"Update your client software to continue using Let's Encrypt"

2020-02-04T14:05:06+09:00

Let's Encryptからそんなメールが来たあなた、さてはサーバソフトウェアの更新をサボっていますね？ぼくもです😀

これが来た人が何をしないといけないのかをまとめました。簡単に言うと certbot を更新しましょう

何言われてるの？

According to our records, the software client you're using to get Let's
Encrypt TLS/SSL certificates issued or renewed at least one HTTPS certificate
in the past two weeks using the ACMEv1 protocol. Your client's IP address was:

...

ここ二週間の記録によると、Let's Encrypt TLS/SSL 証明書を取るために使っているクライアント、ACMEv1 プロトコルを使ってるようです。IPアドレスはこれ

Beginning June 1, 2020, we will stop allowing new domains to validate using
the ACMEv1 protocol.
You should upgrade to an ACMEv2 compatible client before then, or certificate issuance will fail. For most people, simply upgrading to the latest version of your existing client will suffice.

2020/01/01から、ACMEv1プロトコルでのドメイン認証は停止されます。
ACMEv2を使うクライアントソフトウェアに移行しないと、証明書が更新できなくなります。大多数の人にとっては、単に使っているクライアントソフトウェアを更新すればよいはずです。

(訳注それ以外の人についての説明があるけど、そんな人はこの記事読まないので中略)

ACMEv1 API deprecation details can be found in our community forum:
https://community.letsencrypt.org/t/end-of-life-plan-for-acmev1

ACMEv1 APIの廃止についての詳細はコミュニティフォーラムで見ることが出来ます。
https://community.letsencrypt.org/t/end-of-life-plan-for-acmev1
(訳注廃止の進め方の話題なので、ぼくらが何をするかの説明は載ってないぽい)

どうすりゃいいの？

certbotを更新すればOKです。

ぼくの使っているCentOSだと

$ sudo yum update certbot
:
=================================================================================================
       Package                                       Arch                        Version                                                  =================================================================================================
Updating:
 certbot                                       noarch                      1.0.0-1.el7
 python-requests                               noarch                      2.6.0-8.el7_7    
:
  Updating   : certbot-1.0.0-1.el7.noarch      
Complete!

という感じでした。

certbotには自動更新のためのtimerがついているので、これを使っている人は念の為リロードしておきましょう

$ sudo systemctl daemon-reload

自分でcrontab書いた人は自前でなんとかしてね。せっかくcertbotがtimerを用意してくれているので、こっちを使うことをおすすめするよ。

動作確認

一回手動で動かしておけばいいかなと。

$ sudo systemctl start certbot-renew
$ sudo systemctl status certbot-renew
* certbot-renew.service - This service automatically renews any certbot certificates found
   Loaded: loaded (/usr/lib/systemd/system/certbot-renew.service; static; vendor preset: disabled)
   Active: inactive (dead) since Tue 2020-02-04 13:06:36 JST;
   Process: 27876 ExecStart=/usr/bin/certbot renew ...
   Main PID: 27876 (code=exited, status=0/SUCCESS)
Feb 04 13:06:36 linode10.mogya.com certbot[27876]: Processing /etc/letsencrypt/renewal/oasis.mogya.com.conf
Feb 04 13:06:36 linode10.mogya.com certbot[27876]: - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Feb 04 13:06:36 linode10.mogya.com certbot[27876]: Cert not yet due for renewalbot-renew.timer
Feb 04 13:06:36 linode10.mogya.com certbot[27876]: - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Feb 04 13:06:36 linode10.mogya.com certbot[27876]: The following certs are not due for renewal yet:
Feb 04 13:06:36 linode10.mogya.com certbot[27876]: /etc/letsencrypt/live/oasis.mogya.com/fullchain.pem expires on 2020-04-09 (skipped)
Feb 04 13:06:36 linode10.mogya.com certbot[27876]: No renewals were attempted.
Feb 04 13:06:36 linode10.mogya.com certbot[27876]: No hooks were run.
Feb 04 13:06:36 linode10.mogya.com certbot[27876]: - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Feb 04 13:06:36 linode10.mogya.com systemd[1]: Started This service automatically renews any certbot certificates found.

こんな感じで、"Cert not yet"(期限がまだだから更新しなかったよ)的なログが出れば大丈夫かと思います。

心配な人は、expires on の日付にリマインダを仕掛けておいて動作確認しましょう

その他

　たまにルータなんかが勝手にLet's Encrypt にアクセスして証明書をとってくる仕組みになっているものがあるらしいです。
自分で証明書を取得した記憶がないのにこのメールを受け取った人は、この記事の対象じゃないので、ルータメーカーのサポートに相談するのがいいんじゃないかと思います。

「certbot」の記事 - Crieit

"Update your client software to continue using Let's Encrypt"

何言われてるの？

どうすりゃいいの？

動作確認

その他