Let’s EncryptのSSL 証明書 発行でトラブル

Let’s EncryptのSSL 証明書 発行でトラブル

SSL 証明書が設定できず、3月29日〜4月5日の間、本サイトが正しく表示されない状態になっていました。しかも、本サイトのドメインは、.dev ドメインを使用しているため、http でのアクセスは強制ブロックになっているのでホントにアクセスできない状態でした。

というのも、Let’s Encrypt のSSL 証明書 発行で色々と失敗しながら試していたら、発行 制限でSSL 証明書 発行ができなくなりました。

そこでハマった点やLet’s Encrypt のSSL 証明書の制限についてまとめてみたいと思います。


SSL 証明書 発行がされない?

Let’s Encrypt を利用してVMインスタンスにSSL証明書 発行方法」の手順でSSL 証明書の発行を行っていると証明書が発行されず、次のエラーが表示されるようになりました。

acme: error: 429 :: POST :: https://acme-v02.api.letsencrypt.org/acme/new-order :: urn:ietf:params:acme:error:rateLimited :: Error creating new order :: too many certificates already issued for exact set of domains: 4watcher365.dev,googlecloud.4watcher365.dev: see https://letsencrypt.org/docs/rate-limits/, url:

Let’s Encrypt:SSL 証明書発行:エラー 429

「ドメインの正確なセットに対してすでに発行されている証明書が多すぎます」との事…SSL 証明書の発行制限の対象になってしまいました。
気になったのでLet’s Encrypt のSSL 証明書 制限 について調べてみました。

Let’s Encrypt のSSL 証明書 制限について

Let’s Encrypt は無料で簡単にSSL 証明書を発行ができるとても便利なサービスです。
その手軽さと無料のことから個人ブログや小さいビジネスでもよく活用されています。

登録ドメインごとの証明書数

登録ドメインごとの証明書数は、1週間で50個になっています。

サブドメインの証明書数

1つのドメインで100 サブドメインの証明書を発行することができます。
期限は明記されていないので、1ドメイン=100 サブドメイン と考えて良いかと思います。

重複ドメインへの証明書発行について

単一のドメインでの証明書 発行は、1週間に5 回までに制限が設けられています。それ以降の証明書 発行の複製の制限対象とはなります。(2020年4月1日から制限がなくなる)
最新(2020年3月5日) のRate Limits では次の文が記載されています。

Renewals are treated specially: they don’t count against your Certificates per Registered Domain limit, but they are subject to a Duplicate Certificate limit of 5 per week. Note: renewals used to count against your Certificate per Registered Domain limit until March 2019, but they don’t anymore. Exceeding the Duplicate Certificate limit is reported with the error message too many certificates already issued for exact set of domains.

Rate Limits (Last updated: Mar 5, 2020) から引用

Let’s Encrypt ではスライディング・ウィンドウが採用されています。
例えば、
月曜日に証明書の発行を6回 行い、火曜日にも発行しても、次の月曜日まで証明書 発行が行えなくなります。
また、発行制限をリセットする方法はないため、制限がかかった場合は制限がかかった日から1週間を待たなければなりません。

※ 2020年3月31日までで4月1日 以降は制限解除と公式ページに記載されていますが、4月5日時点では、レート制限はかけられたままです

登録ドメインに対する発行証明書は「crt.sh」でのリストを取得することができます。ドメインを入力すると、対象のドメインのリストが表示されます。

まとめ

私もそうですが、Let’s Encrypt でSSL 証明書を何度も行っていきなりエラーが表示され、「ドメインへの証明書発行 制限」でハマった人が多いのではないかと思います。
今までどおりにLet’s Encrypt でSSL 証明書 発行をしていたはずが、できなくなり原因がわからず、時間をおいたらできたというパターンです。

その他カテゴリの最新記事