HrsTのあれこれ

前回投稿時に行ったブログのHTTPS化ですが、google様が証明書を発行していただいたと思ってたのですが、証明書を見ると、Let's Encryptの無料発行証明書でした。 おぉ～～～無料なんてだめだぜ！！なんて思ってたのですが、知らず知らずのうちに利用はじめてました。てへぺろ 今まで発行してきた証明書では、代表電話とかメールとかで確認を行うのですが、Webサーバーで認証するので人が介在する必要がないみたいです。 有効期間は90日と短いので取得更新は自動化される前提です。 有効期間が短いということは失効も早いので脅威にさらされた時の影響が少ないというメリットもあります。さすがにEV証明書は発行できないのですが、この仕組みなら無償か超低価格で提供できますね。 価格の高い老舗の認証局はここ数年信頼度が地に落ちていますので、ブランド力なんて意味がない。それより短い期間で証明書を更新できるシステムのほうが信頼できるってことですね。 とはいえ、メールのドメイン認証もそうですが、DNSサーバーの管理者にとってはどんどん責任が重くのしかかってきています。 権威DNSサーバーの管理はまさに権威を保てる人間にしかできない仕事なのですね！！

メールシステムのセキュリティーについて考えることがあり、そういえば私自身ドメイン管理者だったことを思い出し、メールシステムのドメイン認証設定してみました。 とはいえ、メールシステムはG Suiteを使っているので、ヘルプに従い作業するだけですね。 以前より、SPFは設定していたので、今回はDKIMとDMARCの設定です。 まず、DKIMですが、メール送信時に署名を行うため、電子証明書が必要です。個人で電子証明書を持つのはなぁ～と思っていたのですが、Googleさんが署名してくれるようなので、ドメインキーを生成してDNSレコードに追加するだけの簡単作業です。 ドメインキーはDNSのTXTレコードに登録するので、DNSサーバーの仕様によってちょっと注意が必要です。私はムームードメインを使っているので、キー長を1024に変更する必要があります。そのほかはそのままで生成します。 あとはコピペでTXTレコードを登録して、「署名を開始」が成功すれば次回送信時からメールに署名が付与されます。 意外とあっけなかったですね。 で、次はDMARCの設定。 こっちはDNSサーバーの設定だけなのでDKIMより簡単ですね。 注意することは、SPFとDKIMで認証失敗したときにそのメールをどう処理してほしいかという指示なので、自分のドメインからのメールの送信元をちゃんと把握しておく必要がありますね。私の場合はG suite以外から送信されることがないので強気の設定ができます。 そう、破棄しろ！！ _dmarc.hrst.jp   TXT   "v=DMARC1; p=reject" ほんとは、noneから初めて様子を見ながらrejectにするのが正しい進め方ですが、メールを送ることもないので、破棄してもらったほうが世のためです。 こんな感じで、ヘルプを見ながらそのまま設定してしまいました。 DKIMとDMARCは国内ではあまり普及していないようなので、ちょっとでも普及率に貢献できればなぁ～と設定しました。 そうそう、ついでにこのブログもHTTPSに対応しました！！