letsencryptとは違う無料のSSLサービス使ってみた
その名も AlwaysOnSSL
サーバ証明書
使って見た感想
- CAAレコード違反のレポートメールは飛んでこなかった
- 証明書の期間は1年間
- CTログはComodo CA に書くみたいでLetsencryptより少ない
- ワイルドカードは無理
- SANに複数のドメイン入れるのも無理
チェインはこんな感じ
DigiCert Global Root G2
|_ AlwaysOnSSL TLS RSA CA G1
|_ yourdomain.example.com
DigiCertなんで大抵のブラウザならOKなはず
curlで簡単に叩けるのでcertbotが入らない場合はこっちの方が良いかも
certbotが入るならLetsencryptの方が良いと思う
S/MIME
- 有効期間は1年間
- CSR作って署名してもらうので、秘密鍵は自分で作る安心設計
チェーンはこんな感じ
Symantec Class 1 Public Primary CertificationAuthority - G6
|_ Symantec Class 1 Individual Subscriber CA - G7
普通にメール受信できるなら作ってもらえるとても良い
CNにメールアドレス入れてCSR作ってからVerifyする
そんで、My Certificatesから中間証明書と証明書ダウンロードしてpkcs12にまとめればOK
openssl pkcs12 -export -in merged.crt -inkey secret.key -out email.pfx
まとめ
S/MIMEはすごくありがたい