旧ブログを常時SSL化した

流行りのトピックらしいので、旧ブログを常時SSL化した。2012年から更新してなかったりするけど。

設定にあたっては次の記事を参考にした。

Let’s EncryptのSSL証明書で、安全なウェブサイトを公開 | さくらのナレッジ

各種設定

ファイアーウォール

443を通す。Ubuntuなのでufwを使う。

# ufw allow 443
# ufw reload

証明書

Let’s Ecryptを使う。

まず、Let’s Encryptクライアントを入れる。

# curl https://dl.eff.org/certbot-auto -o /usr/local/bin/certbot-auto
# chmod 700 /usr/local/bin/certbot-auto

証明書の発行

# certbot-auto certonly \
    --webroot \
    -w /path/to/nikki \
    -d hoshinanonikki.net \
    --email me@example.com

/etc/letsencrypt以下に諸々配置される。

nginxの設定

https

server {
  listen 443 ssl;
  server_name hoshinanonikki.net;
  ssl_certificate /etc/letsencrypt/live/hoshinanonikki.net/cert.pem;
  ssl_certificate_key /etc/letsencrypt/live/hoshinanonikki.net/privkey.pem;
  # ... ...
}

リダイレクトの設定

server {
  listen 80 default_server;
  listen [::]:80 default_server;
  server_name hoshinanonikki.net;
  return 301 https://hoshinanonikki.net$request_uri;
}

# systemctl reload nginx

自動更新

Let’s Encryptは有効期間が短いが、クライアントで自動更新することができる。

crontabに仕込む。

50 3 * * 0 certbot-auto renew --post-hook "systemctl restart nginx" 1 > /dev/null 2 > /dev/null

手動で対応したもの

はてなブックマークのブログパーツ

URLをhttpsにしてみたがうまくいかなかったのであきらめて削除。

はてなスター

なんにもしなかったが動いているらしい。

携帯百景の埋め込みタグ

携帯百景自体がhttpsに対応していないのでMixed Contentが発生する。参照している画像をこちらにダウンロードして配信するように修正した。(幸い8つほどしかなかった)

amazletの画像

未着手。結構貼ってあるのでめんどくさい。どうせ古い商品ばかりなので削除してしまいたい。

まとめ

Let’s Encrypt自体は簡単に導入できたけど、既存のコンテンツの移行は結構めんどくさいねって話。