが表示されます。
今回は無料SSLのLet’s Encryptを設定するので、「無料SSLの設定へ進む」ボタン(図2の赤枠)をクリックします。
図2
次に表示されるページでは、無料SSL証明書に関する説明と「無料SSLを設定する」ボタンがあるので、 「無料SSLを設定する」ボタン(図3の赤枠)をクリックします。
図3
すると、無料SSLの証明書の発行手続き中であるメッセージが表示されるので(図4)、これで設定は完了です。
手続きが完了すると、お知らせメールが送信されるので、それまで気長に待ちましょう。
図4
手続き完了のメールを受信したら、実際にサイトにアクセスできるかを確認しましょう。
RapidSSLの場合、指定ディレクトリへの認証ファイルの配置や、中間証明書、サーバー証明書のインストールなど、いくつかの操作を行う必要がありました。
しかし、無料SSLの場合、ボタンをクリックしていくだけで、その他の操作が必要なく、簡単に設定できます。
既存SSLの設定の全削除
RapidSSLを使用してwwwありのURLで統一する場合、wwwなしのドメインを取得する必要があります。
そして、その証明書の設定はwwwなしのドメインで全て行われているはずです。
このため、Let’s Encryptを利用する場合、既に登録しているwwwなしのSSL設定を削除する必要があります。
ただし、その前に、復元できるようにバックアップをダウンロードする必要があります。
今回のRapidSSLも同様です。
最初にまず、左メニューにある「ドメイン/SSL設定」(図5、赤枠)で、対象となるドメインの「更新」ボタン(図5、青枠)をクリックします。
図5
表示される「独自SSLの設定」(図6)では、まず「CSRの作成」をクリックし、そこで表示されるCSRの内容をコピーして、メモ帳などのテキストに張り付けてバックアップします。
ファイル名は分かりやすいようにCSR.txtでも良いです。
図6の中間証明書の表示に自分が使用している中間証明書の名称が以下のサイトに記載されています。
該当する中間証明書の内容をコピーして、メモ帳などのテキストに張り付けてバックアップします。
ファイル名は分かりやすいように中間証明書.txtでも良いです。
その後、下にある「SSL設定の削除」ボタンをクリックします(図6、赤枠)。
図6
すると、「SSL設定の全削除」が表示されるので、この時に①~④の順に各ボタンとチェックボックスをクリックします(図7、①~④)。
- 「秘密鍵のダウンロード」ボタンをクリックして、秘密鍵をダウンロードします。
- 証明書のダウンロード」ボタンをクリックして、証明書をダウンロードします。
- 各ファイルのダウンロードを行った後、「確認をしました。」チェックボックスをクリックして、チェックをつけます。
- 「確認をしました。」チェックボックスをチェックした後、「SSL設定の全削除」ボタンをクリックします。
図7
これで、既存のSSLの設定の全削除は完了です。
今回のRapidSSLに限らず、Let’s Encryptの設定の削除も手順は同じです。
Let’s Encryptは再登録を行う場合、もう一度、前述した手順を行えば良いのですが、時間が掛かるかもしれません。
図2の「詳細設定」でバックアップしたファイルを利用すれば、すぐに再登録できると思います。
wwwなしの設定
RapidSSLでwwwありのURLに統一する場合、最初にwwwなしのドメインを新規に取得します。
そして、.htaccessのリダイレクト設定などで、wwwなしのドメインへのアクセスをwwwありへ転送します。
しかし、Let’s EncryptでwwwありのURLに統一する場合、RapidSSLとは逆にwwwありを最初に設定すれば、サイトへのアクセスは問題ありません。
設定方法はwwwありと同じで、「ドメイン一覧」が表示されていない場合は、左メニューにある「ドメイン/SSL設定」(図8の赤枠)をクリックし、「ドメイン一覧」を表示します。
表示された「ドメイン一覧」のページで、対象となるwwwなしのドメインの「登録」ボタン(図8の青枠)をクリックします。
図の例として、当サイトのドメイン(tnrsca.jp)を表示しています。
図8
あとは、図9~10に示す赤枠のボタンをクリックして設定は終わりです。
手続きが完了すると、お知らせメールが送信されるので、それまで気長に待ちましょう。
図9
図10
図11
手続き完了のメールを受信したら、実際にサイトにアクセスできるかを確認しましょう。
この時点では、wwwなしのURLでサイトに接続されるはずです。
そして、URLが異なる画像やボタンなどは、ちゃんと表示されません。
このため、次に必要な設定がリダイレクトの設定になります。
リダイレクトの設定
くどいようですが、wwwあり(www.tnrsca.jp)とwwwなし(tnrsca.jp)は異なるURLとして扱われます。
さらに、httpとhttpsでも同様で、現時点では以下の4つの異なるURLがあることになります。
- http://tnrsca.jp
- https://tnrsca.jp
- http://www.tnrsca.jp
- https://www.tnrsca.jp
このため、サイトに表示している画像やボタンなどパスがwwwありで、かつhttpsに統一されている場合(例:https://www.tnrsca.jp)、wwwなしやhttpのURLにアクセスすると、その画像やボタンなどが表示されません。
このような問題を解消するために行うのがリダイレクトの設定です。
このリダイレクト設定では、まず、リダイレクトするための指示子を.htaccessに追加する必要があります。
そして、さくらの場合、サーバーコントロールパネルの「ドメイン/SSL設定」でいくつかの設定を行う必要があります。
上記の設定について、wwwあり・wwwなし・http・httpsの設定方法を説明していきたいと思います。
wwwありの設定
Let’s Encryptの場合、wwwありの設定でもサイトへの接続が復旧できるので、こちらの設定を先に行います。
この設定では、”http://www.tnrsca.jp”からのアクセスを”https://www.tnrsca.jp”へリダイレクトするようにします。
このため、”http://tnrsca.jp”や”https://tnrsca.jp”からのアクセスが”https://www.tnrsca.jp”へリダイレクトされることはありません。
wwwありの.htaccessの設定
既にRapidSSLの設定でリダイレクト設定を行っている場合、何らかの指示子を設定していると思います。
ここで設定する.htaccessは、サーバーコントロールパネルの「ファイルマネージャー」で編集します。
「ファイルマネージャー」は、サーバーコントロールパネルの左メニューにあるので、それをクリックします。
すると、別タブでファイルマネージャーが開かれます(図12)。
このとき、ルートディレクトリが表示されるので、アドレスが”/home/アカウント名/www”であることを確認してください。
ここで編集する.htaccessはルートディレクトリにある.htaccessです(図12の赤枠)。
図12
当サイトでも紹介している方法を参考にしている場合、以下の指示子になると思います。
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTP:X-Sakura-Forwarded-For} ^$
RewriteRule ^(.*)$ https://www.tnrsca.jp/$1 [R=301,L]
</IfModule>
この設定では、httpsで、かつwwwありのURLへリダイレクトするように設定しています。
しかし、Let’s Encryptの場合、上記の設定ではちゃんとリダイレクトされません。
そこで、.htaccessの設定では、指示子を以下のように変更します。
<IfModule mod_rewrite.c> RewriteEngine on RewriteCond %{ENV:HTTPS} !^on$ RewriteCond %{HTTP:X-SAKURA-FORWARDED-FOR} ^$ RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L] </IfModule>
既にRaid SSLで設定している場合、もともとある設定に赤文字で示す指示子を追加、あるいは変更するだけです。
wwwありのドメイン詳細設定
次に、サーバーコントロールパネルの「ドメイン/SSL設定」でも設定を行います。
「ドメイン一覧」が表示されていない場合は、左メニューにある「ドメイン/SSL設定」をクリックし(図13の赤枠)、「ドメイン一覧」を表示します。
表示された「ドメイン一覧」のページで、対象となるwwwありのドメインの「変更」ボタン(図13の青枠)をクリックします。
次に表示される「ドメイン詳細設定」では、「1.設定をお選びください」の「wwwを付与せずマルチドメインとして使用する(上級者向け)」(図14の赤枠)を選択してください。
この設定をしないと、wwwありのURLにさらにwwwを追加したwww.wwwありのURLでもアクセスが可能になってしまいます。
そして、もし同じページにある「4.SSLの利用をお選びください」の「SNI SSLを利用する」(図14の青枠)が設定されていない場合は、「SNI SSLを利用する」を選択してください。
この設定は、Let’s Encryptの設定を行った時点で、自動的に「SNI SSLを利用する」が適用されていると思います。
図13
図14
上記二つの設定を確認・選択したら、「送信」ボタン(図14、紫枠)をクリックします。
ここまでの設定で、以下のURLがhttps://www.tnrsca.jpへリダイレクトされます。
- http://www.tnrsca.jp
- http://www.www.tnrsca.jp
- https://www.www.tnrsca.jp
wwwなしの設定
これまでの設定では、wwwありで、かつhttpあるいはhttpsのURLでサイトにアクセスした場合、https://www.tnrsca.jpへリダイレクトする設定を行ってきました。
しかし、以下のURLではまだhttps://www.tnrsca.jpへリダイレクトされません。
- http://tnrsca.jp
- https://tnrsca.jp
そこで、今度はwwwなしで、かつhttpあるいはhttpsのURLでサイトにアクセスした場合、https://www.tnrsca.jpへリダイレクトする設定を行います。
wwwなしの.htaccessの設定
まず、.htaccessの設定の設定ですが、wwwありの時とは若干異なります。
これは、RapidSSLの設定でも行っていないので注意が必要です。
今回紹介する方法では、リダイレクトするためのフォルダを作成し、そのフォルダ内に別の.htaccessを作成します。
サーバーコントロールパネルの「ドメイン/SSL設定」では、あるURLにアクセスした際、指定フォルダをマルチドメインの対象にすることが出来ます。
このため、指定フォルダを予め作成しておく必要があります。
この作業として、まず、サーバーコントロールパネルの左メニューにある「ファイルマネージャー」をクリックします。
すると、別タブでファイルマネージャーが開かれます。
このとき、ルートディレクトリが表示されるので、アドレスが”/home/アカウント名/www”であることを確認してください。
そして、ファイルマネージャの左側上部にある「表示アドレスへの操作」をクリックするとドロップダウンメニューが表示されます。
ドロップダウンメニューには、アップロード・ファイル作成・フォルダ作成・アクセス設定の四つがあるので、今回は「フォルダ作成」(図15の赤枠)をクリックします。
このとき、画面に「フォルダ作成」のダイアログボックスが表示されるので、何でも良いのでフォルダ名を入力します(図16)。
何でも良いとは書きましたが、あとで対象ドメインの「ドメイン詳細設定」でフォルダを指定するので、分かりやすいものにした方が良いです。
図15
図16
フォルダ名を入力し、「OK」ボタンをクリックすると、ルートディレクトリに指定した名前のフォルダが作成されます。
今回はフォルダ名を「no-www」としたので、ルートディレクト内に作成したフォルダがあることが確認できます(図17の赤枠)。
図17
指定のフォルダにファイルやフォルダを作成した方法は、上記以外にも任意のフォルダの空白部分でマウスの右クリックをすることでメニューが表示されます。
そのメニューからも同様なことが行えます。
試しにその方法で、リダイレクトに必要な.htaccessを作成します。
まず、先ほど作成した「no-www」フォルダをダブルクリックして開きます。
次に、「no-www」フォルダ内の空白分で右クリックすると、図18のようなドロップダウンメニューが表示されます。
そのメニュー内に「表示アドレスへの操作」があるので、そこにマウスカーソルを移動させると、さらにメニューが表示されます。
今度は、そのメニュー内の「ファイル作成」をクリックします(図18の赤枠)。
すると、テキストエディタが表示されます(図19)。
図18
図19
表示されたテキストエディタには、wwwありに転送したい場合、以下の内容を入力します。
<IfModule mod_rewrite.c>
RewriteEngine on
RewriteCond %{HTTP_HOST} !^www\.
RewriteRule ^(.*)$ https://www.%{HTTP_HOST}/$1 [R=301,L]
</IfModule>
入力が完了したら、テキストエディタの右下にある「保存」ボタンをクリックします(図19の赤枠)。
すると、ファイル名を入力するダイアログボックスが表示されるので、ファイル名として”.htaccess”と入力して、「OK」ボタンをクリックします(図20の赤枠)。
図20
ここまでで、wwwなしの.htaccessの設定は終わりです。
wwwなしのドメイン詳細設定
次に、サーバーコントロールパネルの「ドメイン/SSL設定」でも設定を行います。
「ドメイン一覧」が表示されていない場合は、左メニューにある「ドメイン/SSL設定」をクリックし(図21の赤枠)、「ドメイン一覧」を表示します。
表示された「ドメイン一覧」のページで、対象となるwwwなしのドメインの「変更」ボタン(図21の青枠)をクリックします。
次に表示される「ドメイン詳細設定」では、「1.設定をお選びください」の「wwwを付与せずマルチドメインとして使用する(上級者向け)」(図22の赤枠)を選択してください。
この設定をすることで、マルチドメインにwwwが自動的に付与されなくなります。
この結果、wwwがないURLが利用可能となり、例えば、http://tnrsca.jpやhttps://tnrsca.jpをマルチドメインとして利用できるということになります。
次に重要な設定が、「2.マルチドメインの対象のフォルダをご指定ください」の「指定フォルダ」を指定することです(図22の緑枠)。
ここで、前述した「wwwなしの.htaccessの設定」で作成したフォルダ名の入力が必要となります。
例では、”no-www”としているので、テキストボックスには”/no-www”を入力します。
この設定を行うことで、http://tnrsca.jpやhttps://tnrsca.jpにアクセスすると、”no-www”に転送されます。
作成したフォルダ名が例と異なる場合は、その作成したフォルダ名を入力してください。
そして、もし同じページにある「4.SSLの利用をお選びください」の「SNI SSLを利用する」(図22の青枠)が設定されていない場合は、「SNI SSLを利用する」を選択してください。
この設定は、wwwありの時と同様に、Let’s Encryptの設定を行った時点で、自動的に「SNI SSLを利用する」が適用されていると思います。
図21
図22
上記三つの設定を確認・選択したら、「送信」ボタン(図22、紫枠)をクリックします。
ここまでの設定で、以下のURLがhttps://www.tnrsca.jpへリダイレクトされます。
- http://tnrsca.jp
- https://tnrsca.jp
最後に
今回、RapidSSLの更新を忘れたことで、サイトにアクセスできなくなりました。
RapidSSLは更新期間を過ぎると、新規での再契約となります。
この場合、RapidSSLでは、認証局のクローラーがファイルにアクセス可能である必要があります。初めてWordpressでサイト運営を行う場合、恐らく大した環境操作はしていないと思います。
しかし、サイトを運営して環境差をしていく中で、認証局のクローラーのアクセスを拒否する環境が出来上がっているようでした。
この結果、認証局のクローラーが認証ファイルにアクセスできないという状況に陥りました。
httpのURLで認証ファイルのアクセスを確認しようとすると、httpsのURLに強制的にリダイレクトされ、ブラウザが安全なサイトではないと判断し、アクセスが拒否されてしまいます。
この問題を解決するためにhttps化する設定を解除しましたが、状況は変わりませんでした。
httpでのアクセスが出来ず、仕方がないので、他のhttps化する方法を模索することにしました。
そのhttps化するための代替のSSLとして、Let’s Encryptを利用しました。
Let’s Encryptは、RapidSSLのように認証局のクローラーが認証ファイルにアクセスする必要がないので、https化が簡単でした。
現在は、更新をし忘れた後のRapidSSLによる再httpsの方法も判明しています。
また、今回の問題は再契約をした後に判明したので、料金を払い済みであることから、しばらくはRapidSSLを継続して使用することになると思います。
しかし、GoogleはSymantec傘下の認証局の証明書を失効させるようです。
失効対象となるSymantec傘下の証明局は、Thawte、VeriSign、Equifax、GeoTrust、RapidSSLなどだそうです。
Chrome 66から2016年6月1日より前に発行された証明書が失効の対象となり、それ以降をChrome 70で完全に失効させるようです。
Chrome 66の安定版が4月17日に公開されます。
さくらでRapidSSLやGeoTrustの契約をしている人は注意が必要です。
Chrome 66で自分のサイトが影響を受けるかどうかは、Canary版で確認できるそうです。
次に、Chrome 70の安定板が10月16日に公開予定だそうです。
Chrome 70で影響を受けるかどうかは、該当のサイトを開いてデベロッパーツールで確認できるそうです。
さくらでは、2016年6月1日以降、2017年11月30日までに発行されたSSLサーバ証明書を利用している場合、 2018年5月中旬にメールによるお知らせを予定しているそうです。
今回、RapidSSLの更新をし忘れたことで、色々と焦りました。
しかし、そのおかげ?で、今後、RapidSSLの証明書が失効した場合の対策として、今回の方法が利用できることが分かりました。
とりあえず、かなり限定されるとは思いますが、私のようにRapidSSLの更新を忘れて、Chromeの証明書の失効を知らずにRapidSSLを新規に再契約した人は2018年10月16日以降にサイトのアクセスが出来なくなる可能性があります。
サイトのアクセス解析をしていれば、2018年10月16日からアクセス数が激減すると思うので、そんな時はSSL証明書の失効を疑う必要があります。
そんな時に今回紹介した方法がサイトのアクセスを復旧するための一助になればと思います。
サイトへのアクセスが失われなければ、その間に対策を考える余裕もできますから。
ただ、Let’s Encryptで無料でSSL証明が可能なら、有料のSSLにする必要性を感じないかもしれません。
Let’s Encryptは本来であれば、有効期間が90日で、有効期間が過ぎれば更新手続きが必要です。
しかし、さくらのLet’s Encryptは、有効期間が過ぎても自動で更新してくれます。
今回のような更新のし忘れでサイトにアクセスできなくなることはありません。
また、無料だからと言って、暗号化強度が有料SSLと異なる訳でもありません。
これらのことを踏まえると、Let’s Encryptで良いような気もします。
有料のSSLが良いか無料のSSLが良いかは、さくらが以下の記事で説明しています。
もし有料のSSLの更新が切れた場合、新規での再契約が必要になります。
それなら、一度、Let’s Encryptを導入して、上記のメリット・デメリットを考えたり、今回のようにGoogleがSSLの証明書を失効するかどうかを調べたりするのも良いかもしれません。
コメント