2015年12月3日 に 公開ベータ(Public Beta)が開始される予定の Let's Encrypt のスレです。
これは、いわゆる無料の SSL/TLS 証明書なわけですが、ブラウザ Mozilla Firefox を作っているモジラ財団とか、
ネットワーク機器大手のシスコとか、ネットワークインフラ大手のAkamaiとかが出資している大規模なプロジェクトなので、
途中で有料化したり、サービス停止になったりする心配もありません。
さらに、全ブラウザにルート認証局として入っているアメリカの最大手CA IdenTrust の傘下の証明書という扱い(クロスルート)になったので、
クローズベータをやっている現時点でも、全ブラウザに対応しているという神証明書です。
はっきりいって、IdenTrust の証明書をけっているブラウザなんて考えられないので、ジオトラストとかのドメイン認証証明書と同格以上の証明書が
無料で手に入ることになります。
明々後日からは、専用クライアントをダウンロードして、コマンドを実行するだけで、VPS など root 権限があるサーバとドメインがあれば証明書が入手可能なので、
期待しておきましょう。
もう、SSL/TLS の証明書にお金をかける時代はおわったのです(ただし、実在証明を含むEV証明書を除く)
【Let's Encrypt 公式サイト】(英語)
https://letsencrypt.org/
【Let's Encrypt 公式Twitter】(英語による最新情報)
https://twitter.com/letsencrypt
【Let's Encrypt 総合ポータル】(日本語)
https://letsencrypt.jp/
【Let's Encrypt 導入方法】(日本語)
https://letsencrypt.jp/usage/
探検
【全ブラウザ対応】 無料SSL/TLS Let's Encrypt [転載禁止]©2ch.net
レス数が1000を超えています。これ以上書き込みはできません。
1名無しさん@お腹いっぱい。
2015/11/30(月) 18:01:15.6902名無しさん@お腹いっぱい。
2015/11/30(月) 18:04:13.870 【Let's Encrypt 最新情報】
Let's Encrypt のローンチスケジュールは延期されてきましたが、
2015年12月3日 に Let's Encrypt 公開ベータプログラム(Public Beta Program)が開始される予定です。
公開ベータプログラム開始後は、独自ドメインとWebサーバがあれば、誰でも簡単に Let's Encrypt の SSL/TLS 証明書を取得することができます。
【対応ブラウザとOS】
Let's Encrypt の「SSL/TLSサーバ証明書」は、アメリカ合衆国大手認証局(CA)である IdenTrust 社のルート証明書から
チェーンできるクロスルート (クロスサート) 証明書です。IdenTrust 社の証明書によって、
中間証明書「Let's Encrypt Authority X1」および「Let's Encrypt Authority X2」に対するクロス署名が行われています。
そのため、Let's Encrypt 発行の証明書は、大手認証局(CA)が有償で販売している証明書と同様に、ほとんどのWebブラウザやOSが標準で対応しています。
・Microsoft Internet Explorer (Windows)
・Google Chrome (Windows、Mac OS X、Linux、Android、iOS)
・Mozilla Firefox (Windows、Mac OS X、Linux、Android、iOS)
・Apple Safari (Mac OS X、iOS) など
(https://letsencrypt.jp/より引用)
Let's Encrypt のローンチスケジュールは延期されてきましたが、
2015年12月3日 に Let's Encrypt 公開ベータプログラム(Public Beta Program)が開始される予定です。
公開ベータプログラム開始後は、独自ドメインとWebサーバがあれば、誰でも簡単に Let's Encrypt の SSL/TLS 証明書を取得することができます。
【対応ブラウザとOS】
Let's Encrypt の「SSL/TLSサーバ証明書」は、アメリカ合衆国大手認証局(CA)である IdenTrust 社のルート証明書から
チェーンできるクロスルート (クロスサート) 証明書です。IdenTrust 社の証明書によって、
中間証明書「Let's Encrypt Authority X1」および「Let's Encrypt Authority X2」に対するクロス署名が行われています。
そのため、Let's Encrypt 発行の証明書は、大手認証局(CA)が有償で販売している証明書と同様に、ほとんどのWebブラウザやOSが標準で対応しています。
・Microsoft Internet Explorer (Windows)
・Google Chrome (Windows、Mac OS X、Linux、Android、iOS)
・Mozilla Firefox (Windows、Mac OS X、Linux、Android、iOS)
・Apple Safari (Mac OS X、iOS) など
(https://letsencrypt.jp/より引用)
3名無しさん@お腹いっぱい。
2015/11/30(月) 18:11:57.940 〜〜〜 共有サーバ (VALUE SERVER とか COREサーバーとか、さくらのレンタルサーバ) での使い方 〜
root権限のあるサーバならば、https://letsencrypt.jp/usage/ (日本語)にある手順の通りに、
クライアントをダウンロードしてコマンドをうつだけで導入可能
しかし、SNI 対応のレンタルサーバ(VALUE SERVER とか COREサーバーとか、さくらのレンタルサーバ)とかに居れる場合、
root権限必須の専用クライアントが動作しないため、証明書の発行作業を仮想環境でやる必要がある
なので、ローカルの Windows パソコンとかで VirtualBox などの仮想環境構築ツールに CentOS などのOSをインストールして
そこで Let's Encrypt のクライアントを動かす必要あり
自動認証ではなく、手動認証のオプションを指定することで、サーバのドキュメントルートに、Let's Encryptクライアントが指示した
JSON ファイルを設置することで、ドメイン所有者の認証プロセスが完了するので、レンタルサーバでも SNI 対応なら使える模様
手動認証のオプションコマンドについては、下記ドキュメントを参照
【Let’s Encrypt クライアントのドキュメント】(英語)
https://letsencrypt.readthedocs.org/en/latest/
専用サーバ、VPS などのroot有りのサーバならコマンド一発で使えるけど、
共有サーバだと Linux アプリ(root)を実行できる環境がないと、多少面倒です
root権限のあるサーバならば、https://letsencrypt.jp/usage/ (日本語)にある手順の通りに、
クライアントをダウンロードしてコマンドをうつだけで導入可能
しかし、SNI 対応のレンタルサーバ(VALUE SERVER とか COREサーバーとか、さくらのレンタルサーバ)とかに居れる場合、
root権限必須の専用クライアントが動作しないため、証明書の発行作業を仮想環境でやる必要がある
なので、ローカルの Windows パソコンとかで VirtualBox などの仮想環境構築ツールに CentOS などのOSをインストールして
そこで Let's Encrypt のクライアントを動かす必要あり
自動認証ではなく、手動認証のオプションを指定することで、サーバのドキュメントルートに、Let's Encryptクライアントが指示した
JSON ファイルを設置することで、ドメイン所有者の認証プロセスが完了するので、レンタルサーバでも SNI 対応なら使える模様
手動認証のオプションコマンドについては、下記ドキュメントを参照
【Let’s Encrypt クライアントのドキュメント】(英語)
https://letsencrypt.readthedocs.org/en/latest/
専用サーバ、VPS などのroot有りのサーバならコマンド一発で使えるけど、
共有サーバだと Linux アプリ(root)を実行できる環境がないと、多少面倒です
2015/11/30(月) 18:20:01.020
SSL無料になったらベリサリンとかセコムトラストとかどうなっちゃうの???
やっぱ潰れちゃう?
やっぱ潰れちゃう?
2015/11/30(月) 18:25:35.860
これは個人や団体を証明する手段じゃないから潰れないよ
2015/11/30(月) 18:26:13.090
VeriSignとかよりRapidSSLとかの格安系がやばいだろうな
ドメイン名認証しているだけだからLet's Encryptより優れている点が1つもないし
ドメイン名認証しているだけだからLet's Encryptより優れている点が1つもないし
2015/11/30(月) 18:29:39.870
Let's Encrypt はオレオレ証明書じゃなくて
IE でも Firefox でも Opera でも Google Chrome でも Safari でも正規証明書扱い
あげくためしてみたら、Lynx とか wget とかそういったテキスト系ブラウザでも正規証明書と認証
SHA-2証明書だからガラケー対応は怪しいけど、VeriSignとかもSHA-2に移行したから同じことだし
これは認証局あちこち潰れる予感
これからは認証局はアドレスバーが緑になる EV SSL 売っていくしか存続手段が無いだろう
IE でも Firefox でも Opera でも Google Chrome でも Safari でも正規証明書扱い
あげくためしてみたら、Lynx とか wget とかそういったテキスト系ブラウザでも正規証明書と認証
SHA-2証明書だからガラケー対応は怪しいけど、VeriSignとかもSHA-2に移行したから同じことだし
これは認証局あちこち潰れる予感
これからは認証局はアドレスバーが緑になる EV SSL 売っていくしか存続手段が無いだろう
8名無しさん@お腹いっぱい。
2015/11/30(月) 18:38:47.260 あと3日で俺のサイトもフルSSLにできるとか、スゲーわくわくするわ
大手企業のサイト運営している気分になれそう
興奮して夜も眠れなさそうだ
だって、プライバシーマークの協会だって、HTTPなんだぜ?
http://privacymark.jp/
それなのに個人がSSL使えるとか、すごくね?
大手企業のサイト運営している気分になれそう
興奮して夜も眠れなさそうだ
だって、プライバシーマークの協会だって、HTTPなんだぜ?
http://privacymark.jp/
それなのに個人がSSL使えるとか、すごくね?
2015/11/30(月) 18:41:03.740
暗号化の手段として必要だから、正規サイトの証明はいらないんで
使う分にはいいんだけど、悪用する人への対策はどうなるのかな
使う分にはいいんだけど、悪用する人への対策はどうなるのかな
2015/11/30(月) 18:49:12.850
これの有効期間ってどれくらいあるの?
2015/11/30(月) 18:56:42.400
>>10
90日間固定
90日な理由は https://letsencrypt.jp/blog/2015-11-09.html に書かれてる
Let's Encrypt は、
$ ./letsencrypt-auto certonly -a standalone \
-d example.com -d www.example.com \
--server https://acme-v01.api.letsencrypt.org/directory --agree-dev-preview
みたいなコマンド一発で証明書を取得・更新できるので、2ヶ月に一回ぐらいコマンドを手動で実行するか、cron で回してください、ってことらしい
90日間固定
90日な理由は https://letsencrypt.jp/blog/2015-11-09.html に書かれてる
Let's Encrypt は、
$ ./letsencrypt-auto certonly -a standalone \
-d example.com -d www.example.com \
--server https://acme-v01.api.letsencrypt.org/directory --agree-dev-preview
みたいなコマンド一発で証明書を取得・更新できるので、2ヶ月に一回ぐらいコマンドを手動で実行するか、cron で回してください、ってことらしい
2015/11/30(月) 19:05:44.350
>>11
なるほど。自動化できるんなら運用で躓くことは少なそうだな。
なるほど。自動化できるんなら運用で躓くことは少なそうだな。
2015/11/30(月) 19:46:53.000
コマンド一発と言っても80番ポート止めなきゃダメなんでしょ?
STGとかなら良いけど、一般公開しているサイトでは二ヶ月に一回もやりたくない
STGとかなら良いけど、一般公開しているサイトでは二ヶ月に一回もやりたくない
14名無しさん@お腹いっぱい。
2015/11/30(月) 20:05:58.600 >>13
初心者向けモード(オプション無し)だとポート80のweb鯖を止める必要あるけど、
コマンドラインオプションで apacheとか既に動いてるweb鯖のdocument root 指定すれば止めなくてすむ
(そのdocument root 以下に認証用ファイルを設置して認証してくれる)
ただ、証明書はメモリに読み込まれてるだろうから
service httpd restert はいるだろうけど、
ダウンタイムは1〜2秒だろう
初心者向けモード(オプション無し)だとポート80のweb鯖を止める必要あるけど、
コマンドラインオプションで apacheとか既に動いてるweb鯖のdocument root 指定すれば止めなくてすむ
(そのdocument root 以下に認証用ファイルを設置して認証してくれる)
ただ、証明書はメモリに読み込まれてるだろうから
service httpd restert はいるだろうけど、
ダウンタイムは1〜2秒だろう
15名無しさん@お腹いっぱい。
2015/11/30(月) 20:18:56.910 >>13
漏れはクローズベータの初期からやってるけど
httpd stop → 証明書更新 → httpd start で1秒足らずだよ
でも漏れは小心者で万が一httpdの起動に失敗したら怖いので月1ぐらいで手動でやるわw
同じ理由でyum update とか、geo ip の更新とかも手動でやってるから
日常鯖メンテのプロセスに1分以内の作業が加わるだけだから
手動でも特に気にならん
サーバーって放置で運営するもんでもないし
漏れはクローズベータの初期からやってるけど
httpd stop → 証明書更新 → httpd start で1秒足らずだよ
でも漏れは小心者で万が一httpdの起動に失敗したら怖いので月1ぐらいで手動でやるわw
同じ理由でyum update とか、geo ip の更新とかも手動でやってるから
日常鯖メンテのプロセスに1分以内の作業が加わるだけだから
手動でも特に気にならん
サーバーって放置で運営するもんでもないし
16名無しさん@お腹いっぱい。
2015/11/30(月) 20:24:45.180 数年前に年何万も払って証明書買ってたのが馬鹿みたいだ
今や同じのが無料だもんな
やっぱり認証局はボロ儲けだったんだな
今や同じのが無料だもんな
やっぱり認証局はボロ儲けだったんだな
2015/11/30(月) 20:34:17.850
18名無しさん@お腹いっぱい。
2015/11/30(月) 23:07:18.8002015/11/30(月) 23:24:19.990
しかし、HTTPS化したら
はてブのブックマーク数とかツイート数とかがリセットされるよね
googleのランクは301リダイレクトで完全に引き継げるらしいけどね
httpへのリンクのまでも、httpsの方にリンクしているとみなしてくれるので
リンク効果も引き継げる模様
Googleはフルssl推進派だし、sslサイトのランクを上げる対応をしているので当然とも言えるが
はてブのブックマーク数とかツイート数とかがリセットされるよね
googleのランクは301リダイレクトで完全に引き継げるらしいけどね
httpへのリンクのまでも、httpsの方にリンクしているとみなしてくれるので
リンク効果も引き継げる模様
Googleはフルssl推進派だし、sslサイトのランクを上げる対応をしているので当然とも言えるが
20名無しさん@お腹いっぱい。
2015/12/01(火) 00:14:44.070 いよいよ、あさってか!
楽しみだわ
楽しみだわ
2015/12/01(火) 00:25:46.660
o(^-^)oワクワクテカテカ
早く証明書が欲しいニャン
早く証明書が欲しいニャン
2015/12/01(火) 00:28:53.840
これってワイルドカード証明書とれる?
23名無しさん@お腹いっぱい。
2015/12/01(火) 01:01:15.480 >>22
www無しで取ると、www付きが Subject Alternative Names(サブジェクトの別名)に入るけど、
それ以外はワイルドカードもサブジェクトの代替も無理だったと思う
サブドメインでも取れるし、常識的な範囲なら枚数制限もないから
サブドメインごとに証明書とって、SNIで振り分ければOK
www無しで取ると、www付きが Subject Alternative Names(サブジェクトの別名)に入るけど、
それ以外はワイルドカードもサブジェクトの代替も無理だったと思う
サブドメインでも取れるし、常識的な範囲なら枚数制限もないから
サブドメインごとに証明書とって、SNIで振り分ければOK
2015/12/01(火) 01:22:36.150
いや最初からSAN指定できるでしょ
2015/12/01(火) 01:42:42.500
レンタルサーバでも簡単に使えるように
サーバ会社の方でも対応してほしいね
サーバ会社の方でも対応してほしいね
2015/12/01(火) 04:33:31.620
> 2015年12月3日 に 公開ベータ(Public Beta)が開始される予定の
アメリカ時間だから、日本だと4日〜5日だと考えた方が良いぞ
時差ってもんがあるからな
アメリカ時間だから、日本だと4日〜5日だと考えた方が良いぞ
時差ってもんがあるからな
27名無しさん@お腹いっぱい。
2015/12/01(火) 04:50:46.510 アメリカとの時差って何時間だっけ?
てかアメリカってタイムゾーンいっぱいあったよね?
てかアメリカってタイムゾーンいっぱいあったよね?
2015/12/01(火) 08:53:56.390
SFだしPSTじゃないの
2015/12/01(火) 12:55:39.140
git が動かなきゃだめだよな。
30名無しさん@お腹いっぱい。
2015/12/01(火) 14:09:21.7102015/12/01(火) 17:03:05.620
いつの間にかApacheじゃなくてnginxが主流になったりとか
Cent OS 7 iptablesがなくなってFirewalldになったりとか
同じくCent OS 7 でMySQLじゃなくてMariaDBになったりとか
なんかgitという聞いたこともないようなものが飛び出したりとか
なんで Linux の世界ってこんなに変わっちゃったんですか?
10年以上も(下手したら20年近く?)、iptables, Apache, MySQL が主流でそれがずっとかわらなかったし
安定してて特に問題もなかったのに、なんで新しいソフトの動作覚えないといけないんでしょう
これっておじさんの鯖管を虐めて若者がいい気になりたいだけでは?
実際若い人に「なんで Apacheじゃ駄目なの?」とか「なんで iptables じゃ駄目なの?」と聞いても
「今は○○が主流になってきており・・・」とか「多少軽いらしいです」とかどうでもいいような返答しか返ってこないし
わざわざ再学習のコストかけてまで変える必要ないよね
Cent OS 7 iptablesがなくなってFirewalldになったりとか
同じくCent OS 7 でMySQLじゃなくてMariaDBになったりとか
なんかgitという聞いたこともないようなものが飛び出したりとか
なんで Linux の世界ってこんなに変わっちゃったんですか?
10年以上も(下手したら20年近く?)、iptables, Apache, MySQL が主流でそれがずっとかわらなかったし
安定してて特に問題もなかったのに、なんで新しいソフトの動作覚えないといけないんでしょう
これっておじさんの鯖管を虐めて若者がいい気になりたいだけでは?
実際若い人に「なんで Apacheじゃ駄目なの?」とか「なんで iptables じゃ駄目なの?」と聞いても
「今は○○が主流になってきており・・・」とか「多少軽いらしいです」とかどうでもいいような返答しか返ってこないし
わざわざ再学習のコストかけてまで変える必要ないよね
2015/12/01(火) 19:11:33.010
2015/12/01(火) 20:11:19.350
ご隠居さん、若いものの邪魔しちゃいけませんよ。さ、あっち行きましょうね。
2015/12/01(火) 21:09:57.190
てか静的HTMLならApacheでも1日100万Hitでも月1000円足らずのさくらのVPS1Gで捌けるのに、
なんで、ちょっと軽い程度の理由でnginxに移行しないといけないんだろう
httpd.confとかmod_rewriteとかの書き方覚え治すだけのメリットあるとは思えない
サーバ負荷になってるのはhttpdじゃなくてphp / CGIとかSQLなんだから
httpdを軽いのに乗り換えたって全体としては誤差だろ
なんで、ちょっと軽い程度の理由でnginxに移行しないといけないんだろう
httpd.confとかmod_rewriteとかの書き方覚え治すだけのメリットあるとは思えない
サーバ負荷になってるのはhttpdじゃなくてphp / CGIとかSQLなんだから
httpdを軽いのに乗り換えたって全体としては誤差だろ
2015/12/01(火) 22:19:59.420
だったらそのままApache使ってればいいじゃん
2015/12/01(火) 22:27:22.350
apacheでいいんじゃない?
必要になったらnginxのリバースプロクシたてればいい
必要になったらnginxのリバースプロクシたてればいい
2015/12/01(火) 22:56:32.300
>>35-36
だよね
会社でちょっとしたWebサービスを公開するときなんかに
若い社員に今時Apacheなんて時代遅れだからnginxにしろと言われるけど
まだまだApacheでいけるよね
若い社員になんと言われても「特に必要がある場合を除き、実績のある枯れたソフトウェアを使うのが望ましい」とApacheを押し通すことにする
だよね
会社でちょっとしたWebサービスを公開するときなんかに
若い社員に今時Apacheなんて時代遅れだからnginxにしろと言われるけど
まだまだApacheでいけるよね
若い社員になんと言われても「特に必要がある場合を除き、実績のある枯れたソフトウェアを使うのが望ましい」とApacheを押し通すことにする
38名無しさん@お腹いっぱい。
2015/12/01(火) 23:05:17.890 ※ Apache / nginx の論争で誤解を招きそうなので 一応書いておくと
Let's Encrypt は Apache ・ nginx のどちらかに依存してるわけじゃないよ
Let's Encrypt は Apache ・ nginx のどちらかに依存してるわけじゃないよ
2015/12/01(火) 23:13:00.530
でも、lighttpd には対応してないんでしょう?手動でやればすむことだけど。
2015/12/01(火) 23:29:01.640
>>39
lighttpd って /usr/local/www/data に拡張子無しのファイル置いたら text/plain のMIMEヘッダで外部からアクセス可能になるよね?
なら、下記のコマンドで証明書の取得までは一発でいけるはず(lighttpd を起動したままでOK)
./letsencrypt-auto certonly -a webroot --webroot-path /usr/local/www/data \
-d example.com -d www.example.com \
--server https://acme-v01.api.letsencrypt.org/directory --agree-dev-preview
たぶん、上記で起動したままでいけるはずだけど、もし lighttpd が IIS みたいに拡張子無しのファイルには外部からアクセスできない仕様だとすると、
一回停止させてから https://letsencrypt.jp/usage/ の手順でやる必要がある(その場合ダウンタイム有り)
あと、/usr/local/etc/lighttpd の書き換えは自動で行われないから手動でやらないといけないわけだけど、
http://l-w-i.net/t/lighttpd/ssl_001.txt によると、
「証明書はPEM形式の必要があるが、秘密鍵(.key)と証明書(.crt)を別々に所有している場合は以下の手順で両者を結合する。」
とのこと(2007/9/19更新 だから今は違うか)
とまぁこれぐらいの手間かければ好きなWeb鯖で使えるってことだ
lighttpd って /usr/local/www/data に拡張子無しのファイル置いたら text/plain のMIMEヘッダで外部からアクセス可能になるよね?
なら、下記のコマンドで証明書の取得までは一発でいけるはず(lighttpd を起動したままでOK)
./letsencrypt-auto certonly -a webroot --webroot-path /usr/local/www/data \
-d example.com -d www.example.com \
--server https://acme-v01.api.letsencrypt.org/directory --agree-dev-preview
たぶん、上記で起動したままでいけるはずだけど、もし lighttpd が IIS みたいに拡張子無しのファイルには外部からアクセスできない仕様だとすると、
一回停止させてから https://letsencrypt.jp/usage/ の手順でやる必要がある(その場合ダウンタイム有り)
あと、/usr/local/etc/lighttpd の書き換えは自動で行われないから手動でやらないといけないわけだけど、
http://l-w-i.net/t/lighttpd/ssl_001.txt によると、
「証明書はPEM形式の必要があるが、秘密鍵(.key)と証明書(.crt)を別々に所有している場合は以下の手順で両者を結合する。」
とのこと(2007/9/19更新 だから今は違うか)
とまぁこれぐらいの手間かければ好きなWeb鯖で使えるってことだ
2015/12/02(水) 00:43:26.630
今時の若いもんはH2Oなのでは
2015/12/02(水) 01:10:10.840
2015/12/02(水) 01:26:48.060
2015/12/02(水) 02:49:03.670
cloudflareはnginxリバースプロクシとして
sslやらCDNやらアクセス解析やらなんでもやってくれるんで
H2Oとかnginx含めて自前でリバースプロクシ建てる必要を感じない
sslやらCDNやらアクセス解析やらなんでもやってくれるんで
H2Oとかnginx含めて自前でリバースプロクシ建てる必要を感じない
2015/12/02(水) 08:02:15.490
だからなんなの?
2015/12/02(水) 08:42:43.740
>>42
おいしい水だよ
おいしい水だよ
2015/12/02(水) 09:23:18.170
ttps://letsencrypt.jp/usage/
を読んだ限りでは更新時に同意求める画面が開くようだから cron で自動化ができるのかよくわからん。
できるなら月1回の更新になるけど更新しすぎとか警告来るかな
を読んだ限りでは更新時に同意求める画面が開くようだから cron で自動化ができるのかよくわからん。
できるなら月1回の更新になるけど更新しすぎとか警告来るかな
2015/12/02(水) 12:43:13.970
>>47
そのページの下の方に利用規約への同意は保存されると書かれてる
そのページの下の方に利用規約への同意は保存されると書かれてる
2015/12/03(木) 11:37:52.610
さっそくやってみたけど。
Name is not whitelisted
というエラーです。
Name is not whitelisted
というエラーです。
2015/12/03(木) 13:46:38.440
ホワイトリストに登録されていません
2015/12/03(木) 15:05:34.740
>>50
まだパブリックになってないのかな
まだパブリックになってないのかな
2015/12/03(木) 16:48:10.380
ん?
53名無しさん@お腹いっぱい。
2015/12/03(木) 16:57:33.620 >>49
今は、クローズベータだから、クローズベータで承認されたドメインでしか使えないの。
パブリックベータになったら、そのエラー出なくなるよ
パブリックベータ開始は、アメリカ時間の今日中だから、もうしばらくお待ちを
今は、クローズベータだから、クローズベータで承認されたドメインでしか使えないの。
パブリックベータになったら、そのエラー出なくなるよ
パブリックベータ開始は、アメリカ時間の今日中だから、もうしばらくお待ちを
2015/12/03(木) 18:13:53.890
Let's Encrypt Status
http://letsencrypt.status.io/
> Public Beta begins at 6 PM GMT on 3 December.
日本時間だと明日の午前3時だな。
http://letsencrypt.status.io/
> Public Beta begins at 6 PM GMT on 3 December.
日本時間だと明日の午前3時だな。
2015/12/03(木) 19:19:46.600
2015/12/03(木) 19:46:07.250
>>54
貴重な情報サンクス
貴重な情報サンクス
2015/12/03(木) 19:48:26.330
>>55 おっと! フォーラムの公式ポストでもHTTPSでリンクされてた…。
2015/12/03(木) 19:56:44.490
>>54
わくわくするぜ
わくわくするぜ
2015/12/04(金) 00:49:56.490
WEBサーバとは別のメールサーバも暗号化するにはどうすればいい?
やっぱりHTTPSしか想定してないんだろうか
無理やりやるとしたら、メールサーバ用のWEBサーバ別に立てて証明書作って、
さらに自動化処理の中に作成した証明書ファイルをメールサーバに
コピる処理を作らなければならないのかな
やっぱりHTTPSしか想定してないんだろうか
無理やりやるとしたら、メールサーバ用のWEBサーバ別に立てて証明書作って、
さらに自動化処理の中に作成した証明書ファイルをメールサーバに
コピる処理を作らなければならないのかな
2015/12/04(金) 01:17:39.680
2015/12/04(金) 02:23:19.750
>>60
あー、そうなんだけど、
WEBサーバ無しの(外部からポート80接続させない)メールサーバだけでは
証明書の自動処理できないでしょって話。
外部から接続できるWEBサーバで自動処理を動かして証明書ファイルを受け取るわけでしょ?
それをメールサーバの所定のディレクトリに配置するには自分で仕組みを作らないとってこと。
それともメールサーバだけで完結する何かいい方法あります?
あー、そうなんだけど、
WEBサーバ無しの(外部からポート80接続させない)メールサーバだけでは
証明書の自動処理できないでしょって話。
外部から接続できるWEBサーバで自動処理を動かして証明書ファイルを受け取るわけでしょ?
それをメールサーバの所定のディレクトリに配置するには自分で仕組みを作らないとってこと。
それともメールサーバだけで完結する何かいい方法あります?
2015/12/04(金) 02:24:57.920
http://letsencrypt.jp
あと30分ちょいか
あと30分ちょいか
2015/12/04(金) 03:47:50.200
ubuntuの方は恐ろしく簡単に入ったな、、、
手作業でいれたやつ対応させるとするか、、
手作業でいれたやつ対応させるとするか、、
64名無しさん@お腹いっぱい。
2015/12/04(金) 05:11:52.3002015/12/04(金) 05:46:41.590
あっという間に取得完了
2015/12/04(金) 07:38:57.240
>>61
letsencryptのスクリプトで内蔵httpd立ち上げてるみたいだから行けるんじゃないの
letsencryptのスクリプトで内蔵httpd立ち上げてるみたいだから行けるんじゃないの
6849
2015/12/04(金) 07:45:26.420 期間は 12月3日から3月2日まで。
12月と1月が31日まで、2月が29日までだからちょうど90日です。
12月と1月が31日まで、2月が29日までだからちょうど90日です。
2015/12/04(金) 09:17:11.760
>>66
つまりhttpアクセス禁止してるサーバじゃ無理
つまりhttpアクセス禁止してるサーバじゃ無理
2015/12/04(金) 10:29:26.320
そんなの開ければいいじゃん
普段HTTP起動していないんだから何の問題もない
普段HTTP起動していないんだから何の問題もない
2015/12/04(金) 11:24:20.850
2015/12/04(金) 12:49:39.980
80以外のポート指定できないのかな?
それならサーバ毎にポート分けて対応できそうな気がするが
それならサーバ毎にポート分けて対応できそうな気がするが
73名無しさん@お腹いっぱい。
2015/12/05(土) 16:31:14.430 おい、おまいら
スラドでも記事になったようだぞ
【サーバー証明書を無料発行する「Let's Encrypt」がパブリックベータに移行】
http://security.srad.jp/story/15/12/05/0454205/
スラドでも記事になったようだぞ
【サーバー証明書を無料発行する「Let's Encrypt」がパブリックベータに移行】
http://security.srad.jp/story/15/12/05/0454205/
2015/12/05(土) 17:10:54.250
よし
今夜から使うぞ
今夜から使うぞ
2015/12/05(土) 20:02:25.820
SNI 用にいくつかもらいたいのだけど
./letsencrypt-auto certonly -a standalone \
-d letsencrypt.jp -d www.letsencrypt.jp \
--server https://acme-v01.api.letsencrypt.org/directory
をその分ドメインだけ変えて繰り返せばよいのかな。
./letsencrypt-auto certonly -a standalone \
-d letsencrypt.jp -d www.letsencrypt.jp \
--server https://acme-v01.api.letsencrypt.org/directory
をその分ドメインだけ変えて繰り返せばよいのかな。
2015/12/06(日) 10:48:40.190
-d example.com をその数だけ並べればいいよ
2015/12/06(日) 11:08:00.090
>>76
ん?SANじゃなくてSNIなのですが…
ん?SANじゃなくてSNIなのですが…
2015/12/06(日) 11:13:29.950
だったらそんな初歩的な質問するまえにやってるはずだが
何でも聞かないとできないタイプか
何でも聞かないとできないタイプか
2015/12/06(日) 11:37:07.150
2015/12/06(日) 11:37:09.550
SAN のやつを SNI でホスト毎に同じの指定すりゃいいじゃんか。
2015/12/06(日) 11:37:53.820
2sec 先こされたわww
2015/12/06(日) 15:31:13.610
startsslで結構梃子摺ったのに
こっちはかなり楽そうだな
こっちはかなり楽そうだな
2015/12/06(日) 15:40:47.290
startsslにてこずるところなんてなかったろ
2015/12/06(日) 15:43:23.500
CSR すら自分でやる必要も無く全自動だから、たいして知識がなくとも
説明通りに設定するだけで使える。メリットでもあるし、デメリットにもなるかもしれないなw
証明書だけじゃなく、SSL の動作に関してもある程度設定詰めないといけないしね。
まぁそれすら生成してくれるサイトあるけど。
説明通りに設定するだけで使える。メリットでもあるし、デメリットにもなるかもしれないなw
証明書だけじゃなく、SSL の動作に関してもある程度設定詰めないといけないしね。
まぁそれすら生成してくれるサイトあるけど。
2015/12/06(日) 16:05:25.120
86名無しさん@お腹いっぱい。
2015/12/08(火) 00:19:35.550 最大手のアットマークITでも取り上げられた模様
http://www.atmarkit.co.jp/ait/articles/1512/07/news072.html
これは Let's Encrypt がどんどん普及していくかもしれない
http://www.atmarkit.co.jp/ait/articles/1512/07/news072.html
これは Let's Encrypt がどんどん普及していくかもしれない
2015/12/08(火) 08:03:51.940
自分のサブドメイン分作ろうと思ったら発行上限に達して作れなくなった模様ww
マルチドメインはなんだかなーなんだよなー
マルチドメインはなんだかなーなんだよなー
2015/12/08(火) 13:20:31.440
何個発行しようとしたんだ?
2015/12/08(火) 13:49:27.660
>パブリックβ期間中は 7日間で5証明書/ドメイン
となってるな
となってるな
90名無しさん@お腹いっぱい。
2015/12/08(火) 15:49:24.080 BlueOnyxコンパネが対応した。
マウスクリックしかできないweb素人でも
一瞬で証明書が取れる時代になったわけだ。
マウスクリックしかできないweb素人でも
一瞬で証明書が取れる時代になったわけだ。
2015/12/08(火) 18:21:15.340
>>88
>>89 の通り 5 個だった。
話変わるけど、
<VirtualHost *:443>
Define vhost hoge.example.com
ServerName ${vhost}
SSLEngine on
SSLCertificateFile /etc/letsencrypt/live/${vhost}/cert.pem
SSLCertificateKeyFile /etc/letsencrypt/live/${vhost}/privkey.pem
SSLCACertificateFile /etc/letsencrypt/live/${vhost}/fullchain.pem
...
...
こう書けば証明書の記述はコピペで行けるから楽だな。
letsencrypt-auto の証明書配置好きだわw
>>89 の通り 5 個だった。
話変わるけど、
<VirtualHost *:443>
Define vhost hoge.example.com
ServerName ${vhost}
SSLEngine on
SSLCertificateFile /etc/letsencrypt/live/${vhost}/cert.pem
SSLCertificateKeyFile /etc/letsencrypt/live/${vhost}/privkey.pem
SSLCACertificateFile /etc/letsencrypt/live/${vhost}/fullchain.pem
...
...
こう書けば証明書の記述はコピペで行けるから楽だな。
letsencrypt-auto の証明書配置好きだわw
2015/12/08(火) 18:44:07.020
gmailからpopsでのフェッチアクセスも認証通りますか?
2015/12/08(火) 23:35:04.300
今 httpd.conf を grep したら VirtualHost が 122 個もあった
全部外部向けに https で公開したいわけじゃないけど
7日間で5証明書では毎日チビチビ取得するの面倒だな
β取れたら緩和されるかな?
全部外部向けに https で公開したいわけじゃないけど
7日間で5証明書では毎日チビチビ取得するの面倒だな
β取れたら緩和されるかな?
2015/12/08(火) 23:47:14.460
2015/12/08(火) 23:56:22.620
内部向けはオレオレで認証局作ってクライアントに信頼させときゃいいっしょ。 証明書はワイルドカード 1 つでw
証明書の発行やらは現状だと httpd 止めないと行けないからあまりホスト数多いと更新の時点ではダウンタイム長くなりそうだな。
証明書の発行やらは現状だと httpd 止めないと行けないからあまりホスト数多いと更新の時点ではダウンタイム長くなりそうだな。
2015/12/08(火) 23:58:54.890
>>94
そこは fullchain.pem か chain.pem どっちでもいいけどそうした方が結果としては良い。
最悪無くとも暗号化経路は確保されるけど SSL Server Test のスコア落ちるから嫌だw
そこは fullchain.pem か chain.pem どっちでもいいけどそうした方が結果としては良い。
最悪無くとも暗号化経路は確保されるけど SSL Server Test のスコア落ちるから嫌だw
2015/12/09(水) 00:03:58.020
2015/12/09(水) 00:08:24.100
Let's は今のところワイルドカードに対応する予定は無いってFAQにあるし
SubjectAltName は証明書を見るとサブドメインが全部バレてしまうので嫌なんじゃー
SubjectAltName は証明書を見るとサブドメインが全部バレてしまうので嫌なんじゃー
2015/12/09(水) 00:37:24.140
ライセンス同意とメールアドレス入力のためにわざわざ画面が立ち上がるのは
自動で大量取得されないため?
でもオープンソースだからどうにでもなるよね
自動で大量取得されないため?
でもオープンソースだからどうにでもなるよね
2015/12/09(水) 01:25:13.970
2015/12/09(水) 01:38:51.570
保存されると書いてあるだろ
2015/12/09(水) 01:40:32.680
>>97
ああ、なぜそのディレクティブが〜ってって事か。
俺もそれは謎に思って調べたら Let's Encrypt のフォーラムでそう記述するところが大半だった。
SSLCACertificateFile の指定が無いと SSL Server Test で Incomplete Chain だかなんだかアラートが出た。
この点、今一理解してないw
ああ、なぜそのディレクティブが〜ってって事か。
俺もそれは謎に思って調べたら Let's Encrypt のフォーラムでそう記述するところが大半だった。
SSLCACertificateFile の指定が無いと SSL Server Test で Incomplete Chain だかなんだかアラートが出た。
この点、今一理解してないw
2015/12/09(水) 01:40:37.790
それなら尚更あの画面を出す意味がわからない
全部CUIでいいじゃん
--debug とかログとか見ると、あれのために python の追加モジュールとか
色々インストールさせられるみたいなんだけど
普段 python なんか使わないからゴミが増えて邪魔なんだよなぁ
全部CUIでいいじゃん
--debug とかログとか見ると、あれのために python の追加モジュールとか
色々インストールさせられるみたいなんだけど
普段 python なんか使わないからゴミが増えて邪魔なんだよなぁ
2015/12/09(水) 01:42:54.510
SSLCACertificateFile じゃなくて SSLCertificateFile が正解だと思うんだが
まだ Apache2.2 使いだから Apache2.4 のことはよくわからない
まだ Apache2.2 使いだから Apache2.4 のことはよくわからない
2015/12/09(水) 01:45:13.550
あ、ちょい古の 2.2 は SSLCertificateChainFile が正解かな
2015/12/09(水) 08:08:46.180
>>95
そんな恐ろしいことできるわけない
そんな恐ろしいことできるわけない
2015/12/09(水) 08:53:41.240
2015/12/09(水) 10:58:03.260
>>105
最新の Apache でも同じ。obsolute だけど。
最新の Apache でも同じ。obsolute だけど。
2015/12/09(水) 11:15:45.460
./letsencrypt-auto --apache で全自動で作ったやつは
SSLCertificateChainFile /etc/letsencrypt/live/example.com/chain.pem
となってるな、Apacheは 2.4.7
SSLCertificateChainFile /etc/letsencrypt/live/example.com/chain.pem
となってるな、Apacheは 2.4.7
2015/12/10(木) 18:05:22.420
Value Serverで使いたいんだけど「プライベートキーのパスワード」欄には何を入力すれば良いのでしょうか?
証明書は発行してもらいました
証明書は発行してもらいました
111名無しさん@お腹いっぱい。
2015/12/10(木) 18:55:01.810 >>110
Let's Encrypt の秘密鍵は暗号化されてないので、本来は不要
もし、バリューサーバーが空白の暗号キーを受け付けないなら、
openssl のコマンドで、何らかのパスフレーズで秘密鍵を暗号化して、
そのパスフレーズを入力すればおっけー
Let's Encrypt の秘密鍵は暗号化されてないので、本来は不要
もし、バリューサーバーが空白の暗号キーを受け付けないなら、
openssl のコマンドで、何らかのパスフレーズで秘密鍵を暗号化して、
そのパスフレーズを入力すればおっけー
2015/12/10(木) 20:26:22.380
パスワード設定しないとできなかったはず
共有レンサバとはいえ秘密鍵を盗める状況じゃ
他が詰んでる気がするんだけどどうなの
あともう直ってるかもしれないけど
俺がやったときはCA証明書がエラーで設定できなかったよ
サポートに言えばやってくれるけど3ヶ月ごとに連絡は面倒だわな
共有レンサバとはいえ秘密鍵を盗める状況じゃ
他が詰んでる気がするんだけどどうなの
あともう直ってるかもしれないけど
俺がやったときはCA証明書がエラーで設定できなかったよ
サポートに言えばやってくれるけど3ヶ月ごとに連絡は面倒だわな
2015/12/10(木) 20:32:48.720
110です。
パスワードの入力は必須とありますね。
正常に接続出来た様です。ありがとうございました。
パスワードの入力は必須とありますね。
正常に接続出来た様です。ありがとうございました。
2015/12/11(金) 12:31:35.870
RapidSSLが来年頭で更新だけど、Lets導入でトラブルのも嫌だし、とりあえずもう1年だけ更新しようかなぁ
すでにサブドメインで何十とサイトがあると導入失敗リスク高いよね多分
まぁテスト環境でも作っていっぺん導入してみるか
すでにサブドメインで何十とサイトがあると導入失敗リスク高いよね多分
まぁテスト環境でも作っていっぺん導入してみるか
2015/12/11(金) 17:19:03.620
>>114
Rapid は値上げしたから他のにしたら。
Rapid は値上げしたから他のにしたら。
2015/12/12(土) 00:33:14.500
俺たちの、オレオレ認証局をネットワークでつなげよう!
2015/12/12(土) 04:12:10.470
2015/12/12(土) 09:32:37.340
そんなあなたに究極のオレオレ証明書
http://www.cacert.org
http://www.cacert.org
2015/12/13(日) 00:55:30.070
そろそろ Public Beta から一週間経つから
5 domain 制限越えられるかなってやったら追加で証明書取れたよ。
5 domain 制限越えられるかなってやったら追加で証明書取れたよ。
2015/12/13(日) 01:16:21.230
2015/12/14(月) 02:02:14.900
実サーバー1台でたくさんドメイン持ってると単純にcronで定期更新ってわけにはいかないなぁ
5ドメインずつ分けて週一で取得or更新しにいくドメイン管理スケジューラみたいなのが無いと
ややこしいことになりそうだ
週に5ドメインで、60日に一度更新が推奨されてるからざっくり最大40ドメインが限界か
5ドメインずつ分けて週一で取得or更新しにいくドメイン管理スケジューラみたいなのが無いと
ややこしいことになりそうだ
週に5ドメインで、60日に一度更新が推奨されてるからざっくり最大40ドメインが限界か
2015/12/14(月) 03:01:54.790
cron で毎日証明書の期限をチェック。
期限が 30〜40 日前程度になった証明書は更新させてしまう。
って言うような単純なスクリプトを書いて回してるよ。
Too many うんたらで週制限掛かっても、cron で毎日勝手にリトライすることになるから
制限が外れ次第順次更新いけるはず。
更新周期は 60 日に一度とかなっているけど、実際にはもっと速く更新は出来るからなー。
期限が 30〜40 日前程度になった証明書は更新させてしまう。
って言うような単純なスクリプトを書いて回してるよ。
Too many うんたらで週制限掛かっても、cron で毎日勝手にリトライすることになるから
制限が外れ次第順次更新いけるはず。
更新周期は 60 日に一度とかなっているけど、実際にはもっと速く更新は出来るからなー。
2015/12/14(月) 21:44:41.530
ちょっとシェルスクリプトのテストしてたら
更新しすぎでエラーになってしまった
もうちょっと緩和してくれんかな
1IPあたりの制限とか、1アカウントあたりの制限とか、色々
更新しすぎでエラーになってしまった
もうちょっと緩和してくれんかな
1IPあたりの制限とか、1アカウントあたりの制限とか、色々
2015/12/14(月) 21:46:04.700
テスト用のAPI Endpointがないのがイケてない
2015/12/14(月) 22:16:53.590
善意の有志で翻訳してくれてるからあまり言いたくないけど日本語サイトの人
クライアントの使い方を翻訳してくれるのはいいんだけど --standalone モードで
一度 httpd を落として 80番を落とさないといけないように書いてあるけど
これってやっぱ導入のハードル上げてると思うのよね
本家英語の使い方には --webroot モードで無停止でやる方法も併記されてて
この方法を知ってればもっと早く導入してたしさ
どっちにしろ総合的に色々煩雑な印象がして
無料の StartSSL でいいやってなってしまうわ
クライアントの使い方を翻訳してくれるのはいいんだけど --standalone モードで
一度 httpd を落として 80番を落とさないといけないように書いてあるけど
これってやっぱ導入のハードル上げてると思うのよね
本家英語の使い方には --webroot モードで無停止でやる方法も併記されてて
この方法を知ってればもっと早く導入してたしさ
どっちにしろ総合的に色々煩雑な印象がして
無料の StartSSL でいいやってなってしまうわ
2015/12/14(月) 22:31:10.500
でもstartsslって対応してないブラウザ多いんじゃなかったっけ
2015/12/15(火) 01:15:10.820
おまえはなにをいっているんだ?
2015/12/15(火) 02:22:13.010
2015/12/15(火) 09:49:11.000
2015/12/15(火) 11:07:53.900
だからベータテスト中だってばよ
2015/12/15(火) 11:15:32.430
証明書再読み込みのためにHTTPDの再起動は必要だろ
人によるのだろうが、自分の場合は今までオレオレ証明書だったSTG環境やバックエンド用ドメインなので、
IP制限やBasic認証が掛かっているために設定を変更しなければならない
それならstandaloneの方が便利だし楽
人によるのだろうが、自分の場合は今までオレオレ証明書だったSTG環境やバックエンド用ドメインなので、
IP制限やBasic認証が掛かっているために設定を変更しなければならない
それならstandaloneの方が便利だし楽
2015/12/15(火) 13:23:53.780
90日は短いな。
2015/12/15(火) 13:40:59.500
postfixやdovecotのca鍵設定する場所にはfullchain指定しておけばいいんですかね?
一応それでgoogleとの暗号化通信はsmtpsもpop3sでfetchも成功したけど正しい設定か不安
一応それでgoogleとの暗号化通信はsmtpsもpop3sでfetchも成功したけど正しい設定か不安
2015/12/15(火) 16:40:56.770
Apache2.4 でどうなってるか知らんけど 2.2 なら apache2ctl -k graceful で gracefully restart すれば
サービスとしては無停止で再読み込みできる
httpd stop -> letsクライアント起動 -> httpd start より100倍マシ
nginx も reload で無停止再読み込みいけるんじゃなかったっけ?
サービスとしては無停止で再読み込みできる
httpd stop -> letsクライアント起動 -> httpd start より100倍マシ
nginx も reload で無停止再読み込みいけるんじゃなかったっけ?
2015/12/15(火) 16:41:16.970
>>133
それでよいと思うよ。openssl s_client -connect で大丈夫ならOK.
ここは中間証明書は親切だね。
comodoなんか3tもファイル出してきてどれが中間ファイルだかわからなくて苦戦したよ。
結局3つを指定の順番でマージしろって。ならマージしたファイルよこせっての。
それでよいと思うよ。openssl s_client -connect で大丈夫ならOK.
ここは中間証明書は親切だね。
comodoなんか3tもファイル出してきてどれが中間ファイルだかわからなくて苦戦したよ。
結局3つを指定の順番でマージしろって。ならマージしたファイルよこせっての。
2015/12/15(火) 17:31:11.780
2015/12/15(火) 19:21:01.520
そう言えば MTA に使うのも楽だよな。
httpd 側でデフォルトサーバーを用意して、mx のホスト名を httpd に定義しなければ
デフォルトサーバーに回るから、そのまま --webroot で更新行ける。
httpd 側でデフォルトサーバーを用意して、mx のホスト名を httpd に定義しなければ
デフォルトサーバーに回るから、そのまま --webroot で更新行ける。
2015/12/15(火) 20:30:30.460
MTAはオレオレでいいから
2015/12/15(火) 20:38:02.890
オレオレで良いならそのままにしておけば良いわけで、食い付くほどの事でもないだろw
2015/12/15(火) 20:48:18.290
なーんか
postfix やら dovecot とかにレッツのサーバー証明書を設定したりする人現れてるし
無駄無駄無駄無駄〜って叫びたかっただけ
あ、イントラネットとかセキュアな通信が必須な相手で事前に合意した2者間とかはまた別だけどね
postfix やら dovecot とかにレッツのサーバー証明書を設定したりする人現れてるし
無駄無駄無駄無駄〜って叫びたかっただけ
あ、イントラネットとかセキュアな通信が必須な相手で事前に合意した2者間とかはまた別だけどね
2015/12/15(火) 21:32:34.010
実際に必要かどうか言われると、オレオレで良いとも思うけど
そこは “面白そうだから“ という正当な理由で Postfix や Dovecot にも Let's の証明書つかってるよ!
そこは “面白そうだから“ という正当な理由で Postfix や Dovecot にも Let's の証明書つかってるよ!
2015/12/15(火) 21:41:15.420
gmailからのメール転送に必須なんだよな>サーバ証明書
2015/12/15(火) 23:38:10.880
へーそうなんだ
じゃ無駄じゃないね
じゃ無駄じゃないね
2015/12/17(木) 01:57:29.790
いやー
考えてみれば当たり前の話なんだが
SubjectAltName にドメイン羅列するためにいっぱい -d を指定したら、
指定したドメイン1個1個に対してチェックのために接続してくるんだね
プライマリMX と セカンダリMX の証明書を1個にまとめようとしたら
let's Encrypt の居ない セカンダリMX の 80 番ポートにチェックしに来てエラーになって
しまった
考えてみれば当たり前の話なんだが
SubjectAltName にドメイン羅列するためにいっぱい -d を指定したら、
指定したドメイン1個1個に対してチェックのために接続してくるんだね
プライマリMX と セカンダリMX の証明書を1個にまとめようとしたら
let's Encrypt の居ない セカンダリMX の 80 番ポートにチェックしに来てエラーになって
しまった
145名無しさん@お腹いっぱい。
2015/12/17(木) 15:35:19.970 -d っていくつ書いてもいいの?
-d でトップドメインが違うのでも良いの JP と gtld がごちゃ混ぜ
-d でトップドメインが違うのでも良いの JP と gtld がごちゃ混ぜ
146名無しさん@お腹いっぱい。
2015/12/18(金) 19:11:19.160 >>125 >>129
今見たら解説が更新されててhttpd停止不要なやり方も併記されたみたいだよ
https://letsencrypt.jp/usage/
>>144
証明書取得時には当然全部に接続チェックが入る
ただ、ブラウザは SAN の関係ないドメインへの接続はしないので、SAN に100〜200のドメインを列挙しても、
一般ユーザーのページの表示が遅くなったりはしない(証明書の容量が増えるのは誤差範囲)
>>145
いくつ書いてもおk
TLD が違っても良いけど、-d を複数書くとサブジェクトの代替名(SAN : Subject Alternative Name)が使われた1枚の証明書になるから、
SNI に対応していないブラウザ、例えば Windows XP とか Android 2系とかもサポートしたいなら注意が必要(Windows Vista以降はSNI対応)
詳しくは https://letsencrypt.jp/docs/using.html#webroot を参照
今見たら解説が更新されててhttpd停止不要なやり方も併記されたみたいだよ
https://letsencrypt.jp/usage/
>>144
証明書取得時には当然全部に接続チェックが入る
ただ、ブラウザは SAN の関係ないドメインへの接続はしないので、SAN に100〜200のドメインを列挙しても、
一般ユーザーのページの表示が遅くなったりはしない(証明書の容量が増えるのは誤差範囲)
>>145
いくつ書いてもおk
TLD が違っても良いけど、-d を複数書くとサブジェクトの代替名(SAN : Subject Alternative Name)が使われた1枚の証明書になるから、
SNI に対応していないブラウザ、例えば Windows XP とか Android 2系とかもサポートしたいなら注意が必要(Windows Vista以降はSNI対応)
詳しくは https://letsencrypt.jp/docs/using.html#webroot を参照
2015/12/18(金) 19:26:25.570
2015/12/18(金) 19:38:36.500
レン鯖でボタンひとつで設定できるようにしてくれよ。
2015/12/18(金) 20:28:30.350
もう今の段階から XP なんか古い OS はぶった切って良いだろw
150146
2015/12/18(金) 20:56:42.300 >>146 の書き込み内容の SAN と SNI についての部分が著しく間違っていたので訂正
SNI は1つのサーバーで複数の証明書を使う技術
つまり Virtual Host ごとに違う証明書をクライアントに放出するので、1つのIPアドレスのサーバで複数の証明書を分けられる
SNI対応ブラウザは、PCからなら Windows XP は不可だけど、Windows Vista 以上なら対応している
https://ja.wikipedia.org/wiki/Server_Name_Indication#.E5.AF.BE.E5.BF.9C.E3.82.BD.E3.83.95.E3.83.88
スマホがネックで、Android 2 系が対応していない。Android のうち、まだ 5〜10%のシェアがあるので困りもの
一方、SANs は 1枚の証明書に複数の SAN を書くことで1枚の証明書を複数のドメインに対応させるもの
Let's Encrypt で -d に複数ドメイン書くとこっちになる(証明書を別々に発行して SNI を使うことも可能)
こっちは、たぶん Windows XP にも対応しているので、SANs使った方がサポートOSは多くなる
ただSANs については Android 2系が対応しているかどうかの情報は、ググっても曖昧に書かれた個人ブログぐらいしか見つからなかった
SNI と混同している人もいそうなので、確かなソースが欲しいが、なかなか見つからない
そして自分で検証しようにも Android 2がないからできない
SNI は1つのサーバーで複数の証明書を使う技術
つまり Virtual Host ごとに違う証明書をクライアントに放出するので、1つのIPアドレスのサーバで複数の証明書を分けられる
SNI対応ブラウザは、PCからなら Windows XP は不可だけど、Windows Vista 以上なら対応している
https://ja.wikipedia.org/wiki/Server_Name_Indication#.E5.AF.BE.E5.BF.9C.E3.82.BD.E3.83.95.E3.83.88
スマホがネックで、Android 2 系が対応していない。Android のうち、まだ 5〜10%のシェアがあるので困りもの
一方、SANs は 1枚の証明書に複数の SAN を書くことで1枚の証明書を複数のドメインに対応させるもの
Let's Encrypt で -d に複数ドメイン書くとこっちになる(証明書を別々に発行して SNI を使うことも可能)
こっちは、たぶん Windows XP にも対応しているので、SANs使った方がサポートOSは多くなる
ただSANs については Android 2系が対応しているかどうかの情報は、ググっても曖昧に書かれた個人ブログぐらいしか見つからなかった
SNI と混同している人もいそうなので、確かなソースが欲しいが、なかなか見つからない
そして自分で検証しようにも Android 2がないからできない
2015/12/18(金) 21:24:23.350
自分の理解がおかしかったのかと、愕然となったぞw
2015/12/19(土) 00:03:17.000
>>150
これもちょっと誤解を招くレスだなぁ
https で VirtualHost するための技術・手段という意味では近いとも言えるが
どっちを使ったほうがいいとかそういうもんじゃないんだが
説明するのも面倒だ
これもちょっと誤解を招くレスだなぁ
https で VirtualHost するための技術・手段という意味では近いとも言えるが
どっちを使ったほうがいいとかそういうもんじゃないんだが
説明するのも面倒だ
2015/12/19(土) 00:33:45.060
>>152
> どっちを使ったほうがいいとかそういうもんじゃないんだが
概念的には全く別物だけど、「1つのIPアドレスしかない1台のサーバで、複数の HTTPS なサイトを運営したい」という一般的な要件なら
下記の (1) SNI でも (2) SANs でも、同じ結果が得られるわけで、どっちでも良いのでは?
(1) SNI で example.com にアクセスしているブラウザには example.com 専用の証明書A、
example.jp にアクセスしているブラウザには example.jp 専用の証明書Bを送り付ける
(2) example.com にアクセスしているブラウザにも
example.jp にアクセスしているブラウザにも
同様に SANs を使って複数ドメイン(example.com と example.jp の2つ)に対応した証明書Cを送り付ける
管理上のメリット・デメリットとしては、ブラウザの対応状況を除くと、
(1) だと、サイトの数だけ別々の証明書を取得して管理しなければならない。それぞれで有効期限などを管理するのが面倒。
(2) だと、サイトが増えるたびに、証明書を発行しなおさなければならない。失敗すると他のサイトにも影響が出る。
といった感じだと思われ
勿論、「概念的には別物」なので、SNI でサイトごとに SANs で複数ドメインに対応した別々の証明書を送るなんて併用も可能
www の有り無しと同一サブドメインのだけ SANs で1つの証明書でまとめて、あとは SNI で分けるなんて併用も一般的
つまり (1) と (2) を併用することもできるってことね
まぁ、なんらかの事業者が顧客のサイトを代理で運営している(もしくはレンタルサーバ業務をやっている)とかの場合には
他の顧客のドメイン名がSANsに入った証明書を使うというのはどうかと思うから (1) のSNI 一択になるけどね
> どっちを使ったほうがいいとかそういうもんじゃないんだが
概念的には全く別物だけど、「1つのIPアドレスしかない1台のサーバで、複数の HTTPS なサイトを運営したい」という一般的な要件なら
下記の (1) SNI でも (2) SANs でも、同じ結果が得られるわけで、どっちでも良いのでは?
(1) SNI で example.com にアクセスしているブラウザには example.com 専用の証明書A、
example.jp にアクセスしているブラウザには example.jp 専用の証明書Bを送り付ける
(2) example.com にアクセスしているブラウザにも
example.jp にアクセスしているブラウザにも
同様に SANs を使って複数ドメイン(example.com と example.jp の2つ)に対応した証明書Cを送り付ける
管理上のメリット・デメリットとしては、ブラウザの対応状況を除くと、
(1) だと、サイトの数だけ別々の証明書を取得して管理しなければならない。それぞれで有効期限などを管理するのが面倒。
(2) だと、サイトが増えるたびに、証明書を発行しなおさなければならない。失敗すると他のサイトにも影響が出る。
といった感じだと思われ
勿論、「概念的には別物」なので、SNI でサイトごとに SANs で複数ドメインに対応した別々の証明書を送るなんて併用も可能
www の有り無しと同一サブドメインのだけ SANs で1つの証明書でまとめて、あとは SNI で分けるなんて併用も一般的
つまり (1) と (2) を併用することもできるってことね
まぁ、なんらかの事業者が顧客のサイトを代理で運営している(もしくはレンタルサーバ業務をやっている)とかの場合には
他の顧客のドメイン名がSANsに入った証明書を使うというのはどうかと思うから (1) のSNI 一択になるけどね
2015/12/19(土) 02:12:03.320
>>153
> まぁ、なんらかの事業者が顧客のサイトを代理で運営している(もしくはレンタルサーバ業務をやっている)とかの場合には
> 他の顧客のドメイン名がSANsに入った証明書を使うというのはどうかと思うから (1) のSNI 一択になるけどね
と、思うじゃん?
でも身近なCDNでは(ry
> まぁ、なんらかの事業者が顧客のサイトを代理で運営している(もしくはレンタルサーバ業務をやっている)とかの場合には
> 他の顧客のドメイン名がSANsに入った証明書を使うというのはどうかと思うから (1) のSNI 一択になるけどね
と、思うじゃん?
でも身近なCDNでは(ry
155名無しさん@お腹いっぱい。
2015/12/19(土) 16:38:28.150 今話題の CloudFlare のことですね
http://uzulla.hateblo.jp/entry/2015/02/25/033133
http://cdn-ak.f.st-hatena.com/images/fotolife/u/uzulla/20150225/20150225032705.png
他人のドメイン名がだぁ〜〜〜っと入った証明書って気持ち悪いな
てか、これって秘密鍵が万が一漏えいしたら羅列されたドメイン名全部の偽サイトの作成ができちゃうんだから危険だよね
CloudFlare退会したとしても、そのSANsを消した証明書を作り直したりもしないだろうし
こういうのはやめるべきだと思う
http://uzulla.hateblo.jp/entry/2015/02/25/033133
http://cdn-ak.f.st-hatena.com/images/fotolife/u/uzulla/20150225/20150225032705.png
他人のドメイン名がだぁ〜〜〜っと入った証明書って気持ち悪いな
てか、これって秘密鍵が万が一漏えいしたら羅列されたドメイン名全部の偽サイトの作成ができちゃうんだから危険だよね
CloudFlare退会したとしても、そのSANsを消した証明書を作り直したりもしないだろうし
こういうのはやめるべきだと思う
156名無しさん@お腹いっぱい。
2015/12/19(土) 16:47:58.690 レンタル鯖関係について語り合うならおすすめ。
よかったら、「blngs」で検索してみて!
よかったら、「blngs」で検索してみて!
2015/12/19(土) 17:10:21.910
>>156
SNSの宣伝ですか
今時、独自のSNS展開するなんていうのはセンスが無いからやめた方が良いよ
既存のSNS内でコミュ作ればいいだけでしょ
そんなのではアクセス稼げない 時代遅れだしセンスが無い
そして、この過疎版で宣伝して宣伝効果があると考えるのが痛い
「板」全体で1日数レスあるかないかのような掲示板で宣伝して何になるの?
この「板」全体のPVも数百/dayぐらいしか無いと思うよ?
悪い事言わないから、お前さんはネットビジネスのセンスが全くないんで、早く諦めた方がいい
時間が無駄になるだけなんで、サーバ運営、Web製作、Webプログラミングのうちなにかができるんだったら
それを生かした雇われの仕事探した方がいいよ
SNSの宣伝ですか
今時、独自のSNS展開するなんていうのはセンスが無いからやめた方が良いよ
既存のSNS内でコミュ作ればいいだけでしょ
そんなのではアクセス稼げない 時代遅れだしセンスが無い
そして、この過疎版で宣伝して宣伝効果があると考えるのが痛い
「板」全体で1日数レスあるかないかのような掲示板で宣伝して何になるの?
この「板」全体のPVも数百/dayぐらいしか無いと思うよ?
悪い事言わないから、お前さんはネットビジネスのセンスが全くないんで、早く諦めた方がいい
時間が無駄になるだけなんで、サーバ運営、Web製作、Webプログラミングのうちなにかができるんだったら
それを生かした雇われの仕事探した方がいいよ
2015/12/19(土) 17:18:14.410
「口コミ」で宣伝すると1件いくらで報酬もらえるんでしょ
2015/12/19(土) 21:05:15.930
ネットで「口コミ」とかいう表現するのやめて欲しいわ > ぐるなびとか価格.comとかもだけど
「口コミ」はその場にいる人に対してしか聞いて貰えないんだから「書き込み」と書くべきだ
「可視化」を「見える化」と言ったり「コミットする」だの「アボイドする」だの横文字連発した上で
「君もビジネス用語ぐらい使えるようになりなさい」と説教してくる上司と同じぐらいうざい
「口コミ」はその場にいる人に対してしか聞いて貰えないんだから「書き込み」と書くべきだ
「可視化」を「見える化」と言ったり「コミットする」だの「アボイドする」だの横文字連発した上で
「君もビジネス用語ぐらい使えるようになりなさい」と説教してくる上司と同じぐらいうざい
2015/12/19(土) 21:15:28.460
スレチはもっとうざいけどな
161名無しさん@お腹いっぱい。
2015/12/19(土) 21:35:43.280 ごめん
ここ Let's note のスレだったのね
すまそ
ここ Let's note のスレだったのね
すまそ
2015/12/19(土) 23:07:02.360
昔 CF-Y4 っていうパームレスト部分がパカっと開いて光学ドライブが出てくる奴持ってたわー
っておい
っておい
163名無しさん@お腹いっぱい。
2015/12/20(日) 20:05:21.930164名無しさん@お腹いっぱい。
2015/12/23(水) 01:09:45.460 Let's Encrypt マジスゲーや
色々面倒だと思ってたらコマンド数行打つだけで終わった
前ベリサリンで証明書取るときにはCSRの発行とかなんとかでつまずいて
(opensslのバージョン古くて鍵がちがかったりとかで)
何度も何度も何度も電話して2週間ぐらいかかったけどLet'sだと1時間足らずだった
色々面倒だと思ってたらコマンド数行打つだけで終わった
前ベリサリンで証明書取るときにはCSRの発行とかなんとかでつまずいて
(opensslのバージョン古くて鍵がちがかったりとかで)
何度も何度も何度も電話して2週間ぐらいかかったけどLet'sだと1時間足らずだった
2015/12/23(水) 23:26:46.540
まじ凄いのは分かるんだけど、余りに簡単過ぎて
証明書発行のプロセスに関する知識の無い人が凄い増えそうだ。
まぁ俺も勉強中で Let's Encrypt きたから途中で投げちゃったけどなww
証明書発行のプロセスに関する知識の無い人が凄い増えそうだ。
まぁ俺も勉強中で Let's Encrypt きたから途中で投げちゃったけどなww
2015/12/24(木) 01:25:23.840
レンタルサーバーでは使えないの?
2015/12/24(木) 08:01:25.640
>>166
お前さんにゃ無理かも知れぬ
お前さんにゃ無理かも知れぬ
2015/12/24(木) 10:13:10.480
Pythonが動かせる鯖ならあるいは
2015/12/24(木) 20:07:03.260
悪魔バスター★スター・バタフライ
http://livedoor.2.blogimg.jp/tunes2/imgs/3/2/32c50c49.jpg
悪魔バスター★スター・バタフライ
http://livedoor.2.blogimg.jp/tunes2/imgs/3/2/32c50c49.jpg
悪魔バスター★スター・バタフライ
http://livedoor.2.blogimg.jp/tunes2/imgs/3/2/32c50c49.jpg
悪魔バスター★スター・バタフライ
http://livedoor.2.blogimg.jp/tunes2/imgs/3/2/32c50c49.jpg 👀
Rock54: Caution(BBR-MD5:0be15ced7fbdb9fdb4d0ce1929c1b82f)
http://livedoor.2.blogimg.jp/tunes2/imgs/3/2/32c50c49.jpg
悪魔バスター★スター・バタフライ
http://livedoor.2.blogimg.jp/tunes2/imgs/3/2/32c50c49.jpg
悪魔バスター★スター・バタフライ
http://livedoor.2.blogimg.jp/tunes2/imgs/3/2/32c50c49.jpg
悪魔バスター★スター・バタフライ
http://livedoor.2.blogimg.jp/tunes2/imgs/3/2/32c50c49.jpg 👀
Rock54: Caution(BBR-MD5:0be15ced7fbdb9fdb4d0ce1929c1b82f)
2015/12/24(木) 22:57:47.130
2015/12/25(金) 12:08:40.380
さくらのレンタルサーバで試してみようと思って調べてみましたが、結構面倒くさそうですね
https://msnr.net/2015/12/letsencrypt.html
https://msnr.net/2015/12/letsencrypt.html
2015/12/25(金) 20:20:41.820
時刻まで気にするってのはあまりないんだけどさ、こう気軽に発行できてじっくりながめることができて気づいたんだけど、
ちょうど1時間ずれるのは、こういうもんなの?
それとも Let's Encrypt だけ?
ちょうど1時間ずれるのは、こういうもんなの?
それとも Let's Encrypt だけ?
173172
2015/12/25(金) 20:34:41.990 >>172
書いたあとに自分でググった。
https://community.letsencrypt.org/t/time-zone-problem-with-issue-date/3151/11
あえて1時間ずらしてるらしい。時計が多少狂っていても大丈夫なように。
書いたあとに自分でググった。
https://community.letsencrypt.org/t/time-zone-problem-with-issue-date/3151/11
あえて1時間ずらしてるらしい。時計が多少狂っていても大丈夫なように。
2015/12/25(金) 22:30:16.700
>>171
そもそも共用サーバじゃできないよ
そもそも共用サーバじゃできないよ
2015/12/25(金) 23:44:44.980
>>174
何が出来ないのさ?
何が出来ないのさ?
2015/12/25(金) 23:53:03.770
おまえさんの使ってるどこぞの共用サーバは独自SSLが使えると仕様にあるのかい?
2015/12/26(土) 00:01:51.120
>>176
本当に知らんのか?
http://www.sakura. ne.jp/news/sakurainfo/newsentry.php?id=1018
https://help.sakura. ad.jp/app/answers/detail/a_id/2326/~/ssl%E3%82%92%E5%88%9D%E3%82%81%E3%81%A6%E8%A8%AD%E5%AE%9A%E3%81%99%E3%82%8B
つーか、お前>>171のリンク先見てないだろ? 👀
Rock54: Caution(BBR-MD5:0dc23c366b23c59a9fe320a62dd69b5a)
本当に知らんのか?
http://www.sakura. ne.jp/news/sakurainfo/newsentry.php?id=1018
https://help.sakura. ad.jp/app/answers/detail/a_id/2326/~/ssl%E3%82%92%E5%88%9D%E3%82%81%E3%81%A6%E8%A8%AD%E5%AE%9A%E3%81%99%E3%82%8B
つーか、お前>>171のリンク先見てないだろ? 👀
Rock54: Caution(BBR-MD5:0dc23c366b23c59a9fe320a62dd69b5a)
2015/12/26(土) 00:23:47.380
アフィリブログ踏めとかワロタ
2015/12/26(土) 00:25:44.430
>>178
恥ずかしい奴だな
恥ずかしい奴だな
2015/12/26(土) 00:32:27.120
リンク踏めとかウィルス製作者がよく言うセリフだな
通報しておいた
通報しておいた
2015/12/26(土) 00:36:24.470
Cautionって書いてあるしな
182名無しさん@お腹いっぱい。
2015/12/26(土) 02:08:20.880 伊藤正典さん?
Registrant Name: MASANORI ITO
Registrant Organization: MSNR.NET
Registrant Email: POSTMASTER@MSNR.NET
Created Date: Sunday, December 16th, 2001
Updated Date: Sunday, November 17th, 2013
Expires Date: Friday, December 16th, 2016
Admin Name: MASANORI ITO
Admin Organization: MSNR.NET
Admin Email: POSTMASTER@MSNR.NET
Registrant Name: MASANORI ITO
Registrant Organization: MSNR.NET
Registrant Email: POSTMASTER@MSNR.NET
Created Date: Sunday, December 16th, 2001
Updated Date: Sunday, November 17th, 2013
Expires Date: Friday, December 16th, 2016
Admin Name: MASANORI ITO
Admin Organization: MSNR.NET
Admin Email: POSTMASTER@MSNR.NET
2015/12/27(日) 10:58:50.180
こういう知ったかをなんとかして欲しいわ
2015/12/27(日) 22:19:33.850
粘着って何処でスイッチが入るか分からんね。
2015/12/27(日) 23:53:53.890
知識をひけらかそうとしたら、無知を露呈させちゃって顔真っ赤になったんでしょ
素直に知らなかったと認めれば良いのに、関係ない事にいちゃもんつけたあげく、
あまつさえ無関係なブログの人を晒すとか・・・
いくら公開情報だからって非常識すぎ
素直に知らなかったと認めれば良いのに、関係ない事にいちゃもんつけたあげく、
あまつさえ無関係なブログの人を晒すとか・・・
いくら公開情報だからって非常識すぎ
2015/12/28(月) 10:17:57.800
187186
2015/12/28(月) 10:33:08.2002015/12/28(月) 11:20:41.700
いやまあポート80、、という1024以下のポート使うならroot必須だろう
2015/12/28(月) 11:37:12.390
>>188
デーモンを起動することを言っている?
デーモンを起動することを言っている?
2015/12/28(月) 11:38:44.880
あと証明書の同期は手動でも自動でも好きにしたらいいじゃん
2015/12/28(月) 11:40:30.420
2015/12/28(月) 11:41:50.640
どいつもこいつも
2015/12/28(月) 11:43:02.180
>>190
証明書の同期?crontab?
そして、RSYNCで?、FTP?、SCP?
疑問
1、証明書関係のファイルのコピー(同期)って、
さくらのレンタルサーバーでできるの?
やったことがないから知らないが、証明書って特定のディレクトリに収める必要があって、
そこの書き込みにはroot権限が要るんじゃない?
2、さくらのレンタルサーバーで、同期の手段って、どっちの方向へアクセスできる?
さくらレンタルサーバー → 取得専用自分マシン
取得専用自分マシン → さくらレンタルサーバー
証明書の同期?crontab?
そして、RSYNCで?、FTP?、SCP?
疑問
1、証明書関係のファイルのコピー(同期)って、
さくらのレンタルサーバーでできるの?
やったことがないから知らないが、証明書って特定のディレクトリに収める必要があって、
そこの書き込みにはroot権限が要るんじゃない?
2、さくらのレンタルサーバーで、同期の手段って、どっちの方向へアクセスできる?
さくらレンタルサーバー → 取得専用自分マシン
取得専用自分マシン → さくらレンタルサーバー
2015/12/28(月) 11:47:30.280
2015/12/28(月) 11:51:32.250
ドメインが有効かを向こうが80でアクセスしてくるだろ
仕組みもよく知らんで茶々いれてんじゃないよ
仕組みもよく知らんで茶々いれてんじゃないよ
2015/12/28(月) 11:53:36.390
サクラの共有よくしらんけど、VirtualHost使ってんじゃないの?
だったらその定義ファイルに証明書の場所書いてあるはずだし
そこがrootである必要はない
だったらその定義ファイルに証明書の場所書いてあるはずだし
そこがrootである必要はない
2015/12/28(月) 12:09:34.610
さくらの共用の話はさくらの共用鯖スレでやれよ
2015/12/28(月) 14:56:16.940
ヘルプ見れば解決するやろ
何を見当違いな話しとんや?
無料っていろいろと危険なんやなぁ
何を見当違いな話しとんや?
無料っていろいろと危険なんやなぁ
2015/12/28(月) 16:35:58.820
これだけ情報出てて理解できない奴は諦めろよ。
2015/12/28(月) 17:53:37.030
Let's Decrypt
2015/12/28(月) 18:10:51.440
レンタル系の特殊な環境は別でスレたてれば?w
2015/12/29(火) 21:32:12.220
複数のサーバーの証明書を1台の親玉サーバーで一元管理(取得・更新・配布)したい場合
webroot モードで NFS で /var/www/〜 を共有するか、manual モードでやるしかないっぽいけど
なんかもっといい方法ないかな
有効期限短いからcron自動化したいけど、各サーバーに lets クライアントを入れて回るのは嫌だな
webroot モードで NFS で /var/www/〜 を共有するか、manual モードでやるしかないっぽいけど
なんかもっといい方法ないかな
有効期限短いからcron自動化したいけど、各サーバーに lets クライアントを入れて回るのは嫌だな
2015/12/29(火) 23:35:22.740
>>202
rsyncで、マスターマシン内の証明書を、他のマシンと同期するとかは?
rsyncで、マスターマシン内の証明書を、他のマシンと同期するとかは?
2015/12/30(水) 01:23:44.930
放置する阿呆がいるからこまめに面倒見るようにと1年更新じゃないのに
阿呆はさらに余計なことをしようと
阿呆はさらに余計なことをしようと
2015/12/30(水) 07:29:07.370
もし証明書が中途半端になってるとアウトだから自動更新はしたくないけどな。
2015/12/30(水) 10:10:24.580
自動化はサーバーの基本だろ
2015/12/30(水) 13:33:46.660
リバースプロキシサーバをたてて、そこでまとめてSSL化すればいい
バックのサーバ群はSSLしない
ただいろいろと修正がいるだろうけど
バックのサーバ群はSSLしない
ただいろいろと修正がいるだろうけど
2015/12/30(水) 16:57:06.460
>>207
それが一番いいな
それが一番いいな
209sage
2015/12/30(水) 22:35:33.540 ブラウザで取得できるらしい。
ttps://sslnow.ml/
誰か試してみて
ttps://sslnow.ml/
誰か試してみて
2015/12/30(水) 23:01:50.130
テメェで確認しろ
211softbank.jp
2015/12/31(木) 10:25:07.770 TLS 1.0、AES 256 / 256 ビット暗号 (高); RSA / 2048 ビット交換
sha1RSA
CN = avast! Web/Mail Shield Root
O = avast! Web/Mail Shield
OU = generated by avast antivirus for SSL/TLS scanning
https://my.softbank.jp/msb/d/top
TLS 1.0、RC4 / 128 ビット暗号 (高); RSA / 2048 ビット交換
TLS 1.0、Triple DES / 168 ビット暗号 (高); RSA / 2048 ビット交換
TLS 1.0、AES 128 / 128 ビット暗号 (高); RSA / 2048 ビット交換
TLS 1.0、AES 256 / 256 ビット暗号 (高); RSA / 2048 ビット交換
https://www.virustotal.com/en/file/7b6af39264f866465b0d68e0a57ba08bba6c28cb2b1f47e9f7b5767c017680be/analysis
sha1RSA
CN = avast! Web/Mail Shield Root
O = avast! Web/Mail Shield
OU = generated by avast antivirus for SSL/TLS scanning
https://my.softbank.jp/msb/d/top
TLS 1.0、RC4 / 128 ビット暗号 (高); RSA / 2048 ビット交換
TLS 1.0、Triple DES / 168 ビット暗号 (高); RSA / 2048 ビット交換
TLS 1.0、AES 128 / 128 ビット暗号 (高); RSA / 2048 ビット交換
TLS 1.0、AES 256 / 256 ビット暗号 (高); RSA / 2048 ビット交換
https://www.virustotal.com/en/file/7b6af39264f866465b0d68e0a57ba08bba6c28cb2b1f47e9f7b5767c017680be/analysis
2016/01/04(月) 21:59:17.110
さくらのレンタルサーバ上で使う方法は、
--manualするの面倒で別のFreeBSDマシンからsshfsして--webroot指定で取得したんだが
まとめるの面倒なのでやってないけど分かる人には分かるってことで。
なので、CentOSからでもsshfsいければいけるはず。
あとはコントロールパネルから手動でアップロードしないといけない点については
スクリプト書けばよさそうだけど、まだ書いていない。
--manualするの面倒で別のFreeBSDマシンからsshfsして--webroot指定で取得したんだが
まとめるの面倒なのでやってないけど分かる人には分かるってことで。
なので、CentOSからでもsshfsいければいけるはず。
あとはコントロールパネルから手動でアップロードしないといけない点については
スクリプト書けばよさそうだけど、まだ書いていない。
2016/01/04(月) 22:22:51.820
"All ISRG keys are currently RSA keys. We are planning to generate ECDSA keys in early 2016."
https://letsencrypt.org/certificates/ より
ECDSAが無料で体験できるのが待ち遠しいなぁ
RSAとECDSAのDual署名はopensslが対応しているのでapache他多数でも使えるハズ
https://letsencrypt.org/certificates/ より
ECDSAが無料で体験できるのが待ち遠しいなぁ
RSAとECDSAのDual署名はopensslが対応しているのでapache他多数でも使えるハズ
2016/01/08(金) 02:05:25.980
ssl/tslでは、どのタイミングで、設定されたドメイン名が使われるんですか?
自分のドメイン名を設定する意味がいまいちピンとこなくて。
自分のドメイン名を設定する意味がいまいちピンとこなくて。
2016/01/08(金) 08:29:16.990
2016/01/08(金) 15:21:46.720
>>215
ありがとうございます。
クライアント側が、
サーバ証明書に記載されているサーバのドメイン名と、自分がアクセスしている先のドメイン名とを
照合しているってことかな。
なんか緩いなあと感じるが、
サーバ証明書は、第三者機関からデジタル署名を受けているんだよね。
でもそれって、含まれている公開鍵だけじゃなかったっけ。
その署名された公開鍵にも、サーバのドメイン名って含まれているのかな。
それなら、冒頭の、クライアント側でのドメイン名の照合には意味があるね。
ありがとうございます。
クライアント側が、
サーバ証明書に記載されているサーバのドメイン名と、自分がアクセスしている先のドメイン名とを
照合しているってことかな。
なんか緩いなあと感じるが、
サーバ証明書は、第三者機関からデジタル署名を受けているんだよね。
でもそれって、含まれている公開鍵だけじゃなかったっけ。
その署名された公開鍵にも、サーバのドメイン名って含まれているのかな。
それなら、冒頭の、クライアント側でのドメイン名の照合には意味があるね。
2016/01/08(金) 16:19:52.750
いろいろ突っ込みたいが、とりあえず板違いと思う
2016/01/09(土) 12:17:01.500
先生!! これ letsencrypt-auto に任せず手動で出来るもんなのでしょうか
letsencrypt-auto の中身みてみたらどうもpythonのvirtualenvが必須のようで、
しかも自動でgccとか触って欲しくないものを強制的に更新・インストールしようとしてくれちゃうのでさっき実行しかけて慌てて止めました
最低限不要なものをインストールしないで済むなら、少々.shなり.plなり書く労力は受け容れるんですが
letsencrypt-auto の中身みてみたらどうもpythonのvirtualenvが必須のようで、
しかも自動でgccとか触って欲しくないものを強制的に更新・インストールしようとしてくれちゃうのでさっき実行しかけて慌てて止めました
最低限不要なものをインストールしないで済むなら、少々.shなり.plなり書く労力は受け容れるんですが
219218
2016/01/09(土) 14:02:15.450 すまん自己解決しました
letsencrypt-nosudoで、途中関係ない問題が出て手間取ったけどもあっさりできた
あとでこれ参考にcronで走らせられる完全自動化バッチか何か書くことにします
letsencrypt-nosudoで、途中関係ない問題が出て手間取ったけどもあっさりできた
あとでこれ参考にcronで走らせられる完全自動化バッチか何か書くことにします
2016/01/09(土) 23:37:52.010
うむ。gcc はともかく、python のライブラリやそれが依存するライブラリが色々入るのはあまり歓迎しない。
しかも、最初のドメイン名やメールアドレスの対話入力のためだけにTUIの環境が要求されるのは
なんじゃそりゃーと思った
CUIでいいじゃんね…
しかも、最初のドメイン名やメールアドレスの対話入力のためだけにTUIの環境が要求されるのは
なんじゃそりゃーと思った
CUIでいいじゃんね…
2016/01/09(土) 23:46:38.090
>>216
>クライアント側が、
>サーバ証明書に記載されているサーバのドメイン名と、自分がアクセスしている先のドメイン名とを
>照合しているってことかな。
YES.
もちろんその証明書の正当性有効性自体も。
>サーバ証明書は、第三者機関からデジタル署名を受けているんだよね。
YES.
>でもそれって、含まれている公開鍵だけじゃなかったっけ。
NO.
>クライアント側が、
>サーバ証明書に記載されているサーバのドメイン名と、自分がアクセスしている先のドメイン名とを
>照合しているってことかな。
YES.
もちろんその証明書の正当性有効性自体も。
>サーバ証明書は、第三者機関からデジタル署名を受けているんだよね。
YES.
>でもそれって、含まれている公開鍵だけじゃなかったっけ。
NO.
2016/01/10(日) 01:29:13.490
2016/01/12(火) 10:35:21.500
こんなとこにスレあったのか
いつの間に・・・
いつの間に・・・
2016/01/13(水) 23:03:20.930
しかし、説明どおりにやって cron 登録までいくと
大して話題が無いという…
大して話題が無いという…
2016/01/13(水) 23:18:28.740
ところで80番開けてないと更新できないの?
できればweb鯖止めたくないなーと
できればweb鯖止めたくないなーと
2016/01/13(水) 23:21:19.340
あるよ
2016/01/13(水) 23:50:00.770
Let'sEncryptのIPだけ別マシンにルーティングすればいいか
2016/01/14(木) 01:29:02.910
いつIPが変わるかわからんけどな
2016/01/14(木) 02:12:02.420
広告ウイルスに悪用されたんだってよ
2016/01/14(木) 09:25:40.120
>>228
最初にweb鯖止めないで公式蔵動かして繋いできたそれっぽいリモホのIP使えばええんやろ
最初にweb鯖止めないで公式蔵動かして繋いできたそれっぽいリモホのIP使えばええんやろ
2016/01/14(木) 15:52:02.940
2016/01/14(木) 17:04:52.370
>>229
最近のアンチウィルスソフトはSSL通信の監視も出来るけど
そのためにオレオレ証明書を入れてクライアントを騙したりするし
SSL通信の内容がアンチウィルスソフトメーカーに筒抜けになる気がして
機能OFFにしてるんだよなぁ
Let's Encryptの登場で今後不正サイトがSSL/TLS化されるって言われてるし、
監視しないと心配になってきたな
最近のアンチウィルスソフトはSSL通信の監視も出来るけど
そのためにオレオレ証明書を入れてクライアントを騙したりするし
SSL通信の内容がアンチウィルスソフトメーカーに筒抜けになる気がして
機能OFFにしてるんだよなぁ
Let's Encryptの登場で今後不正サイトがSSL/TLS化されるって言われてるし、
監視しないと心配になってきたな
2016/01/14(木) 20:27:42.190
証明書が悪用されたと発覚しても revoke しないポリシーってどうなんだ。
イタチごっこなのはわかるんだが。
以下ちょっと長い引用
>Let's Encryptは証明書を発行する前にGoogleのSafe Browsing APIを用いてドメインが
>悪用されていないか確認しているが、発行後の確認は行っていない。
>Trend Microのブログ記事では発行後にドメインの悪用が確認された場合、認証局が証明書を
>取り消すべきだと主張する。
>一方、Let's Encryptのサービスを提供するInternet Security Research Group(ISRG)の
>Josh Aas氏は発行後の取り消しについて、効果的でなく現実的でもないとしている。
イタチごっこなのはわかるんだが。
以下ちょっと長い引用
>Let's Encryptは証明書を発行する前にGoogleのSafe Browsing APIを用いてドメインが
>悪用されていないか確認しているが、発行後の確認は行っていない。
>Trend Microのブログ記事では発行後にドメインの悪用が確認された場合、認証局が証明書を
>取り消すべきだと主張する。
>一方、Let's Encryptのサービスを提供するInternet Security Research Group(ISRG)の
>Josh Aas氏は発行後の取り消しについて、効果的でなく現実的でもないとしている。
2016/01/14(木) 21:54:17.880
Let's Encryptの証明書、不正広告攻撃に悪用される
http://srad.jp/story/16/01/10/1837213
http://srad.jp/story/16/01/10/1837213
2016/01/14(木) 22:19:33.430
まあ期限を短くしてくのが効果的だろうね
そもそも現状の証明書の扱いに問題があるわけだけれども
そもそも現状の証明書の扱いに問題があるわけだけれども
2016/01/14(木) 22:56:47.100
>>234
証明書発行機関はインターネットの警察ではない
DV証明書はそのドメインと暗号化通信していることを保証するだけでそのサイトの善悪までは知らん
というのはエンジニアとしてはものすごく正しいことを言っているのだが
実際にインターネットを利用して被害にあうエンドユーザーには通じない
最終的にLet'sの証明書は信用できない、Let'sはウィルス、マルウェア被害を助長する悪の組織、
みたいにならなければいいけど
証明書発行機関はインターネットの警察ではない
DV証明書はそのドメインと暗号化通信していることを保証するだけでそのサイトの善悪までは知らん
というのはエンジニアとしてはものすごく正しいことを言っているのだが
実際にインターネットを利用して被害にあうエンドユーザーには通じない
最終的にLet'sの証明書は信用できない、Let'sはウィルス、マルウェア被害を助長する悪の組織、
みたいにならなければいいけど
2016/01/14(木) 23:18:54.140
もうなりつつあるんじゃないかなぁ
多数の人の中で証明書の正しさとSSL/TLSであることがごっちゃになってるし
多数の人の中で証明書の正しさとSSL/TLSであることがごっちゃになってるし
2016/01/14(木) 23:27:15.430
例えば無料DV証明書でも
example.com + www.example.com の証明書は取れても
それのサブドメイン sub.example.com は取れないみたいな制限あること多いよね
あとは親ドメインの証明書を他の人が取ってたらそれのサブドメインの証明書は取れないみたいなのとか
Let's Encrypt ってそーいう制限ないから domain shadowing と相性ピッタリなんだよね
example.com + www.example.com の証明書は取れても
それのサブドメイン sub.example.com は取れないみたいな制限あること多いよね
あとは親ドメインの証明書を他の人が取ってたらそれのサブドメインの証明書は取れないみたいなのとか
Let's Encrypt ってそーいう制限ないから domain shadowing と相性ピッタリなんだよね
2016/01/14(木) 23:39:37.410
他人がどうやってサブドメインできるの?
2016/01/14(木) 23:45:37.580
例えば無料のHPでサブドメインが割り当てられるなんてのはよくあるやつだろ
2016/01/14(木) 23:48:47.110
>>239
domain shadowing
domain shadowing
2016/01/15(金) 00:42:06.650
責任の所在がどこにあるかは別にして
被害者を少しでも減らすためにもうちょっと対策考えるべきじゃね
義務じゃないけど努力義務的な感じで
トレンドマイクロから通報されてrevokeするのがそんなに大変な作業かね
被害者を少しでも減らすためにもうちょっと対策考えるべきじゃね
義務じゃないけど努力義務的な感じで
トレンドマイクロから通報されてrevokeするのがそんなに大変な作業かね
2016/01/15(金) 00:54:26.450
この Web サイトのセキュリティ証明書には問題があります。
http://nakedsecurity.sophos.com/2013/05/27/anatomy-of-a-change-google-announces-it-will-double-its-ssl-key-sizes/
この Web サイトで提供されているセキュリティ証明書にはエラーがあるため、
信頼しないでください。
セキュリティ証明書の問題によって、詐欺や、お使いのコンピューターから
サーバーに送信される情報を盗み取る意図が示唆されている場合があります。
http://nakedsecurity.sophos.com/2013/05/27/anatomy-of-a-change-google-announces-it-will-double-its-ssl-key-sizes/
この Web サイトで提供されているセキュリティ証明書にはエラーがあるため、
信頼しないでください。
セキュリティ証明書の問題によって、詐欺や、お使いのコンピューターから
サーバーに送信される情報を盗み取る意図が示唆されている場合があります。
2016/01/15(金) 09:27:06.600
2016/01/15(金) 11:26:21.770
今のままじゃブラウザで不正証明書の警告が出ないオレオレ証明書と同じじゃないか
2016/01/15(金) 11:41:11.890
同じだよ?
全くその通りだしめざしてるのはそれだろ
目的は単純な暗号化なんだから
全くその通りだしめざしてるのはそれだろ
目的は単純な暗号化なんだから
2016/01/15(金) 11:56:38.710
正しい証明書であることとサイトの信頼性はまったくべつのはなしだ
DV証明書ってそういうものだろ、という、繰り返されたいつものやつ
DV証明書ってそういうものだろ、という、繰り返されたいつものやつ
2016/01/15(金) 12:05:32.590
だが消費者は納得しない
なぜかといえばブラウザが緑になるせいでhttps=安心安全と教育されてきたから
なぜかといえばブラウザが緑になるせいでhttps=安心安全と教育されてきたから
2016/01/15(金) 12:14:50.590
緑になるのはEVだしかなり最近の話だな
鍵マークみたいなのが出るのは昔からだが
まぁ鍵マークとURLを確認=安全って教えられてるわな
鍵マークみたいなのが出るのは昔からだが
まぁ鍵マークとURLを確認=安全って教えられてるわな
2016/01/15(金) 12:16:43.450
>>249
緑に関してはもちろんそうだけどもEVとDVの違いをちゃんと理解して使ってる奴がどのくらいいるのかとね
緑に関してはもちろんそうだけどもEVとDVの違いをちゃんと理解して使ってる奴がどのくらいいるのかとね
2016/01/15(金) 12:20:28.940
「このWebサイトは認証されています。このサイトとの通信は安全です」
↓
通信は安全だけど、サイト自体はフィッシングサイトかもしれない、ウィルス流し込まれたかもねー
って一般には理解できんと思うが、そーいう目的だと言われたらもうここの発行した証明書を
ブロックするしかないな
↓
通信は安全だけど、サイト自体はフィッシングサイトかもしれない、ウィルス流し込まれたかもねー
って一般には理解できんと思うが、そーいう目的だと言われたらもうここの発行した証明書を
ブロックするしかないな
2016/01/15(金) 14:29:43.020
>>251
だったら、RapidSSL とかグローバルサインとか含めて、DV証明書全部ブロックしたら?
DV証明書っていうのはそういうもんだからね
言っとくけど、フィッシング詐欺やらウイルス配布やらに悪用されているDV証明書なんて山ほどあるから
Let's Encrypt を糞会社のトレンドマイクロが叩いただけで、それ以外の既存の大手CAのDV証明書だってフィッシングサイトなどに悪用されてる
サイトを信頼したいなら、その法的に実在している法人や団体が運営していることを証明している
アドレスバーが緑色になるEV証明書だけ信頼していればいいでしょ
文句いってるトレンドマイクロの方が明らかにおかしなセキュリティ会社なんだけどね
トレンドマイクロの「パスワードマネージャ」が、localhostでNode.jsを使ってHTTPサーバーを実行していて、
全世界から任意のコードを実行できて、記録されたパスワードも盗用可能という致命的な脆弱性があるという糞会社だからセキュリティを語る資格はない
てか、パスワードマネージャに HTTPD が入ってるとか、脆弱性以前にバックドアとしか言いようがない糞設計だよね
ウイルス対策ソフト自体も誤検出放置で信頼性皆無だし
http://it.srad.jp/story/16/01/14/0853225/
だったら、RapidSSL とかグローバルサインとか含めて、DV証明書全部ブロックしたら?
DV証明書っていうのはそういうもんだからね
言っとくけど、フィッシング詐欺やらウイルス配布やらに悪用されているDV証明書なんて山ほどあるから
Let's Encrypt を糞会社のトレンドマイクロが叩いただけで、それ以外の既存の大手CAのDV証明書だってフィッシングサイトなどに悪用されてる
サイトを信頼したいなら、その法的に実在している法人や団体が運営していることを証明している
アドレスバーが緑色になるEV証明書だけ信頼していればいいでしょ
文句いってるトレンドマイクロの方が明らかにおかしなセキュリティ会社なんだけどね
トレンドマイクロの「パスワードマネージャ」が、localhostでNode.jsを使ってHTTPサーバーを実行していて、
全世界から任意のコードを実行できて、記録されたパスワードも盗用可能という致命的な脆弱性があるという糞会社だからセキュリティを語る資格はない
てか、パスワードマネージャに HTTPD が入ってるとか、脆弱性以前にバックドアとしか言いようがない糞設計だよね
ウイルス対策ソフト自体も誤検出放置で信頼性皆無だし
http://it.srad.jp/story/16/01/14/0853225/
2016/01/15(金) 18:55:27.500
こういうことが続いてLet'sの証明書が信用失ってブロックされたら困るよねーって話だし
トレンドマイクロ叩きとかどうでもいいし
何ヒートアップしてんの
トレンドマイクロ叩きとかどうでもいいし
何ヒートアップしてんの
2016/01/15(金) 18:57:36.350
全ては無知な大衆が悪い
2016/01/15(金) 21:11:13.990
なんかここではDV証明書の議論になってるけど
トレンドマイクロが危惧してるのは今回の domain shadowing の手法と
サブドメインだけで証明書を取りまくれる仕様の合わせ技って
ところじゃないかな
もちろん他にもそういうザル認証局はあるんだろうけど、Let's Encrypt は自動化しやすいし…
ほら、無職ニートとかが変態的犯罪を起こすと「犯人の自宅にはアニメのDVDが大量にあり…」
みたいな恣意的な報道されるじゃん? あんな感じでさ
今回の件で Let's Encrypt が悪いとは思わないけど
今後 Let's Encrypt が悪者にされるのは心配だよね
トレンドマイクロが危惧してるのは今回の domain shadowing の手法と
サブドメインだけで証明書を取りまくれる仕様の合わせ技って
ところじゃないかな
もちろん他にもそういうザル認証局はあるんだろうけど、Let's Encrypt は自動化しやすいし…
ほら、無職ニートとかが変態的犯罪を起こすと「犯人の自宅にはアニメのDVDが大量にあり…」
みたいな恣意的な報道されるじゃん? あんな感じでさ
今回の件で Let's Encrypt が悪いとは思わないけど
今後 Let's Encrypt が悪者にされるのは心配だよね
2016/01/15(金) 23:27:21.860
証明書で証明できるものは、公開鍵の正当性だけ
公開鍵証明書という正式な名称使った方が誤解ない
公開鍵証明書という正式な名称使った方が誤解ない
2016/01/16(土) 00:24:22.540
で、その公開鍵証明書にはサーバー用、クライアント用、S/MIME用、アプリ署名用とかいろいろあって
それを区別するためにだな。。。
それを区別するためにだな。。。
2016/01/16(土) 00:26:26.020
2016/01/16(土) 02:35:20.810
イヤなら金払ってもっと上の証明書を使うなりすればいいじゃない。
俺はそれがイヤだから無料の Let's Encrypt を使っているだけというね。
暗号化経路さえ確保出来ていればそれでいいよ。
俺はそれがイヤだから無料の Let's Encrypt を使っているだけというね。
暗号化経路さえ確保出来ていればそれでいいよ。
2016/01/16(土) 11:04:36.540
そう言う話ではないと思うが
2016/01/17(日) 00:38:25.410
>>260
暗号化とデータの保証では駄目なん?
暗号化とデータの保証では駄目なん?
2016/01/17(日) 00:49:40.720
またDV証明書の問題に論点すり替えか
2016/01/17(日) 12:28:29.610
>>262
今時大手CAもDV証明書売ってるし、フィッシングサイトが HTTPSに対応しているなんてのは今時当たり前(大手CAのDV証明書利用)であって、いちいちニュースにもならない。
ニュースになったとしても、○○銀行のフィッシング詐欺サイトがどうのこうのと注意喚起されるだけで、どこの証明書が使われたなんてのは記事にならない(実際どうでもいいし)。
ところが Let's Encrypt の証明書が使われたときだけ騒ぐというのは嫌がらせとしか思えない
大手CAと違って広告費払ってくれない非営利団体運営だから、叩きやすいんだろうね
一方、DVやってるジオトラストは、シマンテック・ベリサイン系列だから気軽に叩く訳にはいかんだろうし
今時大手CAもDV証明書売ってるし、フィッシングサイトが HTTPSに対応しているなんてのは今時当たり前(大手CAのDV証明書利用)であって、いちいちニュースにもならない。
ニュースになったとしても、○○銀行のフィッシング詐欺サイトがどうのこうのと注意喚起されるだけで、どこの証明書が使われたなんてのは記事にならない(実際どうでもいいし)。
ところが Let's Encrypt の証明書が使われたときだけ騒ぐというのは嫌がらせとしか思えない
大手CAと違って広告費払ってくれない非営利団体運営だから、叩きやすいんだろうね
一方、DVやってるジオトラストは、シマンテック・ベリサイン系列だから気軽に叩く訳にはいかんだろうし
2016/01/17(日) 13:15:52.430
最初の発行時だけ手動の操作による認証が必要にすればいいんじゃないのかな?
自動化は更新だけで十分だよね
自動化は更新だけで十分だよね
2016/01/17(日) 15:44:56.750
>>264
そんなことはジオトラストとかの大手DVもやってなくて機械的に取れるんだけど
だいたい、手動による認証ってなんか意味あるの?
証明書取得時だけ普通のサイトっぽくして、証明書取得後にフィッシングサイトに書き換えられたら終わりじゃん
もうちょっと考えてから書き込んだら?
そんなことはジオトラストとかの大手DVもやってなくて機械的に取れるんだけど
だいたい、手動による認証ってなんか意味あるの?
証明書取得時だけ普通のサイトっぽくして、証明書取得後にフィッシングサイトに書き換えられたら終わりじゃん
もうちょっと考えてから書き込んだら?
2016/01/17(日) 15:46:37.770
/;;;;;;;;;;;;;;;;:.
i;;;」' __ __i
|;;| '・`, '・`{
(6|}. ・・ } 嫌なら使うな!
ヽ 'ー-ソ
ノ、ヽ_/
/, ヽ
ト,.| ト|
i;;;」' __ __i
|;;| '・`, '・`{
(6|}. ・・ } 嫌なら使うな!
ヽ 'ー-ソ
ノ、ヽ_/
/, ヽ
ト,.| ト|
2016/01/17(日) 15:47:34.510
手動による認証ってなんだ?
電話やSMS確認でもするんか?
大概のことは自動化余裕だぞ
電話やSMS確認でもするんか?
大概のことは自動化余裕だぞ
2016/01/17(日) 16:27:20.780
>>266
なにを?
なにを?
269オレオレ証明書
2016/01/17(日) 16:37:38.760 https://support.microsoft.com/ja-jp/kb/931850
この Web サイトのセキュリティ証明書には問題があります。
https://www.knaw.nl/nl
sha384WithRSAEncryption
TLS 1.0、AES 256 / 256 ビット暗号 (高); RSA / 4096 ビット交換
オレオレ証明書
Program Files\CSR\CSR Harmony Wireless Software Stack
cert_install.bat
@ECHO OFF
cd .
call certmgr.exe /add HarmonyTest.cer /s /r localMachine root
call certmgr.exe /add HarmonyNewTest.cer /s /r localMachine root
Harmony(Test).cer
HarmonyNew(TEST).cer
bluetooth
bluetooth追加後、証明書が書き込まれる。
https://www.ssllabs.com/index.html
TLS 1.0、Triple DES / 168 ビット暗号 (高); RSA / 2048 ビット交換
kb3081320
WEPOS および POSReady 2009 のセキュリティ更新プログラム (KB3081320)
schannel.dll
この Web サイトのセキュリティ証明書には問題があります。
https://www.knaw.nl/nl
sha384WithRSAEncryption
TLS 1.0、AES 256 / 256 ビット暗号 (高); RSA / 4096 ビット交換
オレオレ証明書
Program Files\CSR\CSR Harmony Wireless Software Stack
cert_install.bat
@ECHO OFF
cd .
call certmgr.exe /add HarmonyTest.cer /s /r localMachine root
call certmgr.exe /add HarmonyNewTest.cer /s /r localMachine root
Harmony(Test).cer
HarmonyNew(TEST).cer
bluetooth
bluetooth追加後、証明書が書き込まれる。
https://www.ssllabs.com/index.html
TLS 1.0、Triple DES / 168 ビット暗号 (高); RSA / 2048 ビット交換
kb3081320
WEPOS および POSReady 2009 のセキュリティ更新プログラム (KB3081320)
schannel.dll
2016/01/17(日) 16:39:08.730
https://my.softbank.jp/msb/d/top
TLS 1.0、RC4 / 128 ビット暗号 (高); RSA / 2048 ビット交換
このページは表示できません
https://media.defcon.org/
sha512RSA
DigiCert SHA2 High Assurance Server CA
https://trinlink.tmfhs.org/EpicCareLink/common/epic_login.asp
TLS 1.0、AES 256 / 256 ビット暗号 (高); RSA / 2048 ビット交換
TLS 1.0、RC4 / 128 ビット暗号 (高); RSA / 2048 ビット交換
このページは表示できません
https://media.defcon.org/
sha512RSA
DigiCert SHA2 High Assurance Server CA
https://trinlink.tmfhs.org/EpicCareLink/common/epic_login.asp
TLS 1.0、AES 256 / 256 ビット暗号 (高); RSA / 2048 ビット交換
2016/01/17(日) 17:02:32.380
>>268
時々現れる荒らしだからスルーな
時々現れる荒らしだからスルーな
2016/01/17(日) 22:59:27.420
σ < マイクロソフトの営業よ
(V) ヨドバシカメラのPC売り場に出かけて
|| 「嫌なら使うな」の腕章付けて販促活動して欲しいわ
受けること間違いなしwwww
(V) ヨドバシカメラのPC売り場に出かけて
|| 「嫌なら使うな」の腕章付けて販促活動して欲しいわ
受けること間違いなしwwww
273名無しさん@お腹いっぱい。
2016/01/23(土) 01:53:53.030 ./letsencrypt-auto certonly --webroot -w /var/www/http/ -d example.com -w /var/www2/http/ -d hoge.com --agree-tos
./letsencrypt-auto: line 104: [: too many arguments
./letsencrypt-auto: line 106: [: too many arguments
Updating letsencrypt and virtual environment dependencies..../letsencrypt-auto: line 186:
/root/.local/share/letsencrypt/bin/pip: そのようなファイルやディレクトリはありません
CentOS5.11とpython2.6はあかんのか?
./letsencrypt-auto: line 104: [: too many arguments
./letsencrypt-auto: line 106: [: too many arguments
Updating letsencrypt and virtual environment dependencies..../letsencrypt-auto: line 186:
/root/.local/share/letsencrypt/bin/pip: そのようなファイルやディレクトリはありません
CentOS5.11とpython2.6はあかんのか?
2016/01/23(土) 02:05:00.950
pip install -U pip
2016/01/23(土) 03:55:52.510
Python は 2.7〜じゃなかったっけか
2016/01/23(土) 09:38:48.700
docker
2016/01/23(土) 10:24:26.700
SCLは6系からだっけ?
既存環境壊したくなければ、chroot環境作るとか
#言ってはみたが試してはいない
既存環境壊したくなければ、chroot環境作るとか
#言ってはみたが試してはいない
2016/01/23(土) 11:35:00.080
サブドメインが違うのを何個か作ったら制限でアウトになった。
この制限って、どんな時に発動して、どうやったら解除?
この制限って、どんな時に発動して、どうやったら解除?
2016/01/23(土) 11:41:41.990
俺は5個発行できたが
2016/01/23(土) 12:00:16.040
python は 2.6 だと「古くてもうメンテされてないよ」って警告出るだけで
使えないわけではない
最初はいちいちうざいけど crontab に登録してしまえばどうでもよくなる
他のクライアント使ってもいいし
使えないわけではない
最初はいちいちうざいけど crontab に登録してしまえばどうでもよくなる
他のクライアント使ってもいいし
2016/01/23(土) 13:31:52.000
domain shadowingって具体的にどういう手法なの?
ググってもよくわかんないんだけど
ググってもよくわかんないんだけど
2016/01/23(土) 13:33:05.270
下に作って上のをGET
2016/01/23(土) 13:38:21.280
要するに
レジストラのアカハックしてサブドメイン作ったら
それを種に他のサブドメインの証明書も作れる
こういうこと?
レジストラのアカハックしてサブドメイン作ったら
それを種に他のサブドメインの証明書も作れる
こういうこと?
2016/01/23(土) 13:42:00.400
ちゃうねん
www.yahoo.co.jpがあるとするやろ
ad.yahoo.co.jpを作ってそれを自分の鯖に向けて証明書を取得
そしてそこでフィッシング詐欺みたいな感じでユーザー情報GET
www.yahoo.co.jpがあるとするやろ
ad.yahoo.co.jpを作ってそれを自分の鯖に向けて証明書を取得
そしてそこでフィッシング詐欺みたいな感じでユーザー情報GET
285273
2016/01/23(土) 14:09:55.5802016/01/23(土) 15:04:42.280
2016/01/23(土) 15:07:57.510
2016/01/23(土) 15:40:34.770
>>286
自分がドメイン乗っ取りやフィッシングなどの犯罪行為の方法をkwsk質問してる自覚ある?
自分がドメイン乗っ取りやフィッシングなどの犯罪行為の方法をkwsk質問してる自覚ある?
2016/01/23(土) 15:44:03.500
>>288
攻撃方法を知れば防御もできると思うぞ
攻撃方法を知れば防御もできると思うぞ
2016/01/23(土) 15:49:22.140
>>281
http://security.srad.jp/comments.pl?sid=676026&;cid=2947587 に書かれている
レジストラの垢をフィッシング詐欺その他で乗っ取って、DNSのAレコードを書き換える攻撃のこと
>>283
そういうこと
>>284
> ad.yahoo.co.jpを作ってそれを自分の鯖に向けて証明書を取得
その ad というサブドメインを yahoo.co.jp に追加するために、ヤフー株式会社が所持しているレジストラアカウントを乗っ取るのが
domain shadowing という攻撃方法
単なるレジストラアカウントの乗っ取りで合って、別に目新しい攻撃方法ではないけど
・メインのAレコード(@ や www)を書き換えないので、ドメイン所有者が攻撃に気が付きにくい
・ブラウザやセキュリティソフトは長年使われていた正規サイトのサブドメインのため、ヒューリスティック判定で詐欺サイトとして自動検出しない
ってだけ
その不正につくったサブドメインにLet's Encryptの証明書が使われたと大騒ぎしているのがトレンドマイクロだけど
色々ブーメランなことになったので、トレンドマイクロはそのLet's Enbcrypt批判の記事を修正した
http://security.srad.jp/comments.pl?sid=676026&;cid=2947587 に書かれている
レジストラの垢をフィッシング詐欺その他で乗っ取って、DNSのAレコードを書き換える攻撃のこと
>>283
そういうこと
>>284
> ad.yahoo.co.jpを作ってそれを自分の鯖に向けて証明書を取得
その ad というサブドメインを yahoo.co.jp に追加するために、ヤフー株式会社が所持しているレジストラアカウントを乗っ取るのが
domain shadowing という攻撃方法
単なるレジストラアカウントの乗っ取りで合って、別に目新しい攻撃方法ではないけど
・メインのAレコード(@ や www)を書き換えないので、ドメイン所有者が攻撃に気が付きにくい
・ブラウザやセキュリティソフトは長年使われていた正規サイトのサブドメインのため、ヒューリスティック判定で詐欺サイトとして自動検出しない
ってだけ
その不正につくったサブドメインにLet's Encryptの証明書が使われたと大騒ぎしているのがトレンドマイクロだけど
色々ブーメランなことになったので、トレンドマイクロはそのLet's Enbcrypt批判の記事を修正した
2016/01/23(土) 16:10:54.400
なるほどレジストラのアカウント乗っ取るなんて大がかりなことやるなら
Let's Encryptの証明書が使われるとか些細なことだな
Let's Encryptの証明書が使われるとか些細なことだな
2016/01/23(土) 16:21:19.630
お名前みたいなDNSサービスもやってるところはそうだけど
別にレジストラじゃなくてもDNSサーバー乗っ取ればいいわけで
それ自体は昔からある手法
サブドメインをこっそり乗っ取るのが最近の流行
別にレジストラじゃなくてもDNSサーバー乗っ取ればいいわけで
それ自体は昔からある手法
サブドメインをこっそり乗っ取るのが最近の流行
2016/01/23(土) 18:12:12.980
DNSサーバを乗っ取るって・・・
DNSサービスではなくて?
サーバ乗っ取れるならWEBサーバ乗っ取ればいい
そうすればSSLなんて取得する必要ない
なんせ本物のサイトが弄りたい放題なのだから
DNSサービスではなくて?
サーバ乗っ取れるならWEBサーバ乗っ取ればいい
そうすればSSLなんて取得する必要ない
なんせ本物のサイトが弄りたい放題なのだから
2016/01/23(土) 20:42:01.550
>>293
普通速攻気付かれて修正されておわりだよね。
普通速攻気付かれて修正されておわりだよね。
2016/01/23(土) 21:05:00.000
DNSサーバ乗っ取られるような会社なら
コンテンツイジられようが配下ディレクトリになんらかのコンテンツ設置されようが
気がつかないと思うぞ
コンテンツイジられようが配下ディレクトリになんらかのコンテンツ設置されようが
気がつかないと思うぞ
2016/01/23(土) 21:19:51.790
キャッシュ毒とかのことかな
権威サーバー乗っ取られるのは、さすがに論外な気がする
権威サーバー乗っ取られるのは、さすがに論外な気がする
2016/01/23(土) 22:24:28.390
要するにサブドメインでその上の認証がとれるってことでしょ
サブドメイン型ホスティング使ってたら同居人に証明書発行されてるかも知れないと
さすがに仕様が悪いんじゃないか
サブドメイン型ホスティング使ってたら同居人に証明書発行されてるかも知れないと
さすがに仕様が悪いんじゃないか
2016/01/23(土) 22:39:55.760
お前は何を言ってるんだ?
2016/01/23(土) 22:47:28.320
理解できなかっただけでしょほっとけよ
アホは書き込み禁止で
アホは書き込み禁止で
2016/01/23(土) 22:51:21.550
2016/01/23(土) 23:37:28.880
>>300
んなもん分かってる
お前がいきなり
> 別にレジストラじゃなくてもDNSサーバー乗っ取ればいいわけで
> それ自体は昔からある手法
まるでアカウント乗っ取るよりサーバ乗っ取る方が簡単みたいな事言い出したから
んなもん分かってる
お前がいきなり
> 別にレジストラじゃなくてもDNSサーバー乗っ取ればいいわけで
> それ自体は昔からある手法
まるでアカウント乗っ取るよりサーバ乗っ取る方が簡単みたいな事言い出したから
2016/01/23(土) 23:39:35.300
日本語力たりねえなぁ・・・書き込むなよ
2016/01/24(日) 00:05:40.100
オマエモナー
2016/01/24(日) 00:18:26.910
( ´∀`)
305名無しさん@お腹いっぱい。
2016/01/24(日) 03:30:01.760 /;;;;;;;;;;;;;;;;:.
i;;;」' __ __i
|;;| '・`, '・`{
(6|}. ・・ } 馬鹿は使うな!
ヽ 'ー-ソ
ノ、ヽ_/
/, ヽ
ト,.| ト|
i;;;」' __ __i
|;;| '・`, '・`{
(6|}. ・・ } 馬鹿は使うな!
ヽ 'ー-ソ
ノ、ヽ_/
/, ヽ
ト,.| ト|
2016/01/24(日) 13:01:09.580
また2ちゃんねるでオレ様情強アピールかよ。
どんだけキチガイ多いんだよ。
どんだけキチガイ多いんだよ。
2016/01/24(日) 19:12:57.940
別に間違えたって良いと思うけど、逆ギレしちゃうのだけは止めた方がいいw
2016/01/24(日) 20:22:27.310
他の発行元はサブドメイン用DV証明書の発行にも非サブドメインのドメイン所有権というか使用権を確認してるのに
LEは当該サブドメインの使用権しか確認してなくて
世間一般の認識ではサブドメイン用証明書はドメイン所有権確認してあるはずとなってるから
サブドメインへのHTTPS通信はドメイン所有者の責任があると認識されるが
LEは当該サブドメインの使用権しか確認してなくて
世間一般の認識ではサブドメイン用証明書はドメイン所有権確認してあるはずとなってるから
サブドメインへのHTTPS通信はドメイン所有者の責任があると認識されるが
2016/01/24(日) 20:23:33.840
途中で送っちゃった
が
LEはそう考えてなくて考え方のギャップでTMが因縁つけてるカンジか
が
LEはそう考えてなくて考え方のギャップでTMが因縁つけてるカンジか
2016/01/24(日) 21:47:35.980
そもそも暗号化するってだけで確認も何も無かろう。
これまでの考え方自体おかしいんでしょう。
存在確認とか、所有者確認とは別の仕組みにすべきって事の方が理にかなってるってのは誰にでも分かる事
これまでの考え方自体おかしいんでしょう。
存在確認とか、所有者確認とは別の仕組みにすべきって事の方が理にかなってるってのは誰にでも分かる事
2016/01/24(日) 22:01:58.660
さすがトレンドマイクロ
2016/01/24(日) 22:59:35.030
そもそもオレオレ証明書でド派手な警告出るようなしくみになってるのが
世間の認識を歪めることになった元凶。
世間の認識を歪めることになった元凶。
2016/01/25(月) 00:09:04.160
2016/01/25(月) 00:11:16.530
本当だよ。あれを誤解してる奴にどれだけ説明した事か。
あの警告出す事にオッケー出してる事にも疑問。
あの警告出す事にオッケー出してる事にも疑問。
315名無しさん@お腹いっぱい。
2016/01/25(月) 13:18:02.130 >>312 >>314
オレオレ証明書は、フィンガープリントの確認をしない限り、暗号化という意味でも安全ではないから
激しい警告を出すのは当然なんだが
例えば、安全でないアクセスポイント(クラッカーが運営)で無線LANを使っている場合、
オレオレ証明書のサイトを偽のオレオレ証明書に書き換え、www.example.com のサーバーへの接続を
クラッカーが運営するサーバへの接続(オレオレ証明書)に経路を書き換えることが可能
Let's Encrypt では二経路を改ざんしない限り、そういった悪用はできない。
証明書発行時にDNSのIP見てるので、
末端ユーザー ⇔ 無線LANアクセスポイント ⇔ ISP の経路だけではなく、
Let's Encrypt 証明書発行サーバ ⇔ DNSサーバ の経路も書き換えない限り、そういった不正ができなくなる
オレオレ証明書は、フィンガープリントの確認をしない限り、暗号化という意味でも安全ではないから
激しい警告を出すのは当然なんだが
例えば、安全でないアクセスポイント(クラッカーが運営)で無線LANを使っている場合、
オレオレ証明書のサイトを偽のオレオレ証明書に書き換え、www.example.com のサーバーへの接続を
クラッカーが運営するサーバへの接続(オレオレ証明書)に経路を書き換えることが可能
Let's Encrypt では二経路を改ざんしない限り、そういった悪用はできない。
証明書発行時にDNSのIP見てるので、
末端ユーザー ⇔ 無線LANアクセスポイント ⇔ ISP の経路だけではなく、
Let's Encrypt 証明書発行サーバ ⇔ DNSサーバ の経路も書き換えない限り、そういった不正ができなくなる
2016/01/25(月) 14:13:21.920
いやそれDNS一つでええやん
2016/01/25(月) 15:05:35.570
>>315 大丈夫かぁ?
2016/01/25(月) 17:39:15.540
>>316
オリジナルのDNSサーバに毒入れできたら、Let's の証明書は取得できちゃうけど、それは困難
Let's の証明書取得時には、一般のユーザーが使うような毒入れ可能なDNSキャッシュサーバではなく
権限サーバに直接つないで照会かけてるだろうし
オリジナルのDNSサーバに毒入れできたら、Let's の証明書は取得できちゃうけど、それは困難
Let's の証明書取得時には、一般のユーザーが使うような毒入れ可能なDNSキャッシュサーバではなく
権限サーバに直接つないで照会かけてるだろうし
2016/01/25(月) 20:24:56.180
だから暗号化と所有者確認は切り分けろよ
2016/01/25(月) 21:42:50.210
>>319
PKIの基礎学べば分かると思うけど、ユーザー(ブラウザ)が暗号化に使う公開鍵が
期待する通信相手のものであることが明らかでない限り、その暗号化自体が何の意味も持たない
つまり、ドメインの所有者・正規使用者の確認というプロセスを省略して単に暗号化だけにした場合(オレオレ証明書の場合)
その暗号化という行為自体が技術的に無意味になるのよ
何故かというと、単に暗号化するだけなら、通信を傍受・改ざんするクラッカーによって、正規の通信相手の公開鍵がクラッカーの公開鍵にすり替えられていたら
クラッカーが通信内容を傍受・改ざんできてしまう
Let's Encrypt のDV証明書は、ドメインの正規利用者の公開鍵であることを認証しているので
example.com というドメインを信用するならば、ブラウザのアドレスバーが https://example.com/ で始まっていることとと
ブラウザが警告を発しないことを確認するだけで、そのドメインの正規利用者と安全に通信できる
ってことで、「暗号化と所有者確認は切り分け」は、技術的に無意味(公開鍵のすり替えに対抗できない)のでやる意味なし
(公開鍵のフィンガープリントを電話とか郵送とか安全な方法で受け渡せば公開鍵のすり替えはできなくなるが)
Let's がやってるDNSベースでの認証は、安全な通信のために必要な最低限度の行為なので削ることはできない
PKIの基礎学べば分かると思うけど、ユーザー(ブラウザ)が暗号化に使う公開鍵が
期待する通信相手のものであることが明らかでない限り、その暗号化自体が何の意味も持たない
つまり、ドメインの所有者・正規使用者の確認というプロセスを省略して単に暗号化だけにした場合(オレオレ証明書の場合)
その暗号化という行為自体が技術的に無意味になるのよ
何故かというと、単に暗号化するだけなら、通信を傍受・改ざんするクラッカーによって、正規の通信相手の公開鍵がクラッカーの公開鍵にすり替えられていたら
クラッカーが通信内容を傍受・改ざんできてしまう
Let's Encrypt のDV証明書は、ドメインの正規利用者の公開鍵であることを認証しているので
example.com というドメインを信用するならば、ブラウザのアドレスバーが https://example.com/ で始まっていることとと
ブラウザが警告を発しないことを確認するだけで、そのドメインの正規利用者と安全に通信できる
ってことで、「暗号化と所有者確認は切り分け」は、技術的に無意味(公開鍵のすり替えに対抗できない)のでやる意味なし
(公開鍵のフィンガープリントを電話とか郵送とか安全な方法で受け渡せば公開鍵のすり替えはできなくなるが)
Let's がやってるDNSベースでの認証は、安全な通信のために必要な最低限度の行為なので削ることはできない
2016/01/26(火) 02:11:20.740
なげーから読んでねーけど、
オレオレ証明書を使ってるようなサイトをどうにかしようとなんて時間と手間の無駄だから誰もやらない
だから安全
オレオレ証明書を使ってるようなサイトをどうにかしようとなんて時間と手間の無駄だから誰もやらない
だから安全
2016/01/26(火) 12:42:01.630
オレオレは自分と一部の友人しか使わんから
2016/01/26(火) 12:51:41.990
だったらオレオレCA作って、
その証明書をインポートしときゃいいじゃない
その証明書をインポートしときゃいいじゃない
2016/01/26(火) 15:11:46.210
いや、そのオレオレCAをポリシーで信頼してるわ
325sage
2016/01/27(水) 14:35:11.670 今日1カ月ぶりに更新したらできない
pip をアップグレードしろとか出てる
PIPなんて最初から入ってない。
前回は不要で今回から必要になったのか。
pip をアップグレードしろとか出てる
PIPなんて最初から入ってない。
前回は不要で今回から必要になったのか。
2016/01/27(水) 15:00:12.190
は?
pip install -U pipさっさとしろよ
pip install -U pipさっさとしろよ
2016/01/27(水) 15:11:21.350
試しにやってみたらそういうふうに言ってきたけど勝手にやってくれたみたいで
そのまま更新できた
そのまま更新できた
2016/01/27(水) 18:33:45.430
勝手にやってくれるって便利だとおもうけど、反面あぶねーからこええよw
2016/01/28(木) 10:33:48.280
依存関係の解消ってどのインストーラーもこんな感じでは
330名無しさん@お腹いっぱい。
2016/01/29(金) 08:34:41.880 Let'snote のバッテリーのリコール対象が増えたぞ Let'snote 持ってる人は要確認だ!
http://askpc.panasonic.co.jp/info/160128.html
CF-S8/S9/S10シリーズ、またはCF-N8/N9/N10シリーズ (新たな対象機種)
かなり古い機種も含まれているので、これで数年前のバッテリーが新品に蘇るぞ
パナソニックは神対応だな
……ところで、なんでこんな板にLet'snoteスレがあるんだ?
http://askpc.panasonic.co.jp/info/160128.html
CF-S8/S9/S10シリーズ、またはCF-N8/N9/N10シリーズ (新たな対象機種)
かなり古い機種も含まれているので、これで数年前のバッテリーが新品に蘇るぞ
パナソニックは神対応だな
……ところで、なんでこんな板にLet'snoteスレがあるんだ?
2016/01/29(金) 11:31:43.750
>>330
スレタイも読めない文盲乙
スレタイも読めない文盲乙
2016/01/29(金) 19:53:50.930
証明書の更新が半年とかになればなー。
2016/01/29(金) 21:00:30.420
自動にしてほっとけ
2016/01/30(土) 10:51:59.800
言われているが、
cronなどでの自動更新前提
cronなどでの自動更新前提
2016/01/31(日) 11:26:27.640
レンタルサーバーだとめんどい。
2016/01/31(日) 20:52:02.430
めんどいって、自動にする為のしょりがめんどいのか、自動処理出来ないから毎回めんどいのか。
レンタルサーバーだから自動処理出来ないってのなら、工夫すればできるはず。
ま、わからんならめんどい、って文句だけ言うしかないが。
レンタルサーバーだから自動処理出来ないってのなら、工夫すればできるはず。
ま、わからんならめんどい、って文句だけ言うしかないが。
2016/01/31(日) 20:54:33.920
まあめんどいのは事実だしただの愚痴やろ
2016/01/31(日) 22:46:37.840
こんな程度でめんどいと言っているようではおまえはうんたらかんたらって言いたいだけ
2016/02/01(月) 08:06:06.340
今朝にセットしてたcron自動更新うまくいってた
これで一ヵ月毎とか2ヶ月毎に更新しとけば、短い有効期限も気にならないな
エラーになった時のリトライ考慮してないけど
まぁそん時は手動でいいや
これで一ヵ月毎とか2ヶ月毎に更新しとけば、短い有効期限も気にならないな
エラーになった時のリトライ考慮してないけど
まぁそん時は手動でいいや
2016/02/01(月) 16:53:41.740
リトライさせるのは簡単では。
証明書の有効期限 n 日前になったら更新させる
って処理にして cron で回す周期を数日おきにすれば
エラーがあってもまた数日後、次の実行時に処理出来る。
openssl x509 -checkend
これ使うと良いね。
証明書の有効期限 n 日前になったら更新させる
って処理にして cron で回す周期を数日おきにすれば
エラーがあってもまた数日後、次の実行時に処理出来る。
openssl x509 -checkend
これ使うと良いね。
341セキュリティ証明書には問題があります
2016/02/02(火) 00:35:58.970342黒猫のルート証明書更新
2016/02/02(火) 04:45:59.070 https://www.virustotal.com/ja/file/e68921ee4e47fe2a8b029df64dcd27d0cbc86e5b3fed78caf297a05a83b572c6/analysis/1454215745/
Qihoo-360 HEUR/QVM06.1.Malware.Gen
nProtect Trojan/W32.Chifrax.5
Qihoo-360 HEUR/QVM06.1.Malware.Gen
nProtect Trojan/W32.Chifrax.5
2016/02/02(火) 05:11:45.810
なんなん?
キモいな
キモいな
2016/02/02(火) 09:32:00.930
そもそもケチつけるべきはここではなくCFだと思うんですが
SNI対応してないデバイス使うほうが悪い
SNI対応してないデバイス使うほうが悪い
2016/02/02(火) 11:38:23.780
>>341 は、Let's Encrypt に対して風評被害を与えるような糞レス
まず、第一に、そのサイトの証明書を確認してみたが、サブジェクトの代替名が
DNS Name=ssl366616.cloudflaressl.com
DNS Name=*.2ch.net
DNS Name=2ch.net
となっている COMODO の DV証明書。
もう一度いうと、「COMODO」 の DV証明書なので、Let's Encrypt は無関係。
ついでに、その証明書はきちんと検証できるので、全く問題が無い。
ちなみに、その証明書自体は問題ないけど、2chはあちこちセキュリティガバガバなので全く信用できない。
例えば、jump.2ch.net は、
http://www.example.com/test.cgi?a=123&;b=456#InPageLinkTest
というリンクすらまともに処理できない
一応XSSは修正されたけど、エスケープ漏れに対して変なところで処理した結果、& を & に変換する処理が二重化されて二重エスケープでリンクが機能しなくなったり
ページ内リンクの # を処理できなかったりと、ガバガバ
そういうレベルのサイトなので、●のクレジットカード情報や個人情報漏洩したりとか、有料会員のパスワードがXSSやCSRFで漏洩したりとか、
レベルの低い問題を過去におこしまくっている
まず、第一に、そのサイトの証明書を確認してみたが、サブジェクトの代替名が
DNS Name=ssl366616.cloudflaressl.com
DNS Name=*.2ch.net
DNS Name=2ch.net
となっている COMODO の DV証明書。
もう一度いうと、「COMODO」 の DV証明書なので、Let's Encrypt は無関係。
ついでに、その証明書はきちんと検証できるので、全く問題が無い。
ちなみに、その証明書自体は問題ないけど、2chはあちこちセキュリティガバガバなので全く信用できない。
例えば、jump.2ch.net は、
http://www.example.com/test.cgi?a=123&;b=456#InPageLinkTest
というリンクすらまともに処理できない
一応XSSは修正されたけど、エスケープ漏れに対して変なところで処理した結果、& を & に変換する処理が二重化されて二重エスケープでリンクが機能しなくなったり
ページ内リンクの # を処理できなかったりと、ガバガバ
そういうレベルのサイトなので、●のクレジットカード情報や個人情報漏洩したりとか、有料会員のパスワードがXSSやCSRFで漏洩したりとか、
レベルの低い問題を過去におこしまくっている
346345
2016/02/02(火) 11:46:53.970 うわ、書き込み自体も変に文字列置換されて意図に反する内容になった
「& を &amp; に変換する処理」とカキコしたら、HTML出力時に「&amp; を &amp;amp; に変換する処理」となり、
ブラウザには「& を &amp; に変換する処理」と表示されるのが、適切なエスケープ方法だけど、2chは適切にエスケープするのではなく変な変換処理をかけているようだ
2chの有料会員になるときには、個人情報を一切渡さない方法(プリペイドカードや匿名VISAデビットなど)で、偽の個人情報で課金することを推奨する
「& を &amp; に変換する処理」とカキコしたら、HTML出力時に「&amp; を &amp;amp; に変換する処理」となり、
ブラウザには「& を &amp; に変換する処理」と表示されるのが、適切なエスケープ方法だけど、2chは適切にエスケープするのではなく変な変換処理をかけているようだ
2chの有料会員になるときには、個人情報を一切渡さない方法(プリペイドカードや匿名VISAデビットなど)で、偽の個人情報で課金することを推奨する
2016/02/02(火) 13:23:21.440
どうでも良いわ。
2016/02/02(火) 18:13:00.180
>>345
荒らしはスルー
荒らしはスルー
2016/02/05(金) 14:46:12.080
まーたスクリプトのテストしてたら「お前たくさん発行しすぎ」ってエラーになった
なんとかしちくりー
なんとかしちくりー
2016/02/05(金) 15:28:21.480
発行しすぎ! ってエラーが出ることを正常系としてみりゃいいんでね?
2016/02/05(金) 15:54:01.290
警告が出るだけじゃなくて実際に発行を拒否されるのを正常系にしてどうする
その後(発行された証明書をApacheでロードして接続テスト)が出来ないじゃん
その後(発行された証明書をApacheでロードして接続テスト)が出来ないじゃん
2016/02/05(金) 16:40:35.060
>>349
ttps://community.letsencrypt.org/t/testing-against-the-lets-encrypt-staging-environment/6763
ttps://community.letsencrypt.org/t/testing-against-the-lets-encrypt-staging-environment/6763
2016/02/05(金) 21:09:10.090
2016/02/13(土) 12:28:23.460
更新済みなのにこんなメールが来たんやけど?
"Let's Encrypt certificate expiration notice"
Hello,
Your certificate (or certificates) for the names listed below will expire in 19 days (on 03 Mar 16 04:05 +0000). Please make sure to renew your certificate before then, or visitors to your website will encounter errors.
www.example.com
For any questions or support, please visit https://community.letsencrypt.org/. Unfortunately, we can't provide support by email.
"Let's Encrypt certificate expiration notice"
Hello,
Your certificate (or certificates) for the names listed below will expire in 19 days (on 03 Mar 16 04:05 +0000). Please make sure to renew your certificate before then, or visitors to your website will encounter errors.
www.example.com
For any questions or support, please visit https://community.letsencrypt.org/. Unfortunately, we can't provide support by email.
2016/02/13(土) 12:38:52.120
2016/02/17(水) 04:26:38.200
Internet Explorer はこの Web サイトのセキュリティ証明書の問題を検出しました
http://www.symantec.com/security_response/writeup.jsp?docid=2010-021223-0550-99
大晦日に解散ライブを行い、フィナーレで照明を落とし
バイクに乗って森が登場して、キムタコに蹴りを入れて終了。
ゲーム 平安京エイリアン
http://www.symantec.com/security_response/writeup.jsp?docid=2010-021223-0550-99
大晦日に解散ライブを行い、フィナーレで照明を落とし
バイクに乗って森が登場して、キムタコに蹴りを入れて終了。
ゲーム 平安京エイリアン
2016/02/17(水) 15:05:27.100
>>356 は、Let's Encrypt に全く関係無いカキコ
荒らしなのでスルーよろしく
荒らしなのでスルーよろしく
2016/02/17(水) 15:22:32.540
あなた以外全員スルーしてたと思うんですが・・・
2016/02/17(水) 19:46:53.130
まったくだww
2016/02/19(金) 16:46:20.920
>>356-359
ワロタw
ワロタw
361名無しさん@お腹いっぱい。
2016/02/20(土) 18:57:23.170 更新忘れないように、有効期限が短い証明書更新してないとリマインダーメール来るんだね
意外と賢い仕組みだわw
意外と賢い仕組みだわw
2016/02/24(水) 17:31:34.350
.
.
板違い(?)の上に、話をさえぎってしまいゴメンナサイ!(*_ _)人
でも、この板のユーザーさんにも有意義な告知かと思うのでカキコませてください。
★ 謝礼は十分いたします ★ アメブロなどのサイト制作ができる方!!
アメブロなどを使用してのサイト制作のできる方を早急に求めています!
私はリケジョやPC女子からはほど遠く、サイト作成にはまったく疎いのでとても不自由しています…(> <;)
そこで私に代わりサイトを作成してくださる方を求めてこの場をお借りしました。
■サイトの内容…
アダルト系、違法性、その他公序良俗に反するものではありませんのでご安心ください。
■サイト制作の仕様ベース…
アメーバブログで十分です。願わくばwordpressなどのブログ形式のサイトを希望します。
それに準ずるもので使い慣れたものがあれば別のものでも構いません。
■条件はありません…
技術さえお持ちでしたら、学歴・職歴等は一切問いません。
フリーター、ニート、高齢ニート、コミュニケーション障害をお持ちの方、引きこもりの方、中年失業者、長期無職等、歓迎!
■作業形態…
作業は在宅でやって頂くことになりますので、時間の指定は一切ありません。別のお仕事の傍らに…でもOKです。
■詳細をお知りになりたい方は…
下記メールアドレスまでご連絡ください。詳しく書いた返信文を差し上げます。
※真剣な告知です。冷やかしはご遠慮ください。
井 上
inoue1952w★gmail.com
迷惑メール対策のため@部分を★にしてあります。
実際に送信する際には★を@マークに変えてください。
.
.
.
板違い(?)の上に、話をさえぎってしまいゴメンナサイ!(*_ _)人
でも、この板のユーザーさんにも有意義な告知かと思うのでカキコませてください。
★ 謝礼は十分いたします ★ アメブロなどのサイト制作ができる方!!
アメブロなどを使用してのサイト制作のできる方を早急に求めています!
私はリケジョやPC女子からはほど遠く、サイト作成にはまったく疎いのでとても不自由しています…(> <;)
そこで私に代わりサイトを作成してくださる方を求めてこの場をお借りしました。
■サイトの内容…
アダルト系、違法性、その他公序良俗に反するものではありませんのでご安心ください。
■サイト制作の仕様ベース…
アメーバブログで十分です。願わくばwordpressなどのブログ形式のサイトを希望します。
それに準ずるもので使い慣れたものがあれば別のものでも構いません。
■条件はありません…
技術さえお持ちでしたら、学歴・職歴等は一切問いません。
フリーター、ニート、高齢ニート、コミュニケーション障害をお持ちの方、引きこもりの方、中年失業者、長期無職等、歓迎!
■作業形態…
作業は在宅でやって頂くことになりますので、時間の指定は一切ありません。別のお仕事の傍らに…でもOKです。
■詳細をお知りになりたい方は…
下記メールアドレスまでご連絡ください。詳しく書いた返信文を差し上げます。
※真剣な告知です。冷やかしはご遠慮ください。
井 上
inoue1952w★gmail.com
迷惑メール対策のため@部分を★にしてあります。
実際に送信する際には★を@マークに変えてください。
.
.
363名無しさん@お腹いっぱい。
2016/02/25(木) 01:13:16.480 >>362
> inoue1952w★gmail.com
> 迷惑メール対策のため@部分を★にしてあります。
> 実際に送信する際には★を@マークに変えてください。
はぁ?
お前の書き込み自体が迷惑メールだろw
> inoue1952w★gmail.com
> 迷惑メール対策のため@部分を★にしてあります。
> 実際に送信する際には★を@マークに変えてください。
はぁ?
お前の書き込み自体が迷惑メールだろw
2016/02/25(木) 08:16:13.260
ただの荒らしに反応する必要ないぞ
2016/02/25(木) 08:38:11.630
>フリーター、ニート、高齢ニート、コミュニケーション障害をお持ちの方、引きこもりの方、中年失業者、長期無職等、歓迎!
問わないのはいいと思う。
だが歓迎しちゃいかんと思う。
問わないのはいいと思う。
だが歓迎しちゃいかんと思う。
2016/02/29(月) 16:55:04.190
ここっていつまでβなの
永遠にβってやつ?
永遠にβってやつ?
367名無しさん@お腹いっぱい。
2016/03/01(火) 21:09:29.500 >>76
βとれてるよ
βとれてるよ
2016/03/02(水) 00:23:55.110
369名無しさん@お腹いっぱい。
2016/03/02(水) 02:31:45.690 >>368
ほんとだ、おっパブリックβだったね
ほんとだ、おっパブリックβだったね
2016/03/02(水) 15:12:14.540
くだらない質問で恐縮ですが、証明書取得時の80へのアクセスについて、アクセス元のアドレス帯とか公開されていたりしますか
2016/03/02(水) 15:15:33.750
ない
ssしてれば見えるんじゃね?
ssしてれば見えるんじゃね?
2016/03/02(水) 19:07:22.160
webroot指定でやった時は66.133.109.36からアクセスされた
2016/03/03(木) 09:36:02.870
>>372がoutbound1.letsencrypt.orgで、outbound2も存在しているようなので、その2つを開けて様子を見てみます。
ありがとうございました。
ありがとうございました。
374名無しさん@お腹いっぱい。
2016/03/08(火) 21:26:45.810 Let's Encryptをつかって署名された証明書を作成して、
それを、squidのssl-dumpで使うことってできるんでしょうか。
これができたら、ブラウザにオレオレルートの登録が不要になると思うので、
便利だと思ったんですが。
それを、squidのssl-dumpで使うことってできるんでしょうか。
これができたら、ブラウザにオレオレルートの登録が不要になると思うので、
便利だと思ったんですが。
2016/03/09(水) 08:31:13.690
>>374
ssl-dumpの場合、信頼されたCA証明書で動的にSSL証明書が発行されないとダメだし、LetsEncryptではCA証明書が払い出されるわけでは無いから無理じゃね。
ssl-dumpの場合、信頼されたCA証明書で動的にSSL証明書が発行されないとダメだし、LetsEncryptではCA証明書が払い出されるわけでは無いから無理じゃね。
376名無しさん@お腹いっぱい。
2016/03/09(水) 10:52:24.190 >>375
レスありがとうございます。
ssl-bumpだと動的に作成した証明書を「自分でその都度、署名して自己証明書を新たに作成」しているってことですか。
ssl-bumpの設定段階には、さきにオレオレ証明書を作成することになっています。
そして、おっしゃるとおり、動作中は接続先サーバのドメインに応じて矛盾しない証明書を動的に作成するらしいです。
だとしたら、どうして、最初にオレオレ証明書を準備したんでしょうか。
自己証明の代わりに、Let's Encryptがその都度、署名してくれればいいんだけどなあ。
そういうスクリプトが提供されているのではないのか。
レスありがとうございます。
ssl-bumpだと動的に作成した証明書を「自分でその都度、署名して自己証明書を新たに作成」しているってことですか。
ssl-bumpの設定段階には、さきにオレオレ証明書を作成することになっています。
そして、おっしゃるとおり、動作中は接続先サーバのドメインに応じて矛盾しない証明書を動的に作成するらしいです。
だとしたら、どうして、最初にオレオレ証明書を準備したんでしょうか。
自己証明の代わりに、Let's Encryptがその都度、署名してくれればいいんだけどなあ。
そういうスクリプトが提供されているのではないのか。
2016/03/09(水) 12:09:40.830
その「オレオレ証明書」がCA証明書で、サーバ証明書を発行するのに使われる
ということだろう?
「どうして」って、サーバ証明書を生成するのに必要だから作ることになっている
つーか、「LEがその都度署名」って、自分が管理しているわけでもないドメインも対象なんだろう?
そんなん無理筋過ぎる
ということだろう?
「どうして」って、サーバ証明書を生成するのに必要だから作ることになっている
つーか、「LEがその都度署名」って、自分が管理しているわけでもないドメインも対象なんだろう?
そんなん無理筋過ぎる
378名無しさん@お腹いっぱい。
2016/03/09(水) 20:25:21.050 >>377
ちょっと、おれおれ証明書と、おれおれ認証局とを混同したように書いてしてしまっていた。
おれおれ証明書は、おれおれ認証局によって署名されたものという認識で合うかな。
ところで、squidの組織がルートの通った認証局を構築してくれればいいのかな?
googleあたりがそういうのをやってくれないかな?
ちょっと、おれおれ証明書と、おれおれ認証局とを混同したように書いてしてしまっていた。
おれおれ証明書は、おれおれ認証局によって署名されたものという認識で合うかな。
ところで、squidの組織がルートの通った認証局を構築してくれればいいのかな?
googleあたりがそういうのをやってくれないかな?
2016/03/09(水) 20:26:03.220
自分で作ればええやん
2016/03/09(水) 21:17:54.390
とりあえずスレチになってきたので、続きはメモ帳に書いて保存せずに終了しとけ
2016/03/09(水) 23:03:18.860
2016/03/09(水) 23:07:41.470
ここで証明書もらって手元のサイトSSL化してみたら
スマホもPCも問題なくSSLになって喜んでたら
ウィルコムとauのガラケーだと証明書エラーで開けんかった…orz
ガラケーは諦めるか
sslのテストでA評価もらえるように設定したのでXPの古いIEも捨ててしまってるし
スマホもPCも問題なくSSLになって喜んでたら
ウィルコムとauのガラケーだと証明書エラーで開けんかった…orz
ガラケーは諦めるか
sslのテストでA評価もらえるように設定したのでXPの古いIEも捨ててしまってるし
2016/03/09(水) 23:28:11.070
ガラケーはちょっと古いとSHA2にすら対応できんから、もう見捨てるしかあるまいて
2016/03/09(水) 23:37:11.500
Let's Encryptの証明書はSHA-256なので古いガラケーだとエラーになる
他のCAも今後新規発行はSHA-256強制となるから同様にガラケーではエラー
他のCAも今後新規発行はSHA-256強制となるから同様にガラケーではエラー
385名無しさん@お腹いっぱい。
2016/03/10(木) 00:10:31.500 >>382
>ここで証明書もらって
これって、正しく言ったら、
自分で作成した公開鍵と自分情報に、ここで署名してもらって、証明書を作成してもらった。
ここで電子署名されるのは、公開鍵+秘密鍵のハッシュ値?
それとも、公開鍵+秘密鍵のハッシュ値+自分情報?
>ここで証明書もらって
これって、正しく言ったら、
自分で作成した公開鍵と自分情報に、ここで署名してもらって、証明書を作成してもらった。
ここで電子署名されるのは、公開鍵+秘密鍵のハッシュ値?
それとも、公開鍵+秘密鍵のハッシュ値+自分情報?
2016/03/10(木) 01:39:09.260
>>385
> ここで電子署名されるのは、公開鍵+秘密鍵のハッシュ値?
> それとも、公開鍵+秘密鍵のハッシュ値+自分情報?
両方不正解
認証局に送信されて電子署名されるのは公開鍵とCSRだけで、秘密鍵も秘密鍵のハッシュも認証局には送信されない
https://letsencrypt.jp/faq/#SecretKey
電子署名にはCAの秘密鍵が使われる(お前の公開鍵などをCAの秘密鍵で暗号化するのが署名)ので、電子署名作業はLet's Encryptのサーバでやる
電子署名後のデータ(お前が作成した公開鍵をCAの秘密鍵で暗号化したデータ)を
ユーザーのブラウザがCAの「公開鍵」で復号できたら正しい署名だとみなされる
何故ならば、CAの秘密鍵で暗号化したデータは対応するCAの公開鍵でしか復号できないわけで
CAの公開鍵で複合できたということはCAの秘密鍵で暗号化されたということになる = 正規のCAによるデジタル署名ということになる
> ここで電子署名されるのは、公開鍵+秘密鍵のハッシュ値?
> それとも、公開鍵+秘密鍵のハッシュ値+自分情報?
両方不正解
認証局に送信されて電子署名されるのは公開鍵とCSRだけで、秘密鍵も秘密鍵のハッシュも認証局には送信されない
https://letsencrypt.jp/faq/#SecretKey
電子署名にはCAの秘密鍵が使われる(お前の公開鍵などをCAの秘密鍵で暗号化するのが署名)ので、電子署名作業はLet's Encryptのサーバでやる
電子署名後のデータ(お前が作成した公開鍵をCAの秘密鍵で暗号化したデータ)を
ユーザーのブラウザがCAの「公開鍵」で復号できたら正しい署名だとみなされる
何故ならば、CAの秘密鍵で暗号化したデータは対応するCAの公開鍵でしか復号できないわけで
CAの公開鍵で複合できたということはCAの秘密鍵で暗号化されたということになる = 正規のCAによるデジタル署名ということになる
2016/03/11(金) 14:08:19.280
ガラケーはもうほとんど使い物にならなくなってるから無視していいだろ
2016/03/12(土) 15:14:11.000
いい加減このスレでSSL勉強会するのやめーや
2016/03/12(土) 17:11:34.210
>>388
何の問題もないっしょ
1日1レスあるかどうか分からんような過疎スレなんだから
そうやって初心者排除していると、ただでさえ居ない人が更にいなくなって
便所の落書きどころか、廃墟の建物の壁の落書きになってしまうw
何の問題もないっしょ
1日1レスあるかどうか分からんような過疎スレなんだから
そうやって初心者排除していると、ただでさえ居ない人が更にいなくなって
便所の落書きどころか、廃墟の建物の壁の落書きになってしまうw
2016/03/12(土) 17:32:28.770
さあ、暗号化しよう!っていうスレなんだから
SSLに初めて手を出す人も多いでしょ
SSLに初めて手を出す人も多いでしょ
2016/03/12(土) 17:41:25.870
そういう人は、横着せずにちゃんと勉強しようね
ってことだろ
ってことだろ
2016/03/12(土) 17:46:21.430
Wikiでも作りますかね?
解説というより解説サイトの紹介みたいな感じで
解説というより解説サイトの紹介みたいな感じで
2016/03/12(土) 18:24:37.840
>>389
どうでもいいけどこのスレの勢いは3.8だ
どうでもいいけどこのスレの勢いは3.8だ
2016/03/12(土) 19:50:36.260
証明書周りは「オレオレ認証局」とか「自己認証局」でググって色んなサイトを熟読すれば
うわべ位わかるようになるだろうに。
仮想マシンでアレコレやって「証明書はこうやって作られる」とまで自分自身で
学習できないようならこのスレ来ても意味ないと思われる。
うわべ位わかるようになるだろうに。
仮想マシンでアレコレやって「証明書はこうやって作られる」とまで自分自身で
学習できないようならこのスレ来ても意味ないと思われる。
2016/03/12(土) 19:57:24.600
SSLのことよーわからんけど
テキトーにletsencrypt-autoコマンド叩いたら
いつのまにか証明書類が出来上がってて
ググって出てきたのをパクってテキトーにnginxに設定したら
自分のサイトがhttpsでアクセスできるようになっていて
すごいなぁと思った
細かいこと知ってなくてもコンセプト通り誰でも気軽にSSLできるね
テキトーにletsencrypt-autoコマンド叩いたら
いつのまにか証明書類が出来上がってて
ググって出てきたのをパクってテキトーにnginxに設定したら
自分のサイトがhttpsでアクセスできるようになっていて
すごいなぁと思った
細かいこと知ってなくてもコンセプト通り誰でも気軽にSSLできるね
2016/03/13(日) 14:34:14.970
Let's Encrypt で証明書を取得したドメインに対して
Netcraft を名乗る bot から集中的にSSL接続が来た
本当にあの Netcraft の調査なのか、偽者なのかはわからんが
とりあえずブロックしといた
Netcraft を名乗る bot から集中的にSSL接続が来た
本当にあの Netcraft の調査なのか、偽者なのかはわからんが
とりあえずブロックしといた
2016/03/14(月) 13:35:12.120
>>386
>認証局に送信されて電子署名されるのは公開鍵とCSRだけで、秘密鍵も秘密鍵のハッシュも認証局には送信されない
レスありがとう。
秘密鍵のハッシュもいっしょに、oreore認証局に渡されるって記事を、
WEBの記事で見たんだよなあ。ずっとさがしているけど、その記事が見つからない・・・
>認証局に送信されて電子署名されるのは公開鍵とCSRだけで、秘密鍵も秘密鍵のハッシュも認証局には送信されない
レスありがとう。
秘密鍵のハッシュもいっしょに、oreore認証局に渡されるって記事を、
WEBの記事で見たんだよなあ。ずっとさがしているけど、その記事が見つからない・・・
2016/03/14(月) 19:41:52.030
脳内乙
2016/03/14(月) 22:01:58.970
>認証局に送信されて電子署名されるのは公開鍵とCSRだけで、秘密鍵も秘密鍵のハッシュも認証局には送信されない
この下りは解釈の仕方だろうけど、認証局に送られて署名されるのは CSR (署名要求証明書) だけでしょ。
もちろん CSR の中には公開鍵の情報も含まれているから間違いでは無いような気もするけど誤解されそう。
この下りは解釈の仕方だろうけど、認証局に送られて署名されるのは CSR (署名要求証明書) だけでしょ。
もちろん CSR の中には公開鍵の情報も含まれているから間違いでは無いような気もするけど誤解されそう。
2016/03/15(火) 00:44:42.690
>>399
> CSR (署名要求証明書)
まぁ、解釈の仕方で技術的な話ではないけど、CSR は Certificate Signing Request つまり署名要求なわけで、
「この公開鍵に署名してくださいねー」と認証局に送るための署名要求、つまり手紙のようなもの
で、認証局がやるのは、公開鍵に署名してその公開鍵がそのドメインに属することを証明することなんだから、
「認証局に送られて署名されるのは『公開鍵』」という説明が分かりやすくて合理的なのでは?
CSRは署名してください、っていう手紙に過ぎない
> CSR (署名要求証明書)
まぁ、解釈の仕方で技術的な話ではないけど、CSR は Certificate Signing Request つまり署名要求なわけで、
「この公開鍵に署名してくださいねー」と認証局に送るための署名要求、つまり手紙のようなもの
で、認証局がやるのは、公開鍵に署名してその公開鍵がそのドメインに属することを証明することなんだから、
「認証局に送られて署名されるのは『公開鍵』」という説明が分かりやすくて合理的なのでは?
CSRは署名してください、っていう手紙に過ぎない
2016/03/15(火) 01:10:55.180
そりゃCSRに署名だったらCN以外もCSR通りに署名してくれるだろw
2016/03/15(火) 01:17:36.890
>>400
CSR (署名要求証明書) ってかいた括弧の中がおかしかった。これは訂正。
言っていることは分かるし伝わる。結果として署名された公開鍵がくるわけだしね。否定する所も無い。
つまり、考え方、合理性の求め方が人それぞれ色々あるんだなと感じた。
もっとも俺がおかしいだけなのかも知れないがw
CSR (署名要求証明書) ってかいた括弧の中がおかしかった。これは訂正。
言っていることは分かるし伝わる。結果として署名された公開鍵がくるわけだしね。否定する所も無い。
つまり、考え方、合理性の求め方が人それぞれ色々あるんだなと感じた。
もっとも俺がおかしいだけなのかも知れないがw
2016/03/15(火) 16:35:36.260
>>399
CSR(含む公開鍵)が認証局に送られるけど、署名されるのは公開鍵だけっしょ
例えば、Let's EncryptのCAに下記のCSRを送ったとする
コモンネーム: 2cher-no-oresama.jp
組織名: 2cher Co LTE
部門名: BBS Service
市区町村名: Tubo-City
都道府県名: Osaka
国別番号: JP
公開鍵: 公開鍵情報グダグダと長文で列挙
すると、Let'sのCAはCSRの組織名・部門名・市区町村名・都道府県名・国別番号を全部無視(削除)して証明書を発行する
何故ならば、単なるDV証明書でドメイン名しか認証できないのでコモンネーム以外は無視・削除する(ジオトラストとかのDV証明書も同様)
ってことで、CAが署名するのはサーバの公開鍵だけだ
もしCSR全体を署名するとするならば、CSRの記載事項(組織名とか部門名)を認証局が改ざんできないことになるけど、
実際には認証局が勝手に変更したり認証していない項目を削除したりする
CSR(含む公開鍵)が認証局に送られるけど、署名されるのは公開鍵だけっしょ
例えば、Let's EncryptのCAに下記のCSRを送ったとする
コモンネーム: 2cher-no-oresama.jp
組織名: 2cher Co LTE
部門名: BBS Service
市区町村名: Tubo-City
都道府県名: Osaka
国別番号: JP
公開鍵: 公開鍵情報グダグダと長文で列挙
すると、Let'sのCAはCSRの組織名・部門名・市区町村名・都道府県名・国別番号を全部無視(削除)して証明書を発行する
何故ならば、単なるDV証明書でドメイン名しか認証できないのでコモンネーム以外は無視・削除する(ジオトラストとかのDV証明書も同様)
ってことで、CAが署名するのはサーバの公開鍵だけだ
もしCSR全体を署名するとするならば、CSRの記載事項(組織名とか部門名)を認証局が改ざんできないことになるけど、
実際には認証局が勝手に変更したり認証していない項目を削除したりする
2016/03/15(火) 18:50:46.720
CSR に署名って言うは俺の言葉足らずだったので訂正及び謝罪はしておく。
CSR に含まれる「公開鍵」に対し、DV 認証且つマルチドメイン対応だから CN 及び SAN の値以外を削除して署名する。
ということで。
大元に >>399 で俺が書いた引用部分
>認証局に送信されて電子署名されるのは公開鍵とCSRだけで
この部分への違和感は「署名されるのは公開鍵と CSR だけ」にあって、公開鍵は CSR に含まれるから
送信されるのは CSR だけでそこに含まれる公開鍵にのみ署名される
という事になる。
CSR に含まれる「公開鍵」に対し、DV 認証且つマルチドメイン対応だから CN 及び SAN の値以外を削除して署名する。
ということで。
大元に >>399 で俺が書いた引用部分
>認証局に送信されて電子署名されるのは公開鍵とCSRだけで
この部分への違和感は「署名されるのは公開鍵と CSR だけ」にあって、公開鍵は CSR に含まれるから
送信されるのは CSR だけでそこに含まれる公開鍵にのみ署名される
という事になる。
2016/03/16(水) 17:07:29.780
もうわかったから何度も同じこと繰り返し書かなくていいよ
続きはPKI勉強会スレでも立ててそっちでやってくれ
続きはPKI勉強会スレでも立ててそっちでやってくれ
406名無しさん@お腹いっぱい。
2016/03/21(月) 12:59:37.2502016/03/21(月) 13:44:13.460
それが正常なスレの状態だ
スレ違いは他所でやれ
スレ違いは他所でやれ
408名無しさん@お腹いっぱい。
2016/03/21(月) 23:04:08.480 基本的なことですみませんが証明書の透明性について、
よく分かってないので質問させてください。
Google ChromeのURLの隣の鍵マークをクリックして接続タブをクリックすると、
「証明書の透明性に関する情報はサーバーから提供されませんでした。」
と表示されるんですが、解決策をぐぐるとApacheの場合はmod_ssl_ct、
nginxの場合はnginx-ctを組み込む解決策が出てくるんですが、
これは通常webサーバーのほうで対応する問題なんでしょうか?
http://news.valuessl.net/?p=1418
こういう有料のところのを見てみると証明書発行側で対応しているように見えるのですが。
よく分かってないので質問させてください。
Google ChromeのURLの隣の鍵マークをクリックして接続タブをクリックすると、
「証明書の透明性に関する情報はサーバーから提供されませんでした。」
と表示されるんですが、解決策をぐぐるとApacheの場合はmod_ssl_ct、
nginxの場合はnginx-ctを組み込む解決策が出てくるんですが、
これは通常webサーバーのほうで対応する問題なんでしょうか?
http://news.valuessl.net/?p=1418
こういう有料のところのを見てみると証明書発行側で対応しているように見えるのですが。
2016/03/21(月) 23:16:05.580
それはDV証明書以外なら出る
つまりそのサイトを作った奴が信用できるかってことだからLet's Encryptの管轄じゃない
つまりそのサイトを作った奴が信用できるかってことだからLet's Encryptの管轄じゃない
2016/03/21(月) 23:36:53.620
2016/03/22(火) 01:15:25.140
>>408
SCTのdelivery方法は3種類ある
1) CAが証明書にSCTを埋め込む(X.509v3 extension)
これならweb serverに特に何か設定する必要はない。有料証明書のCT対応は基本これ
だがLEは証明書にSCTを埋め込んでない(し、そうする予定はないと明言)
2) web serverのTLS extension
つまりmod_ssl_ctやnginx-ct
なおLEはCT Log serverにsubmitはしてるから、ct-submitは必要ない
3) OCSP stapling
CAが対応しないとNGで、LEはいずれ対応するかも知れないが現状まだ
>>409
色々間違いすぎで知識が古い
SCTのdelivery方法は3種類ある
1) CAが証明書にSCTを埋め込む(X.509v3 extension)
これならweb serverに特に何か設定する必要はない。有料証明書のCT対応は基本これ
だがLEは証明書にSCTを埋め込んでない(し、そうする予定はないと明言)
2) web serverのTLS extension
つまりmod_ssl_ctやnginx-ct
なおLEはCT Log serverにsubmitはしてるから、ct-submitは必要ない
3) OCSP stapling
CAが対応しないとNGで、LEはいずれ対応するかも知れないが現状まだ
>>409
色々間違いすぎで知識が古い
2016/03/22(火) 01:45:06.740
2016/03/22(火) 08:16:25.540
>>411
こういうのってどこで覚えるのか、素直に教えてほしい
こういうのってどこで覚えるのか、素直に教えてほしい
2016/03/22(火) 11:15:07.250
TLSサーバからクライアントにSCTを渡す方法は規格上は3つある
@ TLSサーバ証明書のemvedSCT拡張に含める
A TLSハンドシェイクのsigned_certificate_timestamp型TLS拡張に含める
B TLSハンドシェイクのstatus型TLS拡張のOOSP staplingに含める
ググったところ、実際に対応実装があるのは @ のみ(それも対応ブラウザは Google ChromeだけI)で、
それ以外の方法は実装例がないそうだけど、AやBに対応している環境はあるのか?
@ TLSサーバ証明書のemvedSCT拡張に含める
A TLSハンドシェイクのsigned_certificate_timestamp型TLS拡張に含める
B TLSハンドシェイクのstatus型TLS拡張のOOSP staplingに含める
ググったところ、実際に対応実装があるのは @ のみ(それも対応ブラウザは Google ChromeだけI)で、
それ以外の方法は実装例がないそうだけど、AやBに対応している環境はあるのか?
2016/03/22(火) 12:07:34.490
Chromeは2対応してる。確認済み。3はシラネ
417名無しさん@お腹いっぱい。
2016/03/23(水) 16:38:16.820 Let's Encrypt の話じゃないが、無料SSLの StartSSL にドメイン認証不備の脆弱性があったようだ
http://blog.tokumaru.org/2016/03/startssl.html
証明書取得時のWebフォームで、認証用メールアドレスのパラメーター(下記のDOM)を書き換えることで、
任意のメールアドレスでの認証が可能だったとのこと。
<input name=
http://blog.tokumaru.org/2016/03/startssl.html
証明書取得時のWebフォームで、認証用メールアドレスのパラメーター(下記のDOM)を書き換えることで、
任意のメールアドレスでの認証が可能だったとのこと。
<input name=
418名無しさん@お腹いっぱい。
2016/03/23(水) 16:38:53.530 (2chの不具合で投稿が途中で切れたので続き)
<input name="ValidateEmails" type="radio" value="webmaster@example.com">
こういうWebアプリケーション製作の入門書にも載っているような低レベルな脆弱性があるとか、StartSSL は信用できん
やっぱ90日ごとの更新が面倒でも Let's Encryptの方がいいね
<input name="ValidateEmails" type="radio" value="webmaster@example.com">
こういうWebアプリケーション製作の入門書にも載っているような低レベルな脆弱性があるとか、StartSSL は信用できん
やっぱ90日ごとの更新が面倒でも Let's Encryptの方がいいね
2016/03/23(水) 21:31:47.020
Let's Encrypt が面倒なのは最初だけ。
自動更新するようにシェル書いたらあと放置。
自動更新するようにシェル書いたらあと放置。
2016/03/23(水) 22:26:49.340
最初の手順も、そこらのに比べれば楽だと思う。
421名無しさん@お腹いっぱい。
2016/03/25(金) 03:07:50.270422名無しさん@お腹いっぱい。
2016/03/25(金) 21:02:38.020 >>421
残業だらけで寝不足になってくるとセキュアなコーディングなんて心がける余裕はなくなってくるんだよ
時間が無いと、オブジェクト指向どころか、関数にすべきところをコピペして一部編集してコーディング、
ググって適当にでてきたコードをよく読まずに無理やりつなぎあわせて、エラーが出た場所だけとりあえず修正して間に合わせ
とにかく急いで完成させるようになるの
勿論、プロなのでできる限り穴がないようにするが、ところどころ抜けるのはやむを得ない
睡眠不足で過労死するよりはマシだろう
一番のWebアプリケーションの脆弱性対策は、教育ではなく労働環境の改善だと思う
セキュアなコーディングのやり方をプログラマーが知らないのではなく、それに気を配る時間がないというのが現実
残業だらけで寝不足になってくるとセキュアなコーディングなんて心がける余裕はなくなってくるんだよ
時間が無いと、オブジェクト指向どころか、関数にすべきところをコピペして一部編集してコーディング、
ググって適当にでてきたコードをよく読まずに無理やりつなぎあわせて、エラーが出た場所だけとりあえず修正して間に合わせ
とにかく急いで完成させるようになるの
勿論、プロなのでできる限り穴がないようにするが、ところどころ抜けるのはやむを得ない
睡眠不足で過労死するよりはマシだろう
一番のWebアプリケーションの脆弱性対策は、教育ではなく労働環境の改善だと思う
セキュアなコーディングのやり方をプログラマーが知らないのではなく、それに気を配る時間がないというのが現実
423422
2016/03/25(金) 21:04:57.010 その点、非営利で趣味でやっているようなオープンソースのフリーソフトってのは
「美しいコード」「オブジェクト指向」「セキュアなコーディング」といった作者が拘りたいところに
時間を気にせずとことん拘れるから、場合によってはプロよりも良い物ができる
寝不足の中納期に無理やり間に合わせるような雑なコードとは違って、趣味のプログラミングなら
自分のやりたいペースでできるからね
「美しいコード」「オブジェクト指向」「セキュアなコーディング」といった作者が拘りたいところに
時間を気にせずとことん拘れるから、場合によってはプロよりも良い物ができる
寝不足の中納期に無理やり間に合わせるような雑なコードとは違って、趣味のプログラミングなら
自分のやりたいペースでできるからね
2016/03/25(金) 21:34:39.750
おいスレタイ
425名無しさん@お腹いっぱい。
2016/03/31(木) 23:33:18.910 βなのにトラブルとか全然なくてスレが盛り上がらない模様
2016/04/01(金) 12:17:41.780
いいことだ
2016/04/01(金) 12:47:27.450
仕込んでた自動更新スクリプトが無事勝手に更新して反映してくれていた事を確認出来たのでもう放置ですわ。
2016/04/03(日) 20:48:36.400
これ、期限の何日前になったらメール送られてくるのかねー
スクリプトで回すから、一ヶ月毎に強制的に更新してればメール来ないんだろうけど
スクリプトで回すから、一ヶ月毎に強制的に更新してればメール来ないんだろうけど
2016/04/03(日) 22:52:01.980
>>428
19日前と9日前にメール届いてる
19日前と9日前にメール届いてる
2016/04/03(日) 23:55:55.830
2016/04/05(火) 07:50:15.870
0日前(1日未満)メールも届いた!
2016/04/05(火) 07:56:49.160
最後通牒だぬw
2016/04/15(金) 22:39:46.280
Windows10 + xamppで導入してみようと思ってletsencrypt.exeを落としてきて実行したんですが、
Which host do you want to get a certificate for: m
Enter a host name: hogehoge.com
Enter a site path (the web root of the host for http authentication): d:\DATA\htdocs
System.ArgumentNullException: 値を Null にすることはできません。
パラメーター名:collection
場所 System.Collections.Generic.List`1..ctor(IEnumerable`1 collection)
場所 LetsEncrypt.ACME.Simple.ManualPlugin.HandleMenuResponse(String response, List`1 targets)
場所 LetsEncrypt.ACME.Simple.Program.Main(String[] args)
Press enter to continue.
とエラーとなってしまいます。どなたか解決策が分かる方はいらっしゃるでしょうか?
Which host do you want to get a certificate for: m
Enter a host name: hogehoge.com
Enter a site path (the web root of the host for http authentication): d:\DATA\htdocs
System.ArgumentNullException: 値を Null にすることはできません。
パラメーター名:collection
場所 System.Collections.Generic.List`1..ctor(IEnumerable`1 collection)
場所 LetsEncrypt.ACME.Simple.ManualPlugin.HandleMenuResponse(String response, List`1 targets)
場所 LetsEncrypt.ACME.Simple.Program.Main(String[] args)
Press enter to continue.
とエラーとなってしまいます。どなたか解決策が分かる方はいらっしゃるでしょうか?
2016/04/15(金) 22:58:51.130
2016/04/15(金) 23:21:57.680
2016/04/15(金) 23:35:04.040
>>434
毒入れ?
毒入れ?
2016/04/16(土) 00:05:37.620
>>436
なんか狙われてるって?(笑)
なんか狙われてるって?(笑)
2016/04/16(土) 02:18:15.040
>>434
418で草
418で草
2016/04/16(土) 03:15:01.020
ステータスコード 418 I'm a teapot のページ探してみたらあった
https://www.google.com/teapot
てっきり無効なステータスコードとしてエラーになるかと思ったら、
RFCで定義されたステータスコードだけあって、ちゃんと主要ブラウザでエラーにならず問題なく閲覧できるんだね
https://www.google.com/teapot
てっきり無効なステータスコードとしてエラーになるかと思ったら、
RFCで定義されたステータスコードだけあって、ちゃんと主要ブラウザでエラーにならず問題なく閲覧できるんだね
2016/04/16(土) 14:03:42.050
てか大半のブラウザは不明なステータスコードとしてスルーしているだけだと思う
一部IEとかで404の時ブラウザ独自のエラー画面出すことがあるっぽいけど
普通は404でも403でも500でも何でもとりあえずサーバーから返されたHTML表示してるし
一部IEとかで404の時ブラウザ独自のエラー画面出すことがあるっぽいけど
普通は404でも403でも500でも何でもとりあえずサーバーから返されたHTML表示してるし
441名無しさん@お腹いっぱい。
2016/04/18(月) 19:02:54.080442名無しさん@お腹いっぱい。
2016/04/25(月) 02:35:42.290 2月の初めごろに証明書とった香具師、そろそろ更新の時期だから忘れずに更新しような!
2016/04/25(月) 09:17:39.410
ふつうに注意喚起のメール飛んでくるから、そういうのいらんです
2016/04/25(月) 09:18:49.830
あって困ることはない
2016/04/25(月) 10:06:36.810
2回目の取得は自動スクリプトがちゃんと動いてるかどうかの確認に使うのがいい
2016/04/25(月) 10:48:07.670
俺なんかスクリプトの記述を数文字間違えて、4日で更新しちまった事があるぜぃ
-ne と != は違うから気を付けような!(笑)
-ne と != は違うから気を付けような!(笑)
2016/04/27(水) 18:00:16.350
!rrbuild:age
2016/04/27(水) 18:00:30.560
板復帰(NG!:Gather .dat file OK:NOT moving DAT 592 -> 592:Get subject.txt OK:Check subject.txt 592 -> 592:fukki NG!)1.15, 1.04, 1.00
age Maybe not broken
449名無しさん@お腹いっぱい。
2016/05/08(日) 23:53:04.440 証明書取得記念上げ
450集ストテク犯被害者必見!
2016/05/09(月) 05:39:39.700 [拡散希望!]
参考になりそうなURL送っておきます
電磁波による拷問と性犯罪
http://denjiha.main.jp/higai/archives/category/%E6%9C%AA%E5%88%86%E9%A1%9E
公共問題市民調査委員会
http://masaru-kunimoto.com/
この方たちは集団訴訟の会を立ち上げてマスコミに記事にしてもらう事を目的に集団訴訟を被害者でしようという試みを持っている方達です
訴訟は50人集めてしようという事なのですが50人で訴訟をすると記事に書けるそうです
記事には原発問題を取り上げてテク犯被害を受ける様になった大沼安史さんらが取り上げて下さるそうです
大沼安史さんがテク犯に遭っているという記事
http://ameblo.jp/hilooooooooooooo/entry-11526674165.html
大沼安史の個人新聞
http://onuma.cocolog-nifty.com/blog1/4/index.html
この方たちは電話相談等も受け付けている様で電話番号を載せている方達は電話かけ放題の契約をしていますのでこちらから電話して本人にかけ直してくれと頼むとかけ直してくれます
音声送信被害等を受けている「電磁波による拷問と性犯罪」の記事の水上さんは年金暮らしなので時間には余裕があるそうで宗教等に付随する集団ストーカー等の被害内容の話も聞いて下さいます
もう一人の電磁波犯罪には遭っていない国本さんという方は電磁波犯罪をしっかり理解されている方で年金暮らしの方なので長電話も大丈夫です
大沼さんはこちらのページからメールを受け付けておられる様です
http://onuma.cocolog-nifty.com/about.html
電話をかけたい場合は人によってはメールで電話番号を訊くと教えてくれると思います
この文章を見られた方は全文コピーをしてできるだけ多くの知り合いの被害者の方等にメールを送るなり被害者ブログに書き込むなりしていただければ大変有難いです
もし大勢の方に送る事が出来なければまだこの文章に触れていない知り合いの被害者に少しでも全文コピーで送っていただけるとその方が次の何人かの方に繋いで頂ける場合があり結果として大勢の方に見て頂く事が出来るはずです
ご協力よろしくお願い致します 👀
Rock54: Caution(BBR-MD5:f70dfdc711a7c6ae6accccb939f27fbf)
参考になりそうなURL送っておきます
電磁波による拷問と性犯罪
http://denjiha.main.jp/higai/archives/category/%E6%9C%AA%E5%88%86%E9%A1%9E
公共問題市民調査委員会
http://masaru-kunimoto.com/
この方たちは集団訴訟の会を立ち上げてマスコミに記事にしてもらう事を目的に集団訴訟を被害者でしようという試みを持っている方達です
訴訟は50人集めてしようという事なのですが50人で訴訟をすると記事に書けるそうです
記事には原発問題を取り上げてテク犯被害を受ける様になった大沼安史さんらが取り上げて下さるそうです
大沼安史さんがテク犯に遭っているという記事
http://ameblo.jp/hilooooooooooooo/entry-11526674165.html
大沼安史の個人新聞
http://onuma.cocolog-nifty.com/blog1/4/index.html
この方たちは電話相談等も受け付けている様で電話番号を載せている方達は電話かけ放題の契約をしていますのでこちらから電話して本人にかけ直してくれと頼むとかけ直してくれます
音声送信被害等を受けている「電磁波による拷問と性犯罪」の記事の水上さんは年金暮らしなので時間には余裕があるそうで宗教等に付随する集団ストーカー等の被害内容の話も聞いて下さいます
もう一人の電磁波犯罪には遭っていない国本さんという方は電磁波犯罪をしっかり理解されている方で年金暮らしの方なので長電話も大丈夫です
大沼さんはこちらのページからメールを受け付けておられる様です
http://onuma.cocolog-nifty.com/about.html
電話をかけたい場合は人によってはメールで電話番号を訊くと教えてくれると思います
この文章を見られた方は全文コピーをしてできるだけ多くの知り合いの被害者の方等にメールを送るなり被害者ブログに書き込むなりしていただければ大変有難いです
もし大勢の方に送る事が出来なければまだこの文章に触れていない知り合いの被害者に少しでも全文コピーで送っていただけるとその方が次の何人かの方に繋いで頂ける場合があり結果として大勢の方に見て頂く事が出来るはずです
ご協力よろしくお願い致します 👀
Rock54: Caution(BBR-MD5:f70dfdc711a7c6ae6accccb939f27fbf)
451名無しさん@お腹いっぱい。
2016/05/09(月) 20:06:24.100452名無しさん@お腹いっぱい。
2016/05/11(水) 02:21:24.120 Windowsで"sudo" is not availableってエラーが出るんだけど
2016/05/11(水) 07:27:16.990
草
2016/05/11(水) 11:23:30.660
sudoいらんだろうけど、その後ろのコマンドは何を動かそうとしてんの?
Windowsでやったことないけど、↓これ使ったら
https://github.com/Lone-Coder/letsencrypt-win-simple/releases
Windowsでやったことないけど、↓これ使ったら
https://github.com/Lone-Coder/letsencrypt-win-simple/releases
2016/05/11(水) 11:33:39.330
あーあとSolarisの人はOpenCSWでいける
456名無しさん@お腹いっぱい。
2016/05/11(水) 15:27:54.090 ☆ 総務省の、『憲法改正国民投票法』、でググってみてください。☆
日本国民の皆様方、2016年7月の『第24回 参議院選挙』で、日本人の悲願である
改憲の成就が決まります。皆様方、必ず投票に自ら足を運んでください。お願い致します。
日本国民の皆様方、2016年7月の『第24回 参議院選挙』で、日本人の悲願である
改憲の成就が決まります。皆様方、必ず投票に自ら足を運んでください。お願い致します。
2016/05/28(土) 12:54:37.670
公式のスクリプトって毎日更新されるね
日によっては複数回
日によっては複数回
458名無しさん@お腹いっぱい。
2016/06/04(土) 01:51:08.990 日本語ドメイン登録しようとしたらエラー出るんだけど、どうすればいいの?
2016/06/04(土) 02:04:04.800
別の蔵使ってみる
2016/06/05(日) 13:42:01.620
OCSP stampingしたいときはどれを指定すればええんじゃ?
2016/06/05(日) 13:53:06.810
X3に署名されてるけどこれ用の証明書が見つからん
2016/06/05(日) 14:29:12.290
でけた
>>460-461は気にしないで
>>460-461は気にしないで
2016/06/10(金) 16:10:21.330
みなさんどんな感じ?
https://www.ssllabs.com/ssltest/
https://www.ssllabs.com/ssltest/
2016/06/10(金) 21:45:22.950
>>463
A+
A+
2016/06/10(金) 23:24:57.910
自分専用だーってセキュリティをガチガチにやりすぎると、
おかしな挙動として判定されてテストが完走できないw
おかしな挙動として判定されてテストが完走できないw
2016/06/10(金) 23:34:56.250
完走出来ないってそれって設定ぽしゃってるんじゃなくて?w
2016/06/10(金) 23:40:50.980
どうなんだろ
まず認証かけてて、一定回数以内にパスしないだけでFWでシャットアウトだから…
たまに自分も締め出されるwww
まず認証かけてて、一定回数以内にパスしないだけでFWでシャットアウトだから…
たまに自分も締め出されるwww
2016/06/10(金) 23:52:00.280
そら完走するわけがない
2016/06/11(土) 00:15:29.120
Let's Encrypt の話じゃないけど、apacheの設定もっと簡単に出来るようにならないかなぁ
confに許可する暗号と許可しない
暗号をずらずらかくと長たらしくてしょうがない
confに許可する暗号と許可しない
暗号をずらずらかくと長たらしくてしょうがない
2016/06/11(土) 00:24:48.390
SSLProtocol all -SSLv2 -SSLv3
SSLCipherSuite HIGH:!aNULL:!eNULL:!MD5
SSLHonorCipherOrder on
これで十分やろ
SSLCipherSuite HIGH:!aNULL:!eNULL:!MD5
SSLHonorCipherOrder on
これで十分やろ
2016/06/11(土) 00:30:03.050
2016/06/11(土) 03:44:27.840
まあ、暗号化スイート列挙したりすると、
confの見た目が汚くてなって直感的になに書いてあるか把握しにくい
というのはわかる
そこは自動生成したものを使うのでコピペではあるのだけれど
confの見た目が汚くてなって直感的になに書いてあるか把握しにくい
というのはわかる
そこは自動生成したものを使うのでコピペではあるのだけれど
2016/06/11(土) 11:11:56.710
うちはsslの設定部分だけをどこかに書いておいてconfからそれをincludeしてる
2016/06/11(土) 11:25:51.420
何このメール
2016/06/11(土) 11:27:40.390
書くところミスったんかな?
メールアドレスがアホみたいに大量に書いてある
メールアドレスがアホみたいに大量に書いてある
2016/06/11(土) 11:39:59.270
俺のメアドもあったな
こりゃオペミスで全アドレス流出ですかねwe've
こりゃオペミスで全アドレス流出ですかねwe've
2016/06/11(土) 11:40:22.440
we'veじゃなくてw・・・
余計な補完しなくていいのに
余計な補完しなくていいのに
2016/06/11(土) 11:45:20.300
なかなかやばいな
俺は晒されても問題ないアドレスでしか登録しないから別にいいけど
俺は晒されても問題ないアドレスでしか登録しないから別にいいけど
2016/06/11(土) 13:04:05.460
今までlet's encryptからメール来たことないんだけど…
証明書の期限1日前まで放置しててもお知らせメールとかなかったし
今回のお漏らしメールも来てないし
証明書の期限1日前まで放置しててもお知らせメールとかなかったし
今回のお漏らしメールも来てないし
2016/06/11(土) 13:17:03.620
おま環
2016/06/11(土) 17:00:10.220
これみたいですね
https://community.letsencrypt.org/t/email-address-disclosures-preliminary-report-june-11-2016/16867
前代未聞というか、だいぶまずい気がするけどどう対応するんだろう
https://community.letsencrypt.org/t/email-address-disclosures-preliminary-report-june-11-2016/16867
前代未聞というか、だいぶまずい気がするけどどう対応するんだろう
2016/06/11(土) 17:47:20.180
対応のしようがないだろ
どうするってんだ?
どうするってんだ?
2016/06/11(土) 17:54:12.470
ac.jpなんかで作るなよ
2016/06/11(土) 17:57:01.300
俺のもぎりぎり入ってるんだなあ
別に問題はないけどどうするのかは気になる
別に問題はないけどどうするのかは気になる
2016/06/11(土) 18:15:36.500
手違い自体はまずいだろうが……。
SSL証明書なんだからドメインはだいたい公知、
ローカルパートは postmaster とか info とかその手のものなんじゃないの、普通。
SSL証明書なんだからドメインはだいたい公知、
ローカルパートは postmaster とか info とかその手のものなんじゃないの、普通。
2016/06/11(土) 18:18:29.650
手違いじゃなくてバグだってさ
途中で止めたから7200件くらい漏れたとか
途中で止めたから7200件くらい漏れたとか
2016/06/14(火) 06:44:42.110
ここから漏れるとは想定してなかったわ。
どうやってアドレス変更するんだ。
どうやってアドレス変更するんだ。
2016/06/14(火) 08:00:54.790
スレチ
2016/06/14(火) 08:16:30.030
適当なgmailを取ってた俺が勝ち栗
2016/06/14(火) 09:42:13.870
10minutemail使ってたから無問題
2016/06/14(火) 09:42:52.400
>>490
むしろそれは問題だ
むしろそれは問題だ
2016/06/14(火) 09:51:54.500
>>491
期限過ぎても仕様書が上がってこなかったせいで、程なくして企画ごとなくなったからへーきへーき
期限過ぎても仕様書が上がってこなかったせいで、程なくして企画ごとなくなったからへーきへーき
2016/06/14(火) 10:40:48.350
>>463
F
sudo yum update openssll 実行して sudo service httpd restart したら A+ になったわ
OpenVZのVPSだから、全体的にyum updateできないのよね
助かったわー n ∧_∧
(ヨ(´∀` ) Thanks!
Y つ
F
sudo yum update openssll 実行して sudo service httpd restart したら A+ になったわ
OpenVZのVPSだから、全体的にyum updateできないのよね
助かったわー n ∧_∧
(ヨ(´∀` ) Thanks!
Y つ
2016/06/14(火) 10:43:38.410
うちはA+だなあ
どのドメインをメインにしてどれをSNIにするか選べないのかしら
どのドメインをメインにしてどれをSNIにするか選べないのかしら
2016/06/14(火) 11:46:14.770
HSTSを有効にしなければAが限界
HSTSを有効にすれば多分A+になる
HSTSを有効にすれば多分A+になる
2016/06/14(火) 11:52:01.890
有効にしないメリットって?
2016/06/14(火) 12:26:43.190
2016/06/14(火) 12:27:58.910
リダイレクトしとけよ・・・
2016/06/14(火) 12:36:16.680
期限切れ直前のドメインにアホみたいに長い時間指定したら嫌がらせできそうだな
2016/06/14(火) 13:08:54.280
してどうすんの?
2016/06/14(火) 13:09:36.310
別のサイトが使った時にhttpで繋いでくれなくなる
2016/06/14(火) 13:45:46.120
捨てるようなドメインにアクセスしてるヤツなんていない
2016/06/14(火) 13:49:40.630
アフィサイトとかが失効したドメイン買い漁ってるじゃん
それに嫌がらせできる
それに嫌がらせできる
2016/06/14(火) 14:51:31.130
2016/06/14(火) 15:06:19.000
ただ単にHSTS設定しても失効する前にアクセスしたブラウザにしか効果ない
現役時代のアクセス層と跡地のアフィサイトのアクセス層が被る可能性は低い
ってことでpreload HSTSに登録しよう
そしたら全世界のChromeやFirefoxに効く
現役時代のアクセス層と跡地のアフィサイトのアクセス層が被る可能性は低い
ってことでpreload HSTSに登録しよう
そしたら全世界のChromeやFirefoxに効く
2016/06/14(火) 18:57:11.040
preload は全てのサブドメインを HTTPS にするのが面倒くさいから放置してる俺。
507名無しさん@お腹いっぱい。
2016/06/16(木) 19:38:53.350 HSTSにしちゃうと、部分的にHTTPなページ作れなくなるじゃん?
月極広告の広告主がリファラ取りたいと言ってきたときとか(HTTPS→HTTPはIEだと飛ばない)、
A8.net とかのSSL非対応のASP使いたいときとかに困る
結構リスク高いのでHSTSには慎重になった方がいいと思う、もちろんセキュリティ上は重要なんだけどね
月極広告の広告主がリファラ取りたいと言ってきたときとか(HTTPS→HTTPはIEだと飛ばない)、
A8.net とかのSSL非対応のASP使いたいときとかに困る
結構リスク高いのでHSTSには慎重になった方がいいと思う、もちろんセキュリティ上は重要なんだけどね
2016/06/16(木) 19:46:51.550
いつでもやめられるでしょ
時間0に設定すればいいだけ
アクセスするたびに時間更新されるしあくせすしないならそいつは相手する必要ないんだし
時間0に設定すればいいだけ
アクセスするたびに時間更新されるしあくせすしないならそいつは相手する必要ないんだし
509名無しさん@お腹いっぱい。
2016/06/17(金) 17:29:20.700 スラドでも記事になった模様
【Let's Encrypt、ほかのユーザーのメールアドレスを記載したメールをユーザーに送信】
http://security.srad.jp/story/16/06/16/0626258/
【Let's Encrypt、ほかのユーザーのメールアドレスを記載したメールをユーザーに送信】
http://security.srad.jp/story/16/06/16/0626258/
510名無しさん@お腹いっぱい。
2016/06/17(金) 17:57:54.070 まぁメールアドレスをミスで漏えいさせたぐらいでたたくまくるのもかわいそうな気がする
どっかの馬鹿CAみたいに秘密鍵漏えいさせたわけじゃないんだしw
どっかの馬鹿CAみたいに秘密鍵漏えいさせたわけじゃないんだしw
511名無しさん@お腹いっぱい。
2016/06/17(金) 18:04:32.5202016/06/17(金) 18:15:44.250
>>511 はスパム行為 (Let's Encryptに無関係なサイト)
クリックせずにスルーよろ
クリックせずにスルーよろ
2016/06/17(金) 18:47:33.180
2016/07/01(金) 14:53:46.960
エックスサーバー、レンタルサーバー全プランで「Let's Encrypt」の無料SSL証明書が利用可能に
ttp://internet.watch.impress.co.jp/docs/news/1008164.html
> 今回の機能追加により、利用者はサーバー設定画面の
> 「SSL設定」から手軽にLet's Encryptの証明書を申請し、
> 発行および設定までを完了させることができる。
レンタルサーバー会社で初めてってわけではないみたいだが、
SSL対応の流れは止められないだろうし、管理者権限のない
レンタルサーバーでも導入できる環境が増えていくかな。
ttp://internet.watch.impress.co.jp/docs/news/1008164.html
> 今回の機能追加により、利用者はサーバー設定画面の
> 「SSL設定」から手軽にLet's Encryptの証明書を申請し、
> 発行および設定までを完了させることができる。
レンタルサーバー会社で初めてってわけではないみたいだが、
SSL対応の流れは止められないだろうし、管理者権限のない
レンタルサーバーでも導入できる環境が増えていくかな。
515名無しさん@お腹いっぱい。
2016/07/02(土) 21:26:18.760 Let's Encryptは互換性の観点からいうとダメ過ぎる
8割対応するけど、ごく一部のアンドロイドやSHA-2に対応したニンテンドー3DS
はIdenTrustのルート証明書がないが故にエラーが出るからなぁ
たかが3DSに対応する必要はあるんかというと、結構なアクセス数なんだよなぁ
ジオトラストのルート証明書を使用するRapidSSLのような有料証明書の方が3DSも対応するし
互換性でいうとほぼ完璧だから使い分けがいいと思う
8割対応するけど、ごく一部のアンドロイドやSHA-2に対応したニンテンドー3DS
はIdenTrustのルート証明書がないが故にエラーが出るからなぁ
たかが3DSに対応する必要はあるんかというと、結構なアクセス数なんだよなぁ
ジオトラストのルート証明書を使用するRapidSSLのような有料証明書の方が3DSも対応するし
互換性でいうとほぼ完璧だから使い分けがいいと思う
2016/07/02(土) 23:33:52.150
3DS相手にするコンテンツ載っけてるヤツなんてごくごくごく一部だけだろw
517名無しさん@お腹いっぱい。
2016/07/03(日) 00:17:05.930 >>516
それがだな、ゲーム系扱ってるせいか3DSからも結構アクセスしてくる
Let's Encrypt導入して4日後New 3DSで閲覧したら「証明書が見つかりませんでした」とエラー
吐いたから調べたらそもそも対応してなかったと聞いて、SSL化は断念したわ
それがだな、ゲーム系扱ってるせいか3DSからも結構アクセスしてくる
Let's Encrypt導入して4日後New 3DSで閲覧したら「証明書が見つかりませんでした」とエラー
吐いたから調べたらそもそも対応してなかったと聞いて、SSL化は断念したわ
2016/07/03(日) 00:58:01.470
対応できていない古いものは無視しろよ
2016/07/03(日) 01:05:22.520
2016/07/03(日) 03:36:18.490
確かに RapidSSL の方が IdenTrust より対応環境多い気がする
ただ、「有料証明書の方が対応」というのは間違いで IdenTrust は有料証明書を販売しているかなり大手の認証局
あと、高い証明書の方が対応率が高いというわけでもなくて、クレジットカード業界の3Dセキュア認証ページなんかは、
古いブラウザの対応率が下がるのを懸念して EV SSL(アドレスバー緑のやつ)じゃなくてセキュリティレベルの低いOV証明書を使い続けたりもしている
調べたら3DSはルート認証局にかなり偏りがあってしかも少なく有料でも対応していないとこも多いね
ルート証明書のアップデートも事実上行われなくて放置だし、これは任天堂が悪いとしか言いようがない
任天堂は DS / DSi で 脆弱なWEP暗号を強要して世界中のWi-Fiのセキュリティレベルを下げたりと、問題が多すぎる
はっきり言って、任天堂の問題
数年後には3DSに入っているルート証明書の有効期限があちこち切れるので、弾かれる認証局はどんどん増えてくよ、任天堂はルート証明書のアップデートの面倒も見る気なさそうだから
ただ、「有料証明書の方が対応」というのは間違いで IdenTrust は有料証明書を販売しているかなり大手の認証局
あと、高い証明書の方が対応率が高いというわけでもなくて、クレジットカード業界の3Dセキュア認証ページなんかは、
古いブラウザの対応率が下がるのを懸念して EV SSL(アドレスバー緑のやつ)じゃなくてセキュリティレベルの低いOV証明書を使い続けたりもしている
調べたら3DSはルート認証局にかなり偏りがあってしかも少なく有料でも対応していないとこも多いね
ルート証明書のアップデートも事実上行われなくて放置だし、これは任天堂が悪いとしか言いようがない
任天堂は DS / DSi で 脆弱なWEP暗号を強要して世界中のWi-Fiのセキュリティレベルを下げたりと、問題が多すぎる
はっきり言って、任天堂の問題
数年後には3DSに入っているルート証明書の有効期限があちこち切れるので、弾かれる認証局はどんどん増えてくよ、任天堂はルート証明書のアップデートの面倒も見る気なさそうだから
521520
2016/07/03(日) 03:38:37.460 あと、ゲーム系サイト運営なら >>517 の判断は正解
3DSのゲーム攻略系サイトで、3DSのブラウザからアクセスできないとかは、ユーザビリティからして論外だろう
何よりもターゲットとなる環境でアクセスできる証明書を選ぶことが最重要
任天堂の糞ブラウザに合わせるしかない
3DSのゲーム攻略系サイトで、3DSのブラウザからアクセスできないとかは、ユーザビリティからして論外だろう
何よりもターゲットとなる環境でアクセスできる証明書を選ぶことが最重要
任天堂の糞ブラウザに合わせるしかない
2016/07/03(日) 03:47:21.580
おまえ
さくらの長文野郎だろ!
さくらの長文野郎だろ!
2016/07/03(日) 11:39:02.750
ゲーム系サイト見ないから単に疑問なだけなんだけど、
3DSの攻略情報をスマホやPCじゃなくて3DSで見るの?
3DSの攻略情報をスマホやPCじゃなくて3DSで見るの?
2016/07/03(日) 12:50:58.390
スマフォとか持てなかったりする子供が、って前置きじゃないの?
勿論大人も楽しむだろうけど、子供向けゲームソフトだってたくさん出てるし
勿論大人も楽しむだろうけど、子供向けゲームソフトだってたくさん出てるし
2016/07/03(日) 13:18:03.980
全端末対応のサイトなんてのもないでしょう
普通は切り捨てると思うけどなぁ
普通は切り捨てると思うけどなぁ
526名無しさん@お腹いっぱい。
2016/07/03(日) 13:28:19.830 >>525
ゲーム系で3DS切り捨ては有り得ない選択
(Google アナルティクスアクセス解析結果)
Chrome … 30%
Safari … 25%
IE … 10%
Android 標準ブラウザ … 8%
Nintendo 3DS Browser … 6%
Nintendo Browser … 6%
Firefox … 5%
Edge … 4%
Playstation Vita Browser … 2%
Safari (in-app) … 2%
任天堂系のブラウザが 1割以上を占めてるんだけど、これ切り捨てろと?
流石にそれは頭悪いと思う
ゲーム系で3DS切り捨ては有り得ない選択
(Google アナルティクスアクセス解析結果)
Chrome … 30%
Safari … 25%
IE … 10%
Android 標準ブラウザ … 8%
Nintendo 3DS Browser … 6%
Nintendo Browser … 6%
Firefox … 5%
Edge … 4%
Playstation Vita Browser … 2%
Safari (in-app) … 2%
任天堂系のブラウザが 1割以上を占めてるんだけど、これ切り捨てろと?
流石にそれは頭悪いと思う
2016/07/03(日) 13:34:12.590
アフィで儲かってるんだから、有料のちゃんとした証明書買え。
528526
2016/07/03(日) 14:04:45.240 >>527
そうですね
対応状況調べたりとか悩んだりとか格安業者探すのに無駄な時間を使うのもバカバカしいので、
明確に3DS対応している ジオトラスト クイックSSL プレミアムを3年分買いました
78,200円しましたが1カ月あたりにするとせいぜい2000円程度、AdSense+アフィ収入は月70万ぐらいあるのでこれぐらい痛くも痒くもないです
そうですね
対応状況調べたりとか悩んだりとか格安業者探すのに無駄な時間を使うのもバカバカしいので、
明確に3DS対応している ジオトラスト クイックSSL プレミアムを3年分買いました
78,200円しましたが1カ月あたりにするとせいぜい2000円程度、AdSense+アフィ収入は月70万ぐらいあるのでこれぐらい痛くも痒くもないです
2016/07/03(日) 14:07:43.440
技術系ブログはこう
1. Chrome 65%
2. Internet Explorer 15%
3. Firefox 14%
4. Edge 2%
5. Safari 1%
3DS?何それ美味しいの?
1. Chrome 65%
2. Internet Explorer 15%
3. Firefox 14%
4. Edge 2%
5. Safari 1%
3DS?何それ美味しいの?
2016/07/03(日) 14:08:51.730
一瞬未対応かと
531526
2016/07/03(日) 14:16:00.120 買ったのはいいけど、メールで来た説明が専門用語書き並べてよくわからない
続いて、以下より2つの中間CA証明書の(-----BEGIN CERTIFICATE-----) から (-----END CERTIFICATE-----)までをそれぞれコピーし、
3階層目を上に2階層目を下にテキストエディタに貼り付け、中間CA証明書ファイルとして任意のファイル名で保存します。
テキストエディタとか貼り付けとか言われても、専用サーバにTera Termで接続だと文字書き換えは簡単でもマウス使えないからコピペムズイ
テキストエディタがどうとか、Windowsサーバを前提にしてるのか?
どうやってインストールしたらいいかサポートに電話したら平日9:30-17:30じゃないと対応できないとか言われるし最悪
土日電話対応しないとかサービス業としてなってない
Let's Encrypt関係なくなるのでそろそろ退場しますがみなさん、ジオトラ○トはわけのやめたほうがいいです
続いて、以下より2つの中間CA証明書の(-----BEGIN CERTIFICATE-----) から (-----END CERTIFICATE-----)までをそれぞれコピーし、
3階層目を上に2階層目を下にテキストエディタに貼り付け、中間CA証明書ファイルとして任意のファイル名で保存します。
テキストエディタとか貼り付けとか言われても、専用サーバにTera Termで接続だと文字書き換えは簡単でもマウス使えないからコピペムズイ
テキストエディタがどうとか、Windowsサーバを前提にしてるのか?
どうやってインストールしたらいいかサポートに電話したら平日9:30-17:30じゃないと対応できないとか言われるし最悪
土日電話対応しないとかサービス業としてなってない
Let's Encrypt関係なくなるのでそろそろ退場しますがみなさん、ジオトラ○トはわけのやめたほうがいいです
2016/07/03(日) 14:18:29.210
調べてみたらうちも今月は一件もないな
Google Chrome 207,634
Firefox 24,388
Internet Explorer 6,042
Android Browser 4,572
Opera 4,313
Mobile Safari 945
Dolphin(Android) 411
Safari 751
UCBrowser(Nokia) 210
サポートに電話して聞かなきゃいけないほど無能だって自覚があるならそんなことやらなきゃいいのに・・・
Google Chrome 207,634
Firefox 24,388
Internet Explorer 6,042
Android Browser 4,572
Opera 4,313
Mobile Safari 945
Dolphin(Android) 411
Safari 751
UCBrowser(Nokia) 210
サポートに電話して聞かなきゃいけないほど無能だって自覚があるならそんなことやらなきゃいいのに・・・
2016/07/03(日) 14:20:39.580
534526
2016/07/03(日) 14:41:27.490 >>532
サイトによってそこまでブラウザが違うのか!
> サポートに電話して聞かなきゃいけないほど無能だって自覚があるならそんなことやらなきゃいいのに・・・
そんなにいうほど無能?
そりゃ、お前らみたいなパソコンオタクには勝てないだろうけど、文系の中ではパソコンできる方だよ
これでも専用サーバへのapache+php+mySQL+ワードプレスの構築は、Mysqlのインストール時にエラー出て鯖屋に遠隔でやってもらったのを除けば自分でできたんだよ
ただviはコピペが難しくて行数調べて 5yy みたいにうってpで貼り付けなきゃいけないんだけど
そのとき上書きされたり1行ずれたりしてなかなかうまくいかないしし、中間証明書の階層がどうとかと言われてもどっちが上からわからない
ジオトラ○トは、証明書の統合が必要なら最初からくっつけたのを送ってくれればいいし、コマンド1つで導入できるアプリとかを用意してほしかった
>>533
うん
IT系コンサルやってる知人に聞いた話ではPCからの検索だと順位への影響は1%程度だけど
スマホからの検索だともっと影響するらしい(Googleは広告強制注入したりする悪質なフリーWi-Fiスポットだらけの海外が基準でSSL推進らしい)
SSLだとA8のアフィ貼れなくなるけど、収入の大半がAdSense,Amazonアフィ,月極広告だからデメリットは少ないと考えた
リピーターよりも検索経由のアクセスの方が圧倒的に広告クリック率も広告クリック単価も高いしね
サイトによってそこまでブラウザが違うのか!
> サポートに電話して聞かなきゃいけないほど無能だって自覚があるならそんなことやらなきゃいいのに・・・
そんなにいうほど無能?
そりゃ、お前らみたいなパソコンオタクには勝てないだろうけど、文系の中ではパソコンできる方だよ
これでも専用サーバへのapache+php+mySQL+ワードプレスの構築は、Mysqlのインストール時にエラー出て鯖屋に遠隔でやってもらったのを除けば自分でできたんだよ
ただviはコピペが難しくて行数調べて 5yy みたいにうってpで貼り付けなきゃいけないんだけど
そのとき上書きされたり1行ずれたりしてなかなかうまくいかないしし、中間証明書の階層がどうとかと言われてもどっちが上からわからない
ジオトラ○トは、証明書の統合が必要なら最初からくっつけたのを送ってくれればいいし、コマンド1つで導入できるアプリとかを用意してほしかった
>>533
うん
IT系コンサルやってる知人に聞いた話ではPCからの検索だと順位への影響は1%程度だけど
スマホからの検索だともっと影響するらしい(Googleは広告強制注入したりする悪質なフリーWi-Fiスポットだらけの海外が基準でSSL推進らしい)
SSLだとA8のアフィ貼れなくなるけど、収入の大半がAdSense,Amazonアフィ,月極広告だからデメリットは少ないと考えた
リピーターよりも検索経由のアクセスの方が圧倒的に広告クリック率も広告クリック単価も高いしね
2016/07/03(日) 14:43:33.810
まあ導入しようとする意欲があるのはいいことだ
ゲーム機だとうちは一昔前PSPからのアクセスが結構あったな
ゲーム機だとうちは一昔前PSPからのアクセスが結構あったな
2016/07/03(日) 14:47:34.050
2016/07/03(日) 14:59:54.840
ローカルで編集してからうぷすれば良いだけ
2016/07/03(日) 16:58:28.710
うちはktai.example.comみたいなドメインにガラケー用ページを全部まとめて置いて3DSも(対応するとしたら)そこにおく方向で考えてる
2016/07/03(日) 17:13:23.670
>>538
ガラケーからのアクセスはどんなジャンルのサイトだろうと1%未満っしょ?
もう対応しなくていいと思う
あと3DSはどちらかと言えばスマホサイトに近いつくりで問題なく表示できるので
ガラケー向けよりスマホ向けコンテンツ(普通のレスポンシブデザイン)を配信するのが合理的
ガラケーからのアクセスはどんなジャンルのサイトだろうと1%未満っしょ?
もう対応しなくていいと思う
あと3DSはどちらかと言えばスマホサイトに近いつくりで問題なく表示できるので
ガラケー向けよりスマホ向けコンテンツ(普通のレスポンシブデザイン)を配信するのが合理的
2016/07/03(日) 17:32:16.700
え、IdenTrust非対応のシステムなんて今どきあったのか…
まあ、アクセスするユーザ数がふえるまではこのままでいいかな
まあ、アクセスするユーザ数がふえるまではこのままでいいかな
541名無しさん@お腹いっぱい。
2016/07/03(日) 17:41:10.710 >>540
実際、IdenTrustな環境なんてのは、3DS ・ Android 2 ・ Blackberry OS 10以下、ぐらいしか存在しない
XPのSP2以下で非対応なのはSHA-256非対応が原因だから別問題
https://community.letsencrypt.org/t/which-browsers-and-operating-systems-support-lets-encrypt/4394
Known not to work (based on https://groups.google.com/a/letsencrypt.org/d/msg/client-dev/I-iFKihZ4Vo/kyw2EuaNlB0J1.4k)
Blackberry OS 10, 7, & 6
Android 2.3.5 (HTC Wildfire S, Stock Browser)
Nintendo 3DS
Windows XP-pre SP3 - cannot handle SHA256 signed certificates
実際、IdenTrustな環境なんてのは、3DS ・ Android 2 ・ Blackberry OS 10以下、ぐらいしか存在しない
XPのSP2以下で非対応なのはSHA-256非対応が原因だから別問題
https://community.letsencrypt.org/t/which-browsers-and-operating-systems-support-lets-encrypt/4394
Known not to work (based on https://groups.google.com/a/letsencrypt.org/d/msg/client-dev/I-iFKihZ4Vo/kyw2EuaNlB0J1.4k)
Blackberry OS 10, 7, & 6
Android 2.3.5 (HTC Wildfire S, Stock Browser)
Nintendo 3DS
Windows XP-pre SP3 - cannot handle SHA256 signed certificates
542名無しさん@お腹いっぱい。
2016/07/03(日) 17:41:38.020 非対応が抜けた
IdenTrustな環境 ⇒ IdenTrust非対応な環境
IdenTrustな環境 ⇒ IdenTrust非対応な環境
2016/07/03(日) 17:43:24.360
DSのときのWEP暗号強要に続いてSSLでも問題を起こす任天堂
皆に迷惑なのでインターネットに繋がる機器を二度と作らないでいただきたいものだ
皆に迷惑なのでインターネットに繋がる機器を二度と作らないでいただきたいものだ
544名無しさん@お腹いっぱい。
2016/07/03(日) 20:38:15.4502016/07/03(日) 20:39:40.430
スレチ
な?
な?
2016/07/03(日) 20:59:16.920
少しでも叩ける要素があるとゴキちゃん湧いてくるからなwwwwwwwww
2016/07/03(日) 21:10:32.860
>>544
実質的にWEP強制だよ
【DSiのWPA対応がまるで意味を成していない件】
http://blog.goo.ne.jp/impreza98/e/b17140b653c27ac61366a134ab6c9262
うごくメモとブラウザのみの目的でDSiをWi-Fiに接続する人がどんだけいんの?
ゲームをネット接続しようとするとエラーが出るのでWEPにせざるを得なかった
実質的にWEP強制だよ
【DSiのWPA対応がまるで意味を成していない件】
http://blog.goo.ne.jp/impreza98/e/b17140b653c27ac61366a134ab6c9262
うごくメモとブラウザのみの目的でDSiをWi-Fiに接続する人がどんだけいんの?
ゲームをネット接続しようとするとエラーが出るのでWEPにせざるを得なかった
2016/07/03(日) 21:14:07.860
ゲハことハゲ民死ね
2016/07/03(日) 21:17:08.710
いや、これは重要な問題だよ
Let's Encrypt の証明書と3DSのブラウザに互換性が無いというのは極めて重大な問題
Nintendoにルート証明書のアップデートを呼びかける必要がある
Let's Encrypt の証明書と3DSのブラウザに互換性が無いというのは極めて重大な問題
Nintendoにルート証明書のアップデートを呼びかける必要がある
2016/07/03(日) 21:23:38.790
インターネットブラウザー 対応している認証局(CA)
https://www.nintendo.co.jp/3ds/hardware/internetbrowser/list_pem_3ds.html
任天堂はルートCAの一覧をWeb上で公開していることだけは評価できるな
しかしIdenTrustは北米ではシェア結構あるのに、どうしてるんだろうか
大人は3DSのブラウザに期待していないし子供は何が原因だか判別できないからクレーム少なくてスルーなのか?
https://www.nintendo.co.jp/3ds/hardware/internetbrowser/list_pem_3ds.html
任天堂はルートCAの一覧をWeb上で公開していることだけは評価できるな
しかしIdenTrustは北米ではシェア結構あるのに、どうしてるんだろうか
大人は3DSのブラウザに期待していないし子供は何が原因だか判別できないからクレーム少なくてスルーなのか?
2016/07/03(日) 23:56:46.620
Let's encryptを使ってAPIを公開した場合に、Javaからアクセスすると認証に失敗して接続できないというのも地味に不便
2016/07/04(月) 00:52:54.360
>>551
わかる。
わかる。
2016/07/04(月) 01:06:32.520
javaのcaに追加すれば済むだろ
2016/07/04(月) 02:00:31.740
2016/07/04(月) 02:03:42.170
ちなみにLet's Encryptを否定したり責めたりしているわけじゃないからね(わかるだろうけど念のため
JDKはバージョンアップ続けているんだから対応して欲しい
JDKはバージョンアップ続けているんだから対応して欲しい
2016/07/04(月) 02:38:55.220
javaのcaに入ってないせいでLINEのapi鯖からletsencの鯖へのコールバックができなくて
LINEのAPI試した人たちが阿鼻叫喚してた
LINEのAPI試した人たちが阿鼻叫喚してた
2016/07/04(月) 06:55:15.800
ゲーム機なんて切りの一択でしょ
そのためにごちゃごちゃやらなきゃいけない方がデメリットだ
というか、そんな一般的なこと言われて頭悪いとか反論してるバカさってどうよ
そのためにごちゃごちゃやらなきゃいけない方がデメリットだ
というか、そんな一般的なこと言われて頭悪いとか反論してるバカさってどうよ
2016/07/04(月) 07:56:21.140
一般的には無視する一手だろう
どうしてもそれが出来ない特定用途だというなら、そうかがんばれ、としか
どうしてもそれが出来ない特定用途だというなら、そうかがんばれ、としか
2016/07/04(月) 15:47:00.410
サイトの内容によって客層・年齢層が違いアクセスの傾向なんて千差万別。
未だに「一般的」でない古いIEへの対応どうするかなんて言ってるのに
個々のサイト運営を「一般的」かどうかで判断してもしょうがない。
1000万台以上普及してるんだから趣味のサイトならともかく
ゲーム以外の一般向けサイトでも影響について気にかけるのが当然だろう。
未だに「一般的」でない古いIEへの対応どうするかなんて言ってるのに
個々のサイト運営を「一般的」かどうかで判断してもしょうがない。
1000万台以上普及してるんだから趣味のサイトならともかく
ゲーム以外の一般向けサイトでも影響について気にかけるのが当然だろう。
2016/07/04(月) 16:11:05.310
いいえ
完全に無視してOKです
完全に無視してOKです
2016/07/04(月) 16:59:20.020
スレチな
2016/07/04(月) 18:05:19.620
>>559
IE6サポートし続けろよ
IE6サポートし続けろよ
563名無しさん@お腹いっぱい。
2016/07/04(月) 18:17:59.850 >>562
ゲーム系じゃなくてもIE6ユーザーより3DSからのアクセスの方が圧倒的に多いんだけどね……
UserAgentだけ見るとIE6のアクセス結構あるけど、実態は単なるボット(メールアドレス収集とか掲示板にスパム投稿するボットとか)であることが多い
その証拠に、Apacheの生ログでは結構あるIE6のアクセスが、JavaScriptによるアクセス解析だと皆無になる
実際に仮想マシンにIE6入れて使ってみればわかるけど、GoogleやYahooを含めて大半のサイトがまともに表示されないから使い続けている人なんて現実的に存在するわけがない
勿論、ツイッターやフェイスブックもまともに動作せず
YahooもGoogleもフェイスブックもツイッターも見れないブラウザじゃあ実用上意味使い物にならないでしょ?
上記のサイトは3DSなら見れるので、IE6対応よりも3DS対応が優先なのは明らか
ゲーム系じゃなくてもIE6ユーザーより3DSからのアクセスの方が圧倒的に多いんだけどね……
UserAgentだけ見るとIE6のアクセス結構あるけど、実態は単なるボット(メールアドレス収集とか掲示板にスパム投稿するボットとか)であることが多い
その証拠に、Apacheの生ログでは結構あるIE6のアクセスが、JavaScriptによるアクセス解析だと皆無になる
実際に仮想マシンにIE6入れて使ってみればわかるけど、GoogleやYahooを含めて大半のサイトがまともに表示されないから使い続けている人なんて現実的に存在するわけがない
勿論、ツイッターやフェイスブックもまともに動作せず
YahooもGoogleもフェイスブックもツイッターも見れないブラウザじゃあ実用上意味使い物にならないでしょ?
上記のサイトは3DSなら見れるので、IE6対応よりも3DS対応が優先なのは明らか
2016/07/04(月) 18:20:46.560
ガラケー用サイトを作って古いIEやスマホ用に対応できないゲーム機などはそこに飛ばす
スマホ版やPC版はリッチでモダンなブラウザでないとダメだけどテキストベースのサイトは全てのブラウザで見れるので自サイトへの最低限のアクセス手段を確保
ガラケーサイトといってもテキストベースで超軽量なだけで普通のUTF-8なページだけど(UTF-8非対応なガラケーはさすがに捨てていいだろう)
let's encryptやモダンなTSL通信に対応してない端末も申し訳ないけどガラケーサイトで我慢していただく
スマホ版やPC版はリッチでモダンなブラウザでないとダメだけどテキストベースのサイトは全てのブラウザで見れるので自サイトへの最低限のアクセス手段を確保
ガラケーサイトといってもテキストベースで超軽量なだけで普通のUTF-8なページだけど(UTF-8非対応なガラケーはさすがに捨てていいだろう)
let's encryptやモダンなTSL通信に対応してない端末も申し訳ないけどガラケーサイトで我慢していただく
2016/07/04(月) 18:22:10.950
以前IE6のUAでtwitter開いたらモバイル向けに飛ばされてたな
2016/07/04(月) 20:24:35.190
2016/07/04(月) 23:44:57.690
>>566
さくらのセミナーはお菓子のおみやげくれたりクラウドクーポンくれるからお得感あるよな?
さくらのセミナーはお菓子のおみやげくれたりクラウドクーポンくれるからお得感あるよな?
2016/07/04(月) 23:49:09.910
対象者がな・・・
569名無しさん@お腹いっぱい。
2016/07/05(火) 00:13:55.010 「SSL初心者向けセミナー」
ってのは >>531 よりも更にレベルの低い人がターゲットだからな
root権限があるサーバの管理はもちろん、レンタルサーバすら自分で使ったことのない経営・営業関係の人が対象
このスレにいるような人は、間違いなく行っても退屈するだけだからやめた方が良い
たぶん、「アドレスバー緑だと安心感がありますね〜 やっぱ EV がいいですよ〜」とか言われるだけだろうな
ってのは >>531 よりも更にレベルの低い人がターゲットだからな
root権限があるサーバの管理はもちろん、レンタルサーバすら自分で使ったことのない経営・営業関係の人が対象
このスレにいるような人は、間違いなく行っても退屈するだけだからやめた方が良い
たぶん、「アドレスバー緑だと安心感がありますね〜 やっぱ EV がいいですよ〜」とか言われるだけだろうな
570名無しさん@お腹いっぱい。
2016/07/05(火) 01:51:14.260 なんでDV証明書プレゼントじゃないの?w
EVとか銀行か政党くらいしか見たことないぞ。
EVとか銀行か政党くらいしか見たことないぞ。
571名無しさん@お腹いっぱい。
2016/07/05(火) 02:18:20.110 >>570
> EVとか銀行か政党くらいしか見たことないぞ。
よっぽど観察力無いんだな。
お前らがアクセスしそうなところだと、
https://www.sakura.ad.jp/
https://twitter.com/?lang=ja
とかもEV
某不倫サイトもEV https://www.ashleymadison.com/app/public/index-jp2.p
さくらのSSLなら、年5万円でEV取れるんで、商用サイトな取るのがお勧め https://ssl.sakura.ad.jp/
> EVとか銀行か政党くらいしか見たことないぞ。
よっぽど観察力無いんだな。
お前らがアクセスしそうなところだと、
https://www.sakura.ad.jp/
https://twitter.com/?lang=ja
とかもEV
某不倫サイトもEV https://www.ashleymadison.com/app/public/index-jp2.p
さくらのSSLなら、年5万円でEV取れるんで、商用サイトな取るのがお勧め https://ssl.sakura.ad.jp/
2016/07/05(火) 11:14:50.920
いつの間にかnginxとStrongSwanがLet's Encryptになっとった。
githubはEVか。
githubはEVか。
573名無しさん@お腹いっぱい。
2016/07/05(火) 22:01:41.120574531
2016/07/07(木) 13:43:10.510 証明書販売会社の電話サポートと >>536 >>537 を参考に、なんとか自力で SSLの設定ができました!
導入までにかかった時間は、普段のサイト更新をやりながらの作業でしたが1日3時間×日曜日から木曜日までの5日間=15時間 + 電話かけて質問したりする時間 でした
>>536 >>537 さん、ありがとう
後で知ったのですが、認証局のサポートセンターではなく、専用サーバ業者の方に電話すれば、たいていのサーバ屋さんで1時間当たり1万円ぐらいでコンソール作業を代行してくれたようです
私の場合、自力で導入するのに15時間かかりましたが、プロなら1時間以内で通常インストールできるので1万円で証明書導入が可能だそうです
有効期限が3年の業者だったら、1万円払ってインストールしてもらえば3年使えるのでお得なので、最初から自力でやろうとせずにサーバ屋さんに依頼した方が手間がかからずよかったかもしれません
サーバ管理のプロではない一般人の場合、
・証明書は3年の業者から買う
・サーバ屋さんにコンソール代行でインストールしてもらう
というのが良さそうです
導入までにかかった時間は、普段のサイト更新をやりながらの作業でしたが1日3時間×日曜日から木曜日までの5日間=15時間 + 電話かけて質問したりする時間 でした
>>536 >>537 さん、ありがとう
後で知ったのですが、認証局のサポートセンターではなく、専用サーバ業者の方に電話すれば、たいていのサーバ屋さんで1時間当たり1万円ぐらいでコンソール作業を代行してくれたようです
私の場合、自力で導入するのに15時間かかりましたが、プロなら1時間以内で通常インストールできるので1万円で証明書導入が可能だそうです
有効期限が3年の業者だったら、1万円払ってインストールしてもらえば3年使えるのでお得なので、最初から自力でやろうとせずにサーバ屋さんに依頼した方が手間がかからずよかったかもしれません
サーバ管理のプロではない一般人の場合、
・証明書は3年の業者から買う
・サーバ屋さんにコンソール代行でインストールしてもらう
というのが良さそうです
2016/07/07(木) 23:22:29.820
>>574
作業代行と証明書代って別じゃないの?
作業代行と証明書代って別じゃないの?
2016/07/08(金) 00:36:36.870
> なんとか自力で
どこが自力なのかと小一時間
どこが自力なのかと小一時間
2016/07/08(金) 10:30:55.120
そもそもこういうレベルで設定されたサーバーが安心なのか?って意見は無いのか?
2016/07/08(金) 10:33:10.890
その用途なら安心である必要はないでしょ
2016/07/08(金) 13:42:08.860
いや、だから、だったら証明書も要らんだろ。
2016/07/08(金) 13:46:09.830
2016/07/08(金) 13:54:28.290
582名無しさん@お腹いっぱい。
2016/07/08(金) 14:01:22.680 きちんとした証明書がほしいならEV一択だわ
それが不要なら格安系やLet'sのDVで十分
一般人は証明書の検証方法を知らないんだから(知っている人は1%も居ないだろうね、IE6のシェアより低いかも)、
今のブラウザのUI的にOVなんて中途半端で無意味
それが不要なら格安系やLet'sのDVで十分
一般人は証明書の検証方法を知らないんだから(知っている人は1%も居ないだろうね、IE6のシェアより低いかも)、
今のブラウザのUI的にOVなんて中途半端で無意味
2016/07/08(金) 14:18:43.490
無料で証明書取れるのは良いけど、最低限勉強しとけ話しだな。
584名無しさん@お腹いっぱい。
2016/07/09(土) 03:54:40.520 先月30日までにIPv6完全対応化するってアナウンスしてたのが8月31日まで延期に
その他、日本語ドメインのサポートは8月31日までが11月30日まで、ECDSA中韓証明書サポートも年度末まで延期
https://letsencrypt.org/upcoming-features/
サボってるんじゃね?
このままドロンとか
その他、日本語ドメインのサポートは8月31日までが11月30日まで、ECDSA中韓証明書サポートも年度末まで延期
https://letsencrypt.org/upcoming-features/
サボってるんじゃね?
このままドロンとか
2016/07/09(土) 09:00:43.660
お前がそう思うならそうなんだろうな
お前の中ではな
お前の中ではな
2016/07/09(土) 09:30:57.400
Let's Encrypt Subscriber Agreement updateされるそうかんだが
まだ頭が眠ってるようで頭に入ってこない
結局何が変わるの?
まだ頭が眠ってるようで頭に入ってこない
結局何が変わるの?
2016/07/12(火) 21:09:30.850
Let’s EncryptのSSL証明書で、安全なウェブサイトを公開
ttp://knowledge.sakura.ad.jp/knowledge/5573/
Web鯖導入、ポート開放、証明書生成・参照、自動更新および
設定のバックアップまでの流れ。
エンジニア向けで10〜20分の作業を想定しているので難易度は
低くはないだろうが、うまくはまれば15時間+αの苦労を
せずに済むはず。
ttp://knowledge.sakura.ad.jp/knowledge/5573/
Web鯖導入、ポート開放、証明書生成・参照、自動更新および
設定のバックアップまでの流れ。
エンジニア向けで10〜20分の作業を想定しているので難易度は
低くはないだろうが、うまくはまれば15時間+αの苦労を
せずに済むはず。
2016/07/13(水) 02:47:17.840
15時間かける阿呆とか現実にはいないから
589名無しさん@お腹いっぱい。
2016/07/13(水) 10:01:00.320 >>587
わざわざそんな手間暇かけて自分でやるとか、社会人からすると考えられん
そういう作業を自分でやるやつって、パソコン買うときも完成品買わずにBTOとか自作とかやるんだろうな
さくらなら、たった2万で「apache」や「Microsoft IIS」の
・SSL通信の利用に関するmod_sslのインストール
・CSR/秘密鍵の生成、
・証明書のインストール
を全部やってくれる
https://ssl.sakura.ad.jp/setup.html
勉強時間まで考えると外注に出した方が合理的だ
わざわざそんな手間暇かけて自分でやるとか、社会人からすると考えられん
そういう作業を自分でやるやつって、パソコン買うときも完成品買わずにBTOとか自作とかやるんだろうな
さくらなら、たった2万で「apache」や「Microsoft IIS」の
・SSL通信の利用に関するmod_sslのインストール
・CSR/秘密鍵の生成、
・証明書のインストール
を全部やってくれる
https://ssl.sakura.ad.jp/setup.html
勉強時間まで考えると外注に出した方が合理的だ
2016/07/13(水) 10:12:45.490
スレチ
2016/07/13(水) 10:44:22.860
2016/07/13(水) 10:52:04.050
SSLやりたいけど、サーバーの知識ほとんど無いからなーって人結構ここにいるんだね
見てる人、みんな何かしらApacheとかphpとかある程度触った事あるイメージなんだけど
下手したらターミナル叩いたことない人もいるんじゃ・・・
見てる人、みんな何かしらApacheとかphpとかある程度触った事あるイメージなんだけど
下手したらターミナル叩いたことない人もいるんじゃ・・・
2016/07/13(水) 11:02:52.140
俺も大昔は自宅ローカルにapache+php+mysql環境作ってたけどここ数年はレンタルサーバOnlyでターミナルの叩き方とか忘れたw
昔はPerlとかphpとかでプログラミングする際にはローカルに実行環境用意する必要あったけど 今は普通にレンタルサーバでデバッグできるからね
現にVALUE SERVERとかさくらとかロリポとかで、cgi実行→エラー→修正→実行を数百回繰り返してもサーバ会社からクレームが来たりしないのでレンタルサーバとテキストエディタでphpプログラミングができる
プログラムが間違って無限ループしてプロセスが暴走したりしても、CPU使用率などがアカウントごとにきちんと制限・制御されているから他のユーザーに迷惑もかからんし、30秒とかで勝手にkillしてくれる
ちなみに10年ちょっと昔はそういうのは許されず、「他の利用者の迷惑になるので、開発段階のプログラムのテスト実行などにレンタルサーバを使用するな」とサーバ会社から警告メールが届いたりアカウントBANされた
当時はアカウントごとの負荷制御どころかSuEcecの導入すらままならず他のユーザのファイルにcgi経由でアクセスできるのが当たり前で、cgiが暴走したらサーバ全体のload average急上昇で大変なことになってた
昔はPerlとかphpとかでプログラミングする際にはローカルに実行環境用意する必要あったけど 今は普通にレンタルサーバでデバッグできるからね
現にVALUE SERVERとかさくらとかロリポとかで、cgi実行→エラー→修正→実行を数百回繰り返してもサーバ会社からクレームが来たりしないのでレンタルサーバとテキストエディタでphpプログラミングができる
プログラムが間違って無限ループしてプロセスが暴走したりしても、CPU使用率などがアカウントごとにきちんと制限・制御されているから他のユーザーに迷惑もかからんし、30秒とかで勝手にkillしてくれる
ちなみに10年ちょっと昔はそういうのは許されず、「他の利用者の迷惑になるので、開発段階のプログラムのテスト実行などにレンタルサーバを使用するな」とサーバ会社から警告メールが届いたりアカウントBANされた
当時はアカウントごとの負荷制御どころかSuEcecの導入すらままならず他のユーザのファイルにcgi経由でアクセスできるのが当たり前で、cgiが暴走したらサーバ全体のload average急上昇で大変なことになってた
2016/07/13(水) 11:04:17.290
誰も聞いてねえよ
2016/07/13(水) 12:10:02.810
アフィ野郎まだいるのかよ
その貴重なお時間を割いてまでこんなスレでレスバトルして下さるとは
その貴重なお時間を割いてまでこんなスレでレスバトルして下さるとは
2016/07/13(水) 16:44:37.480
2016/07/13(水) 17:49:14.050
2016/07/13(水) 18:24:58.910
アフォは専鯖借りてサポートに聞け
自分で出来る奴はググってわからないところだけ2chで聞け
自分で出来る奴はググってわからないところだけ2chで聞け
2016/07/13(水) 19:10:35.920
>>589
自作PCとか1時間も無くて作れるが?
自作PCとか1時間も無くて作れるが?
600名無しさん@お腹いっぱい。
2016/07/13(水) 20:01:19.8902016/07/13(水) 20:32:02.110
自作PCとかスレチ
TLSの導入がhttpdの設定を含めて1時間でできるかどうかの方が重要
TLSの導入がhttpdの設定を含めて1時間でできるかどうかの方が重要
2016/07/13(水) 20:52:49.860
httpd()
鯖とまともなネット回線とドメインくれれば一時間で終わらせられるわ
鯖とまともなネット回線とドメインくれれば一時間で終わらせられるわ
2016/07/13(水) 21:09:51.650
CSR送って帰ってくるのも早くなったしな。
2016/07/13(水) 21:46:28.120
んなもん五分もかからんだろ。
2016/07/13(水) 21:59:14.960
1時間かかるとかいったい何をやってるんだ? 理解に苦しむ
2016/07/13(水) 22:18:59.840
きっとyumのアップデートで50分くらい掛かるんだろう
2016/07/13(水) 22:21:59.280
なんの話してんのや
自己満足に浸りたのか?
自己満足に浸りたのか?
2016/07/13(水) 22:29:50.180
2016/07/13(水) 22:36:04.010
更新スクリプトなんで標準環境で動かないようなpython使ってるんだろう
2016/07/13(水) 22:40:29.510
>>609
サードパーティ製のがいくらでもあるでしょ
サードパーティ製のがいくらでもあるでしょ
2016/07/14(木) 08:04:53.600
yumで一時間て、お前らどんなサーバー使ってんの?自宅でダイヤルアップって時代じゃねーだろ
2016/07/14(木) 17:01:42.050
カーネルのカスタムまでやり始めるとビルドが1時間じゃ終わんねえな
2016/07/14(木) 17:02:42.630
>>611
CelM@1.46Ghz+256Mでつ
CelM@1.46Ghz+256Mでつ
614名無しさん@お腹いっぱい。
2016/07/14(木) 18:13:19.490 >>613
メモリ256MBって……
今時スマホですら3GBが当たり前だぞ?
サーバならCPUはXeon、メモリは最低32GB(普通は64GB)積むのが常識だろ
極限までデータベースをチューニングするよりも、DBとクエリキャッシュを丸ごと物理メモリに入れる設計の方が
開発人件費も節約できて合理的だわ
メモリ256MBって……
今時スマホですら3GBが当たり前だぞ?
サーバならCPUはXeon、メモリは最低32GB(普通は64GB)積むのが常識だろ
極限までデータベースをチューニングするよりも、DBとクエリキャッシュを丸ごと物理メモリに入れる設計の方が
開発人件費も節約できて合理的だわ
2016/07/14(木) 18:16:04.320
2016/07/14(木) 18:25:22.780
>>614
> 今時スマホですら3GBが当たり前だぞ?
一部のハイエンド機以外は2GBが一般的だしローエンド機では1GBもちょくちょくある
> サーバならCPUはXeon、メモリは最低32GB(普通は64GB)積むのが常識だろ
let's encrypt使う層とそんな化け物マシン使う業務層とはあんまかぶらないと思う
個人層の多いさくらVPSやconohaの1GBプラン同等が普及帯だと思うんですが
ラズパイや古いPCで自宅鯖もあるでしょうに
(釣られた?)
まあラズパイでもアップデートに1時間もかからんしメモリー256MBはさすがに卒業しないときつそう
> 今時スマホですら3GBが当たり前だぞ?
一部のハイエンド機以外は2GBが一般的だしローエンド機では1GBもちょくちょくある
> サーバならCPUはXeon、メモリは最低32GB(普通は64GB)積むのが常識だろ
let's encrypt使う層とそんな化け物マシン使う業務層とはあんまかぶらないと思う
個人層の多いさくらVPSやconohaの1GBプラン同等が普及帯だと思うんですが
ラズパイや古いPCで自宅鯖もあるでしょうに
(釣られた?)
まあラズパイでもアップデートに1時間もかからんしメモリー256MBはさすがに卒業しないときつそう
617614
2016/07/14(木) 18:28:36.050 >>615
> 常識ってなんだろうな
俺は社内でSEとして自社サーバの管理やってるし、転職3回もしたから広く業界全体のことを知っている
換言すると業界の「常識」を知っているのよ
そのうえで、ここ最近でメモリ32GB未満のサーバなんて見たことも無いので、メモリ32GB以上が常識だと書いているわけ
> 常識ってなんだろうな
俺は社内でSEとして自社サーバの管理やってるし、転職3回もしたから広く業界全体のことを知っている
換言すると業界の「常識」を知っているのよ
そのうえで、ここ最近でメモリ32GB未満のサーバなんて見たことも無いので、メモリ32GB以上が常識だと書いているわけ
2016/07/14(木) 18:29:05.520
2016/07/14(木) 18:29:33.770
620614
2016/07/14(木) 18:32:04.770 >>616
> let's encrypt使う層とそんな化け物マシン使う業務層とはあんまかぶらないと思う
> 個人層の多いさくらVPSやconohaの1GBプラン同等が普及帯だと思うんですが
なるほど、個人で使っている人もいるのか
弊社の場合、本システムの開発段階や、バックエンド鯖に導入してシステムの通信に使う証明書として使ってたから
個人が使う用途というのは想定してなかったわスマン
> let's encrypt使う層とそんな化け物マシン使う業務層とはあんまかぶらないと思う
> 個人層の多いさくらVPSやconohaの1GBプラン同等が普及帯だと思うんですが
なるほど、個人で使っている人もいるのか
弊社の場合、本システムの開発段階や、バックエンド鯖に導入してシステムの通信に使う証明書として使ってたから
個人が使う用途というのは想定してなかったわスマン
2016/07/14(木) 18:33:32.920
逆にあのスペックを企業が使ってるわけ無いでしょ
わかってて言ってるんだから相手する必要ない
わかってて言ってるんだから相手する必要ない
2016/07/14(木) 18:34:39.470
2016/07/14(木) 18:37:42.040
わざわざ2chまで来て自分自慢しちゃう時点で自称が天皇だろうとニートだろうと同じだわ
さっさと帰れアホ
さっさと帰れアホ
2016/07/14(木) 18:38:03.980
メモリ256MでLet'sのpythonクライアントが動かないと文句つけるとか、ただのクレーマーだろ
お前は知らんかもしれないが、鍵ペアの生成とか検証にはある程度負荷がかかるもんだし
その過程の処理データはセキュリティ上の都合でSSD/HDDには保存不可(キャッシュやスワップ禁止)、揮発性メモリにのみおかれるように設計されているんだよ
一時的にでもHDDにスワップしちゃったら残留磁気などにより情報が漏れる可能性があるからね
勿論、完成した秘密鍵はSSD/HDDに設置されるわけだけど、それは話が別
おかれた秘密鍵はファイル単位で安全にワイプ消去が可能だけど、その鍵を生成する過程のデータの残骸をHDDにまき散らすのは不適切な設計なの
ってことで、Let'sのpythonクライアントがメモリが少ない環境で動かないのはやむを得ない
お前は知らんかもしれないが、鍵ペアの生成とか検証にはある程度負荷がかかるもんだし
その過程の処理データはセキュリティ上の都合でSSD/HDDには保存不可(キャッシュやスワップ禁止)、揮発性メモリにのみおかれるように設計されているんだよ
一時的にでもHDDにスワップしちゃったら残留磁気などにより情報が漏れる可能性があるからね
勿論、完成した秘密鍵はSSD/HDDに設置されるわけだけど、それは話が別
おかれた秘密鍵はファイル単位で安全にワイプ消去が可能だけど、その鍵を生成する過程のデータの残骸をHDDにまき散らすのは不適切な設計なの
ってことで、Let'sのpythonクライアントがメモリが少ない環境で動かないのはやむを得ない
2016/07/15(金) 01:00:07.070
勉強のために個人で使ってます
最初はXAMPPのオレオレ証明書からはじめて、
この前EC2で初めてLet's~をいれてみた
俺環境の時にググりながら作った鍵ファイルとかと、手法が結構違うなーと思った
最初はXAMPPのオレオレ証明書からはじめて、
この前EC2で初めてLet's~をいれてみた
俺環境の時にググりながら作った鍵ファイルとかと、手法が結構違うなーと思った
2016/07/18(月) 00:22:40.360
2016/07/18(月) 01:41:19.400
2016/07/18(月) 02:24:45.080
let's encryptでCSR使うのってどんな時が考えられるんだろうか。
秘密鍵自作したい時ぐらい?
秘密鍵自作したい時ぐらい?
2016/07/18(月) 02:42:52.320
物理鯖減ってるかなぁ。
俺の客だと、ラックごと借りて、物理3台ストレージ2台で、その上に仮想4台が標準だから、
DCか現地に納品じゃなくて、仮想マシンだけ鯖屋から借りるって選択肢自体がありえないくらいだが。
鯖屋から同じ構成の物理サーバ借りる事は稀にあるけど。
ウェブなんかの安いシステムは知らんが。
俺の客だと、ラックごと借りて、物理3台ストレージ2台で、その上に仮想4台が標準だから、
DCか現地に納品じゃなくて、仮想マシンだけ鯖屋から借りるって選択肢自体がありえないくらいだが。
鯖屋から同じ構成の物理サーバ借りる事は稀にあるけど。
ウェブなんかの安いシステムは知らんが。
2016/07/18(月) 07:18:15.250
うちも両方使うことの方が多いな
物理鯖がなくなるなんて言われてたけど用途によると思う
物理鯖がなくなるなんて言われてたけど用途によると思う
2016/07/18(月) 07:35:12.540
2016/07/18(月) 07:54:56.970
>>629
LetsでCSRを使う機会はないよ
LetsでCSRを使う機会はないよ
2016/07/18(月) 08:19:20.020
今のところ,楕円曲線暗号な証明書を作るとき.
http://qiita.com/TsutomuNakamura/items/e2e7be7c1f4d1638454d
http://qiita.com/TsutomuNakamura/items/e2e7be7c1f4d1638454d
2016/07/19(火) 14:48:00.390
まぁそんなとこだな
637名無しさん@お腹いっぱい。
2016/07/22(金) 16:10:48.080 ですです
638名無しさん@お腹いっぱい。
2016/07/27(水) 20:38:12.620 IPv6対応記念age
2016/07/28(木) 13:03:04.510
日本語TLDって対応してたっけ?
2016/07/28(木) 13:17:13.810
少なくとも公式蔵じゃだめだったな
Internationalized domain names are not presently supported: example.コム
Internationalized domain names are not presently supported: example.コム
2016/07/28(木) 16:20:06.520
わかりきってたけど一応やってみた
Punycode domains are not presently supported: example.xn--tckwe
Punycode domains are not presently supported: example.xn--tckwe
2016/07/31(日) 15:49:31.760
ここは優しいスレであることを願って助けを求めに来ました。
質問スレを見つけることができず、ここへ投下させていただきました。ダメならすいません。
いくつかのデータセンターの専用サーバー(Debian/CentOS)には導入できたのですが、自宅サーバーで導入できず悩んでます。
他の質問サイトに投稿したのですが、回答がつかず、見かねた人が声をかけてくれたのですが現在お手上げ状態です。
ドメイン認証なので動的IPでも行けると思ってますが、固定IP必須ならその時点でアウトです。
●トラブル内容:自動でこけてるのでmanualでやっています。
# ./letsencrypt-auto certonly --manual --manual-public-ip-logging-ok -d #MyDomain# --server HTTPS://acme-v01.api.letsencrypt.org/directory
とりま、これで新規認証?を作りました。キーファイルを書き込めと出るので、ドキュメントルートに移動して
# printf "%s" sWwMGNwLSim# Keys here #TNWLCDSq67TvE > .well-known/acme-challenge/sWwMGN#Filename Here#Bi5yJhdTI
としました。その後、VPNで外部の環境からや、4G環境のスマートフォンなどから
# http://#MyDomain#/.well-known/acme-challenge/sWwMGN#Filename Here#Bi5yJhdTI
letsencryptで指示されているここへアクセスし、問題なく
中身である「sWwMGNwLSim# Keys here #TNWLCDSq67TvE」が表示されていることを複数の環境で確認しました。
しかしエラーで接続ができないといわれてしまいました。
「Failed authorization procedure. #MyDomain# (http-01): urn:acme:error:connection :: The server could not connect to the client to verify the domain :: Could not connect to」
しかし、ルーターのファイヤーウォール記録にも、これへのリクエストと思われる記録はなく、(ファイヤーウォール切っても変わらず)
またサーバー側のアクセス記録、エラー記録にもこのファイルにも、アクセスしようとした記録がありませんでした。
このサーバーのIPは動的ですが記録上半年以上変わっていないので、DNSが反映されていないとも考えにくいなというところです。
何か思い当たる原因有りませんでしょうか。よろしくお願いします。
質問スレを見つけることができず、ここへ投下させていただきました。ダメならすいません。
いくつかのデータセンターの専用サーバー(Debian/CentOS)には導入できたのですが、自宅サーバーで導入できず悩んでます。
他の質問サイトに投稿したのですが、回答がつかず、見かねた人が声をかけてくれたのですが現在お手上げ状態です。
ドメイン認証なので動的IPでも行けると思ってますが、固定IP必須ならその時点でアウトです。
●トラブル内容:自動でこけてるのでmanualでやっています。
# ./letsencrypt-auto certonly --manual --manual-public-ip-logging-ok -d #MyDomain# --server HTTPS://acme-v01.api.letsencrypt.org/directory
とりま、これで新規認証?を作りました。キーファイルを書き込めと出るので、ドキュメントルートに移動して
# printf "%s" sWwMGNwLSim# Keys here #TNWLCDSq67TvE > .well-known/acme-challenge/sWwMGN#Filename Here#Bi5yJhdTI
としました。その後、VPNで外部の環境からや、4G環境のスマートフォンなどから
# http://#MyDomain#/.well-known/acme-challenge/sWwMGN#Filename Here#Bi5yJhdTI
letsencryptで指示されているここへアクセスし、問題なく
中身である「sWwMGNwLSim# Keys here #TNWLCDSq67TvE」が表示されていることを複数の環境で確認しました。
しかしエラーで接続ができないといわれてしまいました。
「Failed authorization procedure. #MyDomain# (http-01): urn:acme:error:connection :: The server could not connect to the client to verify the domain :: Could not connect to」
しかし、ルーターのファイヤーウォール記録にも、これへのリクエストと思われる記録はなく、(ファイヤーウォール切っても変わらず)
またサーバー側のアクセス記録、エラー記録にもこのファイルにも、アクセスしようとした記録がありませんでした。
このサーバーのIPは動的ですが記録上半年以上変わっていないので、DNSが反映されていないとも考えにくいなというところです。
何か思い当たる原因有りませんでしょうか。よろしくお願いします。
2016/07/31(日) 16:12:04.630
https://letsencrypt.org/getting-started/
熟読しましょう
自宅鯖のOSくらい書きましょう
インストール
CentOSの場合
https://certbot.eff.org/#centosrhel7-other
Debianの場合
https://certbot.eff.org/#debianjessie-other
証明書の取得
動いてるウェブサーバー止めて80と443が開いてることを確認したら
#certbot certonly --standalone -d example.com -d www.example.com
熟読しましょう
自宅鯖のOSくらい書きましょう
インストール
CentOSの場合
https://certbot.eff.org/#centosrhel7-other
Debianの場合
https://certbot.eff.org/#debianjessie-other
証明書の取得
動いてるウェブサーバー止めて80と443が開いてることを確認したら
#certbot certonly --standalone -d example.com -d www.example.com
2016/07/31(日) 16:15:06.160
あとstackoverflowに書いてる数々のくだらない質問は無意味だしわけわからんのでさっさと消しときなさい
2016/07/31(日) 16:19:54.940
>>643
すいません、それで解決できればおそらく悩んでないです・・・ほんとすいません。
VPS(CentOS/Debian)や専用サーバー(WindowsServer/Debian/CentOS)で、同じドメインのサブドメインをいくつか登録していますが、そちらは何も問題なくLetsencryptのSSLを使えています。
なので違いは動的IPであり、ルーターを介している事、ぐらいかと思うのですが、ルーターにもサーバーにもアクセス記録は無く、
このドメインのDNS情報が正しく伝わっていないのではないか、と思うのが正直なところですが、他の監視サービスは問題なく監視されていて、それらのログは残っています。
OSはDebianです。
すいません、それで解決できればおそらく悩んでないです・・・ほんとすいません。
VPS(CentOS/Debian)や専用サーバー(WindowsServer/Debian/CentOS)で、同じドメインのサブドメインをいくつか登録していますが、そちらは何も問題なくLetsencryptのSSLを使えています。
なので違いは動的IPであり、ルーターを介している事、ぐらいかと思うのですが、ルーターにもサーバーにもアクセス記録は無く、
このドメインのDNS情報が正しく伝わっていないのではないか、と思うのが正直なところですが、他の監視サービスは問題なく監視されていて、それらのログは残っています。
OSはDebianです。
2016/07/31(日) 16:24:33.120
動的IPでも関係ない
そのときにドメインがそのIPに繋がればいい
上位のルーターに何か問題があるのでは?
そのときにドメインがそのIPに繋がればいい
上位のルーターに何か問題があるのでは?
2016/07/31(日) 16:38:11.270
>>646
ルーターの設定をもう一度再確認してみます。
元々はGeoTrustのSSL証明書でSSL(443)でも平文(80)でもアクセスできる環境でして、
特にトラブルなく動いているためポート開放等も問題ないはずなのですが。。
原因不明すぎて悩みます。とりまもう一度ルーターの設定見直します。
ルーターの設定をもう一度再確認してみます。
元々はGeoTrustのSSL証明書でSSL(443)でも平文(80)でもアクセスできる環境でして、
特にトラブルなく動いているためポート開放等も問題ないはずなのですが。。
原因不明すぎて悩みます。とりまもう一度ルーターの設定見直します。
2016/07/31(日) 17:19:53.970
馬鹿だって喧伝したいだけだろ
2016/07/31(日) 17:24:45.210
>>648
すいません、煽りたいのは分かりますが、真剣に謎で困ってます。
Type: connection
Detail: Could not connect to http://mydomain.com/.well-known/acme-challenge/#KEY FILE#
と言われるが、外部接続テストサービスを使っても、私所有の他サーバーからcurlなどしても正常に開くことができるのです。
しかし、certbotは上記エラーを返すため、原因が分からない状況なのです。
すいません、煽りたいのは分かりますが、真剣に謎で困ってます。
Type: connection
Detail: Could not connect to http://mydomain.com/.well-known/acme-challenge/#KEY FILE#
と言われるが、外部接続テストサービスを使っても、私所有の他サーバーからcurlなどしても正常に開くことができるのです。
しかし、certbotは上記エラーを返すため、原因が分からない状況なのです。
2016/07/31(日) 17:28:51.120
例示にそんなドメインを使う時点でRFCも読んでない常識無しだってわかるし
2016/07/31(日) 17:37:44.970
そもそもなんでマニュアルでやらず自動でコケるところを直して自動でやったほうが
2016/07/31(日) 17:58:50.180
>>651
日本語でOK
日本語でOK
2016/07/31(日) 18:08:09.760
>>650
色々すいません、確かにそのドメインは相応しくなかったです
http://i.imgur.com/6MQH7CC.png (外部サーバーではOKの様子備考)
とりあえずあまり一人で占有するのもよくないので一旦引こうと思います。
似たような事があれば経験されている方の俺もあった談が出てきてもおかしくないのですが、
出てこないという事は私の環境の問題で、何が悪いか見つけられていないだけ、のようなので、私宛の書き込みがなければROMります。
私宛になにか書かれていればすいません、書き込みます。
解決した際にはその油脂だけ投下しにきます。色々と申し訳ないです。
>>651
何故だめなのかトレース踏まえ手動にしたところ今に至ります。
自動も手動でも同じエラーが出て「Detail: Could not connect to (URL)」となるので
そのURLに外部サービス含めていろんな手段でアクセスを試みますが、どれも200 OKなので詰んでる状況ですね。
色々すいません、確かにそのドメインは相応しくなかったです
http://i.imgur.com/6MQH7CC.png (外部サーバーではOKの様子備考)
とりあえずあまり一人で占有するのもよくないので一旦引こうと思います。
似たような事があれば経験されている方の俺もあった談が出てきてもおかしくないのですが、
出てこないという事は私の環境の問題で、何が悪いか見つけられていないだけ、のようなので、私宛の書き込みがなければROMります。
私宛になにか書かれていればすいません、書き込みます。
解決した際にはその油脂だけ投下しにきます。色々と申し訳ないです。
>>651
何故だめなのかトレース踏まえ手動にしたところ今に至ります。
自動も手動でも同じエラーが出て「Detail: Could not connect to (URL)」となるので
そのURLに外部サービス含めていろんな手段でアクセスを試みますが、どれも200 OKなので詰んでる状況ですね。
2016/07/31(日) 18:37:40.240
スマホや外部からはサーバーにアクセスできてるのにLEからはアクセスできてない(LEからのアクセスはログにも残ってない)ってことか
ところでドメインはIPv6のIP設定してる?(AAAAレコードある?)あったら外部からIPv6でもサーバーにアクセスできてる?
ところでドメインはIPv6のIP設定してる?(AAAAレコードある?)あったら外部からIPv6でもサーバーにアクセスできてる?
2016/07/31(日) 22:54:35.660
この板で質問者を認識しやすくするために臨時トリつけようとかぐらい思わんのかね
名前欄に数字突っ込むだけでもだいぶ整理つくのに
他の質問場所とマルチしてるくさいしいやだいやだ
名前欄に数字突っ込むだけでもだいぶ整理つくのに
他の質問場所とマルチしてるくさいしいやだいやだ
2016/07/31(日) 23:21:57.800
誰が質問者かとか判別できるでしょそんなに問題がたくさん出てきてるわけじゃないんだし
やったほうがいいかもしれないがやらなくても全く問題ない
やったほうがいいかもしれないがやらなくても全く問題ない
2016/08/01(月) 08:57:17.740
動的IPってことだから同じダイナミックDNS使ってる人が証明書取りまくってて
rate limitに引っかかってるのかなあ……
rate limitに引っかかってるのかなあ……
2016/08/01(月) 11:01:38.300
そりゃ、そう言うエラーメッセージでるだろ。
2016/08/01(月) 13:46:54.200
中から外に送ってるIPアドレスがプライベートなんだろ
2016/08/02(火) 15:50:20.840
ここでSSLテストすると証明書が駄目だという
ttps://www.cman.jp/network/support/nslookup.html
ttps://www.cman.jp/network/support/nslookup.html
2016/08/02(火) 16:09:37.340
そこは中身化石だから気にしなくていい
ssllabで見とけ
ssllabで見とけ
2016/08/02(火) 16:09:42.250
そこは中身化石だから気にしなくていい
ssllabで見とけ
ssllabで見とけ
2016/08/02(火) 16:09:59.070
失礼、連投してしまった
2016/08/02(火) 16:11:55.330
ssl化すると
ノートンとverisignのマークが出るん?
ノートンとverisignのマークが出るん?
2016/08/02(火) 16:37:11.580
EV-SSLならね
こことは関係ない話
こことは関係ない話
2016/08/02(火) 17:59:49.150
2016/08/02(火) 18:10:48.590
自分で調べて
別に俺はLet'sEncryptの営業マンでもなんでもないから
使いたくなきゃ使わなくていい
別に俺はLet'sEncryptの営業マンでもなんでもないから
使いたくなきゃ使わなくていい
2016/08/02(火) 22:40:30.810
EV-SSLって、実際どうなのかね。
最近は社内LANアクセスだとSSLデコードかましてる企業が多くて、緑色バー(笑)の表示されないところも多いしびみょいような。
個人向けは依然として有効かもしれないけど。
最近は社内LANアクセスだとSSLデコードかましてる企業が多くて、緑色バー(笑)の表示されないところも多いしびみょいような。
個人向けは依然として有効かもしれないけど。
669名無しさん@お腹いっぱい。
2016/08/03(水) 16:13:44.080 >>660
シーマンのチェッカー、問題点が多すぎて迷惑なゴミチェッカーだから使わない方がいい
1つや2つじゃなくて、書ききれないぐらい問題があるゴミチェッカーで信頼性も低い
脆弱な暗号スイートの判定とかもおかしすぎる
悪いこと言わないから https://www.ssllabs.com/ssltest/ 使え
シーマンのチェッカー、問題点が多すぎて迷惑なゴミチェッカーだから使わない方がいい
1つや2つじゃなくて、書ききれないぐらい問題があるゴミチェッカーで信頼性も低い
脆弱な暗号スイートの判定とかもおかしすぎる
悪いこと言わないから https://www.ssllabs.com/ssltest/ 使え
2016/08/03(水) 16:25:11.040
あの会社のサービス自体IP返してくれるやつ以外まともに使えない
671名無しさん@お腹いっぱい。
2016/08/08(月) 20:52:09.140 EV証明書が個人や個人事業主でも取れるようにしてくれ
確認方法は銀行に口座作る時みたいな感じでいいから
確認方法は銀行に口座作る時みたいな感じでいいから
2016/08/08(月) 20:53:05.070
それができないからこそEVSSLの価値が出る
ホイホイ取れたらそれはそれで困る
本物というだけでなくEVSSLを取得できているという点の評価もあるわけだから
ホイホイ取れたらそれはそれで困る
本物というだけでなくEVSSLを取得できているという点の評価もあるわけだから
673名無しさん@お腹いっぱい。
2016/08/08(月) 21:12:40.910 エセ左翼の目的は、わざと突っ込みどころが多い主張をすることで自分たちへ注意を向けさせ、
カルトへ向かう非難の矛先を逸らすこと。
国益に反することを言ったり、主張が食い違うもの同士の対立を煽ろうとするので放置し難いが、
主義思想についての洗脳を受けているわけではなく、フリをしているだけなので、
言い負かされてもダメージを負った様子もなく、論点をすり替えられるかスルーされる。
まともに相手をしてはならない。
カルトへ向かう非難の矛先を逸らすこと。
国益に反することを言ったり、主張が食い違うもの同士の対立を煽ろうとするので放置し難いが、
主義思想についての洗脳を受けているわけではなく、フリをしているだけなので、
言い負かされてもダメージを負った様子もなく、論点をすり替えられるかスルーされる。
まともに相手をしてはならない。
2016/08/08(月) 22:35:04.180
取れるもんなら取ってみたくはあるが
まあどうせ大半の人は南京錠すら確認しないからいいかなとも思う
まあどうせ大半の人は南京錠すら確認しないからいいかなとも思う
675名無しさん@お腹いっぱい。
2016/08/09(火) 03:43:13.270 個人でも政治に絡むもののみ(国会・市町村議会議員、政治団体など)でいいんじゃね?
緑アドレスバーに「政治結社○○○○會[JP]」か…
逆にEV証明書は理論上暴力団でも取れる方が問題だと思うが
「六代目山口組[JP]」
「神戸山口組[JP]」
「稲川会[JP]」
「住吉会[JP]」
「五代目工藤會[JP]」
緑アドレスバーに「政治結社○○○○會[JP]」か…
逆にEV証明書は理論上暴力団でも取れる方が問題だと思うが
「六代目山口組[JP]」
「神戸山口組[JP]」
「稲川会[JP]」
「住吉会[JP]」
「五代目工藤會[JP]」
2016/08/09(火) 07:57:04.910
理論上取れても実際に取れないので全く問題ない
677名無しさん@お腹いっぱい。
2016/08/09(火) 13:36:56.940678名無しさん@お腹いっぱい。
2016/08/09(火) 13:37:54.090 EVだとブラウザのアドレスバーに組織名・団体名が表示されるんだから
ユーザーがその組織・団体を自分が信頼するかどうかを考えれば良いだけ
ユーザーがその組織・団体を自分が信頼するかどうかを考えれば良いだけ
2016/08/09(火) 15:26:12.490
EV証明書は個人でも国会議員や候補者だけは認めてほしい
なりすまし対策に有効じゃん
なりすまし対策に有効じゃん
2016/08/09(火) 17:05:20.040
政治団体で取れば良いじゃん
2016/08/10(水) 19:27:35.690
国会や地方議会議員とそれらの候補者ってのは重い責任負ってるんだから
「○○党○○県第○区選出衆議院議員 ○○○○[JP]」
「○○党○○県比例選出衆議院議員 ○○○○[JP]」
「○○党○○県選出参議院議員 ○○○○[JP]」
「○○党全国比例選出参議院議員 ○○○○[JP]」
「東京都知事 小池百合子[JP]」
「おおさか維新の会所属大阪府知事 松井一郎[JP]」
「東京都知事候補者 マック赤坂[JP]」
の方が理想的
確かEVは違った表示名は認められてないよね?
政治絡みはなりすまし防止の観点から個人でも認めた方がいい。
「○○党○○県第○区選出衆議院議員 ○○○○[JP]」
「○○党○○県比例選出衆議院議員 ○○○○[JP]」
「○○党○○県選出参議院議員 ○○○○[JP]」
「○○党全国比例選出参議院議員 ○○○○[JP]」
「東京都知事 小池百合子[JP]」
「おおさか維新の会所属大阪府知事 松井一郎[JP]」
「東京都知事候補者 マック赤坂[JP]」
の方が理想的
確かEVは違った表示名は認められてないよね?
政治絡みはなりすまし防止の観点から個人でも認めた方がいい。
2016/08/11(木) 23:23:10.420
そうですか。
683名無しさん@お腹いっぱい。
2016/08/15(月) 23:25:56.260 Let's Encryptの証明書使ったサイトをHSTS preloadに登録しようとしたら、
https://hogehoge.com uses an incomplete or invalid certificate chain. Check out your site at https://www.ssllabs.com/ssltest/
オレオレ証明書使うなww 嘘と思うならssltestしてこい
と怒られたんだけど(´・ω・`)
やっぱ互換性糞杉
https://hogehoge.com uses an incomplete or invalid certificate chain. Check out your site at https://www.ssllabs.com/ssltest/
オレオレ証明書使うなww 嘘と思うならssltestしてこい
と怒られたんだけど(´・ω・`)
やっぱ互換性糞杉
2016/08/15(月) 23:44:00.590
俺は問題ナス
2016/08/16(火) 00:21:18.940
2016/08/16(火) 12:16:55.170
設定が間違ってるだけだろ。
2016/08/16(火) 13:29:59.320
hogehoge.comってのは、ここに実ドメイン書きたくないから書いた例で、たまたまそのドメインがあっただけじゃね?
本当のドメイン書いたら低脳バレるし
本当のドメイン書いたら低脳バレるし
2016/08/16(火) 13:32:30.050
と、低能が申しておりますwww
2016/08/16(火) 13:44:22.060
じゃけん例示はexample.comを使いましょうね〜
2016/08/16(火) 18:02:41.250
hogehoge.comを例だと思わない奴がここに居るのか?
2016/08/16(火) 18:06:36.430
2016/08/16(火) 18:32:32.530
RFC読めない奴なら大丈夫
2016/08/16(火) 20:12:05.740
例だと思わない奴は居ないだろうが、例に使っちゃう奴もそうそう居ない。
2016/08/16(火) 21:15:10.380
なんだ? hogehoge 憶えたての新人さんか?
ケツの力抜けよとりあえずな。
例示には example.com 使う用にしような。
ケツの力抜けよとりあえずな。
例示には example.com 使う用にしような。
2016/08/17(水) 08:43:21.220
2016/08/18(木) 00:05:37.960
リダイレクト書けばいいだけやん
2016/08/20(土) 17:13:41.980
ちょっと検証していてつまずいてるのでご教示下さい。
現在opensslのs_clientを使用してクロスルートの検証をしています。
クロスルートが必要な古いルート証明書とクロスルートが不要な新しいルート証明書をそれぞれ別ディレクトリに格納してます。
それをCApathで指定してs_clientを実行すると、クロスルート利用はうまくいきますが、クロスルート無しはうまくいきません。
対象のサーバにはクロスルートと中間証明書両方入っている状態となります。
なお、同じディレクトリに新旧のルート証明書両方入れると、旧ルート証明書の方にchainされてしまいます。
opensslはバージョン1.0.1e Feb 2013を使ってます。
宜しくお願いします。
現在opensslのs_clientを使用してクロスルートの検証をしています。
クロスルートが必要な古いルート証明書とクロスルートが不要な新しいルート証明書をそれぞれ別ディレクトリに格納してます。
それをCApathで指定してs_clientを実行すると、クロスルート利用はうまくいきますが、クロスルート無しはうまくいきません。
対象のサーバにはクロスルートと中間証明書両方入っている状態となります。
なお、同じディレクトリに新旧のルート証明書両方入れると、旧ルート証明書の方にchainされてしまいます。
opensslはバージョン1.0.1e Feb 2013を使ってます。
宜しくお願いします。
698名無しさん@お腹いっぱい。
2016/08/21(日) 19:04:49.150 Let's Encryptで格安系SSLがヤバイとか言うけど、無くならないだろ
格安系SSLでもよっぽどいい加減な業者じゃなければ会員登録時に個人情報を求められるし、
支払が必要≒支払者の銀行口座・クレジット番号で明細に残る
提出用CSRにもチェック入る業者もある。内容が少しでも違ってたら発行しませんとかよくある。
格安系SSLでも悪用するには大きなハードルがある。
Let's Encryptはどうか?
発行枚数実質無制限、仲介業者なし、個人情報の提供なし、CSR不要(ファイル認証かDNS認証のみ)、
そもそも無料なため本人確認のしようがない。etc...
+Torを使えば悪用し放題じゃね?
既に悪用されたケースがちらほらある。
http://security.srad.jp/story/16/01/10/1837213/
そのうち、Googlebotも証明書の種類で判定して、このサイトはそれ使ってるからダメだってなりそうな気もする。
>>697
その前にOpenSSLバージョンアップしろよ
格安系SSLでもよっぽどいい加減な業者じゃなければ会員登録時に個人情報を求められるし、
支払が必要≒支払者の銀行口座・クレジット番号で明細に残る
提出用CSRにもチェック入る業者もある。内容が少しでも違ってたら発行しませんとかよくある。
格安系SSLでも悪用するには大きなハードルがある。
Let's Encryptはどうか?
発行枚数実質無制限、仲介業者なし、個人情報の提供なし、CSR不要(ファイル認証かDNS認証のみ)、
そもそも無料なため本人確認のしようがない。etc...
+Torを使えば悪用し放題じゃね?
既に悪用されたケースがちらほらある。
http://security.srad.jp/story/16/01/10/1837213/
そのうち、Googlebotも証明書の種類で判定して、このサイトはそれ使ってるからダメだってなりそうな気もする。
>>697
その前にOpenSSLバージョンアップしろよ
2016/08/21(日) 19:47:24.790
>>698
> 格安系SSLでもよっぽどいい加減な業者じゃなければ会員登録時に個人情報を求められるし、
> 支払が必要≒支払者の銀行口座・クレジット番号で明細に残る
何言ってるんだか
その個人情報は全部出鱈目でも取得可能
「よっぽどいい加減な業者」がどこかは知らんけど、さくらのSSLのラピッドSSLすら実質匿名で取れるのを知らんのか
支払いも10万円以下なら、ATMから口座持ってなくても銀行振り込みできるし、振り込み名義は「ヤマダタロウ」とかいい加減に入力すれば弾かれない
> 格安系SSLでもよっぽどいい加減な業者じゃなければ会員登録時に個人情報を求められるし、
> 支払が必要≒支払者の銀行口座・クレジット番号で明細に残る
何言ってるんだか
その個人情報は全部出鱈目でも取得可能
「よっぽどいい加減な業者」がどこかは知らんけど、さくらのSSLのラピッドSSLすら実質匿名で取れるのを知らんのか
支払いも10万円以下なら、ATMから口座持ってなくても銀行振り込みできるし、振り込み名義は「ヤマダタロウ」とかいい加減に入力すれば弾かれない
2016/08/21(日) 19:59:54.830
何言ってんだお前
誰が運営してるかがバレた時点でアウトなサイトでも取れるって話だろ
誰が運営してるかがバレた時点でアウトなサイトでも取れるって話だろ
2016/08/21(日) 20:26:33.640
>>698
バージョンアップできないのよ。
バージョンアップできないのよ。
2016/08/21(日) 21:31:47.190
2016/08/21(日) 22:19:47.560
だろうなぁ。
でも、同じように、高額のシマンテックの証明書とかは無くならないけど値段が下がるって事にはなるだろうね。
でも、同じように、高額のシマンテックの証明書とかは無くならないけど値段が下がるって事にはなるだろうね。
2016/08/21(日) 22:27:39.780
どっちも見当はずれだろw
2016/08/21(日) 23:13:01.560
http://thehackernews.com/2016/01/free-ssl-certificate-malware.html
For a long time, malware authors purchased stolen SSL certificates
from the underground market and deployed them in their malvertising campaigns.
Fortunately, these certificates are eventually caught up and invalidate
by their legitimate owners.
However, with the launch of Let's Encrypt free SSL certificates,
malware authors don't even have to pay for SSL certificates anymore,
and can request one for free instead.
従来、ウイルス作者は不正な方法でSSL証明書を購入し、トロイの木馬付き広告を配布したがいずれも所有者によって無効化されている。
しかし、Let's Encryptのサービス開始でウイルスの作者はSSL証明書に金払う必要なくなり、更に自由に発行できるようになった。
犯罪者御用達SSL証明書、Let's Encryptwwwww
こんな糞サービスやめた方がいい。絶対w
>>702
有料証明書だと金銭的にやり難いだろ?w
For a long time, malware authors purchased stolen SSL certificates
from the underground market and deployed them in their malvertising campaigns.
Fortunately, these certificates are eventually caught up and invalidate
by their legitimate owners.
However, with the launch of Let's Encrypt free SSL certificates,
malware authors don't even have to pay for SSL certificates anymore,
and can request one for free instead.
従来、ウイルス作者は不正な方法でSSL証明書を購入し、トロイの木馬付き広告を配布したがいずれも所有者によって無効化されている。
しかし、Let's Encryptのサービス開始でウイルスの作者はSSL証明書に金払う必要なくなり、更に自由に発行できるようになった。
犯罪者御用達SSL証明書、Let's Encryptwwwww
こんな糞サービスやめた方がいい。絶対w
>>702
有料証明書だと金銭的にやり難いだろ?w
2016/08/21(日) 23:13:46.970
http://thehackernews.com/2016/01/free-ssl-certificate-malware.html
For a long time, malware authors purchased stolen SSL certificates
from the underground market and deployed them in their malvertising campaigns.
Fortunately, these certificates are eventually caught up and invalidate
by their legitimate owners.
However, with the launch of Let's Encrypt free SSL certificates,
malware authors don't even have to pay for SSL certificates anymore,
and can request one for free instead.
従来、ウイルス作者は不正な方法でSSL証明書を購入し、トロイの木馬付き広告を配布したがいずれも所有者によって無効化されている。
しかし、Let's Encryptのサービス開始でウイルスの作者はSSL証明書に金払う必要なくなり、更に自由に発行できるようになった。
犯罪者御用達SSL証明書、Let's Encryptwwwww
こんな糞サービスやめた方がいい。絶対w
>>702
有料証明書だと金銭的にやり難いだろ?
For a long time, malware authors purchased stolen SSL certificates
from the underground market and deployed them in their malvertising campaigns.
Fortunately, these certificates are eventually caught up and invalidate
by their legitimate owners.
However, with the launch of Let's Encrypt free SSL certificates,
malware authors don't even have to pay for SSL certificates anymore,
and can request one for free instead.
従来、ウイルス作者は不正な方法でSSL証明書を購入し、トロイの木馬付き広告を配布したがいずれも所有者によって無効化されている。
しかし、Let's Encryptのサービス開始でウイルスの作者はSSL証明書に金払う必要なくなり、更に自由に発行できるようになった。
犯罪者御用達SSL証明書、Let's Encryptwwwww
こんな糞サービスやめた方がいい。絶対w
>>702
有料証明書だと金銭的にやり難いだろ?
2016/08/21(日) 23:28:48.680
よっぽど儲からなくて困ってるんだろうな。
ごく小さな代理店は。
SSLかかってたら安全なんて時代もとっくに終わってんだから、
無料だから濫用される、無料のがあるからうちのが売れない、とか言い訳探してないで、売る方法考えりゃいいのに。
ごく小さな代理店は。
SSLかかってたら安全なんて時代もとっくに終わってんだから、
無料だから濫用される、無料のがあるからうちのが売れない、とか言い訳探してないで、売る方法考えりゃいいのに。
2016/08/21(日) 23:38:24.160
荒らしはスルー
2016/08/21(日) 23:39:18.210
広告とかで出てくるSSLでセキュリティ対策できますみたいなのってなんなんだろな
2016/08/21(日) 23:55:45.150
・シールなし(藁)
・日本語ドメイン非対応(藁)
・たったの90日(藁)
・不正証明書作り放題(糞藁)
・不正利用されても無効化不可能(禿藁)
・ルート証明書はI'den Trustという無名認証局(禿藁)
・大手認証局が参入しないのは100%不正利用されるから(禿藁)
・犯罪の温床(寺藁)
・犯罪者御用達証明書(与太藁)
>>707
無料だからじゃなくて犯罪に利用されても無効化できない、
脆弱性だらけ、数十秒で作成可能とか
もはや外部攻撃された認証局と同じwwww
・日本語ドメイン非対応(藁)
・たったの90日(藁)
・不正証明書作り放題(糞藁)
・不正利用されても無効化不可能(禿藁)
・ルート証明書はI'den Trustという無名認証局(禿藁)
・大手認証局が参入しないのは100%不正利用されるから(禿藁)
・犯罪の温床(寺藁)
・犯罪者御用達証明書(与太藁)
>>707
無料だからじゃなくて犯罪に利用されても無効化できない、
脆弱性だらけ、数十秒で作成可能とか
もはや外部攻撃された認証局と同じwwww
2016/08/22(月) 00:04:53.760
>>710
犯罪に利用されても、と言われてもなぁ。
そもそも認証じゃなくて、その名の通り、Encryptがメインだから。
そういう意味では認証局ですら無いだろ。
大手認証局がこう言う事しないのは、文字通り認証局だからだろ。
そら推せば良いだけなのに。
だから売れる物も売ることが出来ねえんだよなぁ、ボンクラって。
犯罪に利用されても、と言われてもなぁ。
そもそも認証じゃなくて、その名の通り、Encryptがメインだから。
そういう意味では認証局ですら無いだろ。
大手認証局がこう言う事しないのは、文字通り認証局だからだろ。
そら推せば良いだけなのに。
だから売れる物も売ることが出来ねえんだよなぁ、ボンクラって。
2016/08/22(月) 01:27:55.540
臭い名前からして前も政治コピペ貼って荒らしてた奴と同じだろ
2016/08/22(月) 10:05:58.280
>>705-706
StartSSLでも同じようにできることなんだが、何言ってるんだこいつは
StartSSLでも同じようにできることなんだが、何言ってるんだこいつは
714367
2016/08/25(木) 12:59:27.190 質問させてください。
Let's EncryptでSSLを取得しようと思って何回か試したのですが、以下のようなエラーが出てしまい前にすすめません。
Detail: DNS problem: NXDOMAIN looking up A for hogehoge.mydsn.jp
DDNSのmydsn設定欄に何かしら設定をすればよいのでしょうか?
ちなみSSL化したい対象このサーバーはapacheリバースプロキシサーバーのバックエンドのサーバーです。
リバースプロキシサーバーに問題があるのでしょうか?
ご存じの方いらっしゃいましたらアドバイス頂けないでしょうか。
どうか宜しくお願い申し上げます。
Let's EncryptでSSLを取得しようと思って何回か試したのですが、以下のようなエラーが出てしまい前にすすめません。
Detail: DNS problem: NXDOMAIN looking up A for hogehoge.mydsn.jp
DDNSのmydsn設定欄に何かしら設定をすればよいのでしょうか?
ちなみSSL化したい対象このサーバーはapacheリバースプロキシサーバーのバックエンドのサーバーです。
リバースプロキシサーバーに問題があるのでしょうか?
ご存じの方いらっしゃいましたらアドバイス頂けないでしょうか。
どうか宜しくお願い申し上げます。
2016/08/25(木) 13:04:16.470
取りあえずそのddnsやめてfreenom+cloudflareでラクチン管理&apiで自動化し放題にしようぜ
難しいことせずに一旦80と443を取りたい鯖に向けちゃうのが早いよ
難しいことせずに一旦80と443を取りたい鯖に向けちゃうのが早いよ
2016/08/25(木) 13:06:04.300
マルチすんな死ね
2016/08/25(木) 13:25:22.160
ドメインの例示に hogehoge 使う奴は総じて無能。
2016/08/25(木) 13:27:32.680
しかも
> mydsn.jp
とか夏の暑さで頭が逝っているのではないかと
> mydsn.jp
とか夏の暑さで頭が逝っているのではないかと
719367改め714
2016/08/25(木) 14:19:06.110 すみません、私の確認違いで別のスレにマルチしてしまっていました。
向こうのスレの方には経緯をお伝えし、こちらで改めて質問させて頂きます。
向こうのスレの方には経緯をお伝えし、こちらで改めて質問させて頂きます。
2016/08/25(木) 14:35:29.000
まず取得しようとした環境と操作内容は?
DNS側でやることは何もないよ
普通にそのドメインでwebブラウザでページひらけるんだよね?
DNS側でやることは何もないよ
普通にそのドメインでwebブラウザでページひらけるんだよね?
721714
2016/08/25(木) 14:56:13.390 http://qiita.com/TsutomuNakamura/items/4166423699061e38d296
上記のサイトを参考に、順当に操作をつづけ
最後に
sudo certbot-auto certonly --webroot -w /var/www/html/owncloud -d hogehoge.mydsn.jp --email メールアドレス
のコマンドを打ちました。
環境としては、Windows2012R2のhyper-vで
・apacheでのリバースプロキシサーバー
・その配下に、apacheのwebサーバーを動かしています。
このwebサーバーをSSL化したいのです。
ちなみに、715さんがレスくれたように一旦、ルーターのポート80と443をwebサーバーに向けて、上記の操作を行ったのですが、
結果は同じでした。
またmydsn.jpってDDNSはあまりよろしくないんでしょうか?
何かご存じでしたら教えて頂けませんでしょうか。
>>freenom+cloudflareでラクチン管理&apiで自動化
ってちょっと調べてみたのですが、cloudflareがSSLを発行してくれると言うことはわかりましたがapiで管理と言う部分が
わかりません。
もう少し突っ込んでお話聞かせて頂ければ幸いです。
上記のサイトを参考に、順当に操作をつづけ
最後に
sudo certbot-auto certonly --webroot -w /var/www/html/owncloud -d hogehoge.mydsn.jp --email メールアドレス
のコマンドを打ちました。
環境としては、Windows2012R2のhyper-vで
・apacheでのリバースプロキシサーバー
・その配下に、apacheのwebサーバーを動かしています。
このwebサーバーをSSL化したいのです。
ちなみに、715さんがレスくれたように一旦、ルーターのポート80と443をwebサーバーに向けて、上記の操作を行ったのですが、
結果は同じでした。
またmydsn.jpってDDNSはあまりよろしくないんでしょうか?
何かご存じでしたら教えて頂けませんでしょうか。
>>freenom+cloudflareでラクチン管理&apiで自動化
ってちょっと調べてみたのですが、cloudflareがSSLを発行してくれると言うことはわかりましたがapiで管理と言う部分が
わかりません。
もう少し突っ込んでお話聞かせて頂ければ幸いです。
722714
2016/08/25(木) 15:09:31.570 連レス失礼します。
実際にサーバーを動かしているOSは両方ともCentos7になります。
実際にサーバーを動かしているOSは両方ともCentos7になります。
2016/08/25(木) 15:40:52.390
2016/08/25(木) 16:47:44.170
apiとかはやりたきゃってことよ
cloudflareのDNS部分だけ使う
freenomで無料のまともなドメイン(example.tk等)がもらえるからそのネームサーバーをcloudflareにする
間違いなく操作しやすいからね
ddnsだとドメインごとの発行制限引っかかったりいろいろめんどくさいのでこの方法の方がいい
IP変わってもcloudflareのwebサイトで変えたら数分で切り替わってるし俺はそれがめんどくさいからその作業自動化してる
cloudflareのDNS部分だけ使う
freenomで無料のまともなドメイン(example.tk等)がもらえるからそのネームサーバーをcloudflareにする
間違いなく操作しやすいからね
ddnsだとドメインごとの発行制限引っかかったりいろいろめんどくさいのでこの方法の方がいい
IP変わってもcloudflareのwebサイトで変えたら数分で切り替わってるし俺はそれがめんどくさいからその作業自動化してる
2016/08/25(木) 17:53:29.980
726名無しさん@お腹いっぱい。
2016/08/25(木) 19:26:27.280 そこはサンプルのためにあえて存在しない例でも書いてるのかと
思ったけど、それそのままなのかよ、まさかねえ
思ったけど、それそのままなのかよ、まさかねえ
2016/08/28(日) 00:23:18.940
ドスン
2016/08/28(日) 15:25:15.520
まあデータソースネームに釣られたんじゃないかw
2016/09/07(水) 17:06:35.710
新参&質問です
他の鯖ではうまくいったんですが、*****.mydns.jpのサイトだけ
Too many certificates already issued が出て証明書がもらえません
やはりダイナミックDNSでは使えないということでFAですかね?ぐぐってもわからなかった(取れてる人もいる)のですが
事実上無理ですよね、何度も試し続けて運良く取れてもまともに更新できないだろうし…
他の鯖ではうまくいったんですが、*****.mydns.jpのサイトだけ
Too many certificates already issued が出て証明書がもらえません
やはりダイナミックDNSでは使えないということでFAですかね?ぐぐってもわからなかった(取れてる人もいる)のですが
事実上無理ですよね、何度も試し続けて運良く取れてもまともに更新できないだろうし…
2016/09/07(水) 18:27:23.510
だからもう書いだだろそれ
>>724みたいにすればいい
>>724みたいにすればいい
2016/09/07(水) 19:11:12.800
2016/09/07(水) 21:25:49.660
>>729
発行しない理由も明示され、あなたがそこに貼っているとおりなんだが…
DDNSで使えないのではない
1ドメインにつき発行する数に制限があり、mydns.jpはすでに上限に達しているということ
別途ドメインとって、それをDDNSで運用すればいいだけ
発行しない理由も明示され、あなたがそこに貼っているとおりなんだが…
DDNSで使えないのではない
1ドメインにつき発行する数に制限があり、mydns.jpはすでに上限に達しているということ
別途ドメインとって、それをDDNSで運用すればいいだけ
2016/09/08(木) 11:28:20.250
2016/09/10(土) 22:28:40.520
Issuer: CN=Let's Encrypt Authority X3 The certificate is not issued by a trusted authority.
と環境によっては出てしまうけど、これはこういうもの?仕方ないのでしょうか
と環境によっては出てしまうけど、これはこういうもの?仕方ないのでしょうか
735名無しさん@お腹いっぱい。
2016/09/11(日) 03:11:27.720 >>734
クライアントからアクセス時にそのエラーが出るってこと?
それはサーバソフトでの中間証明書の設定ミス以外考えられない
Let's Encrypt Authority X3 は IdenTrust からチェーンされてるはずだから、
「IdenTrust が信用できない」というエラーが出るならともかく「Let's Encrypt Authority X3 が信用できない」
なんていうエラーは出ないはず
クライアントからアクセス時にそのエラーが出るってこと?
それはサーバソフトでの中間証明書の設定ミス以外考えられない
Let's Encrypt Authority X3 は IdenTrust からチェーンされてるはずだから、
「IdenTrust が信用できない」というエラーが出るならともかく「Let's Encrypt Authority X3 が信用できない」
なんていうエラーは出ないはず
2016/09/11(日) 08:07:04.840
まともな環境なら普通に全部ストアに入ってるはずだがな
2016/09/11(日) 10:36:59.230
そうなのですか、おかしいな
ある一つのクライアントを除いて出ていないので、そのクライアントがおかしいのかなと思ったのですが
それもおかしいよな
でも鯖は普通にcert.pem, privkey.pem, chain.pemをApacheに読み込ませてるだけなので間違いようもないし
ある一つのクライアントを除いて出ていないので、そのクライアントがおかしいのかなと思ったのですが
それもおかしいよな
でも鯖は普通にcert.pem, privkey.pem, chain.pemをApacheに読み込ませてるだけなので間違いようもないし
2016/09/11(日) 13:22:54.510
2016/09/11(日) 13:42:20.490
2016/09/11(日) 19:45:10.430
2016/09/11(日) 19:50:35.170
評価というより上の証明書あたりのところね
エラー出てないなら問題ない
クライアントがクソなんだろう
エラー出てないなら問題ない
クライアントがクソなんだろう
2016/09/11(日) 20:01:27.440
・Chrome49+chainあり:OK
・Chrome49+chainなし:証明書エラー
・Chrome52+chainなし:OK
こんな感じだった
・Chrome49+chainなし:証明書エラー
・Chrome52+chainなし:OK
こんな感じだった
2016/09/11(日) 20:49:02.080
FORTIGATE かなんか入れてない?
2016/09/12(月) 01:43:20.600
Windowsの証明書ストア(+キャッシュ)の影響を受けてるだけじゃね?
2016/09/12(月) 19:30:26.610
もう、どうでもよくね?
2016/09/13(火) 11:49:53.040
そうだな。
2016/09/15(木) 21:25:48.400
openssl s_client -connect
で調べれば?
で調べれば?
2016/09/20(火) 16:18:53.890
更新のたびに、ファイルが作られていくけど古いのって自動的には消えないの
2016/09/20(火) 16:43:31.020
消されたら困るじゃんよ
新しいの作ってweb鯖側の設定まだ変えてなかったらエラー出てweb鯖起動できなくなったりする
新しいの作ってweb鯖側の設定まだ変えてなかったらエラー出てweb鯖起動できなくなったりする
2016/09/20(火) 20:12:59.200
SANに登録できるドメインの数の上限は何個だろう
上限まで使い切りたい
上限まで使い切りたい
2016/10/07(金) 13:53:51.310
なーんかまたスクリプトの更新頻度が上がってるな
日に何度もアップデートあったし
日に何度もアップデートあったし
2016/10/20(木) 15:59:35.630
検証され信頼できる運営者情報はありません
EV証明のないサイトなんて
EV証明のないサイトなんて
2016/10/20(木) 16:02:37.260
オレオレよりよっぽどマシ、スマホにCA証明書追加しなくても使えるからな
使う顧客は自分と関係者だけだからEV証明もいらん
使う顧客は自分と関係者だけだからEV証明もいらん
2016/10/20(木) 16:02:54.370
フーン
2016/10/20(木) 16:03:12.200
>>753
いや、それはないだろ
いや、それはないだろ
2016/10/20(木) 16:05:59.730
暗号化したいだけなんだよ
それなのに余計な警告出されるのがクソウザイ
それなのに余計な警告出されるのがクソウザイ
2016/10/23(日) 23:07:59.910
Mozilla、Firefox 52のデフォルトでTLS 1.3を有効にする計画
http://security.srad.jp/story/16/10/22/2318250/
http://security.srad.jp/story/16/10/22/2318250/
758名無しさん@お腹いっぱい。
2016/10/25(火) 03:14:18.000 Letsencryptが普及しようが格安SSLはまだまだ需要はある。
互換性の観点から言うと格安系より少ないし、特に法人向けでは需要がある。
互換性の観点から言うと格安系より少ないし、特に法人向けでは需要がある。
2016/10/26(水) 08:05:50.290
法人がほしいのはサポートだからな
その格安でサポートが受けれるかという疑問もあるがw
その格安でサポートが受けれるかという疑問もあるがw
2016/10/26(水) 17:39:05.400
2016/10/26(水) 18:27:50.710
普通に適当なドメイン使って外部公開してる鯖でssl証明書手に入れてそいつをローカルの鯖にコピーしてきてhostsなり社内のDNSなりでドメインその鯖に向ければいいじゃん
2016/10/26(水) 18:50:07.550
完全なローカル環境でのサーバ運用ってアップデートとかしないの?
つかローカルならSSL使う必要性すら無い気もするが、
社内のネットワークを管理してる人間すら信用ならないって事なのか?
つかローカルならSSL使う必要性すら無い気もするが、
社内のネットワークを管理してる人間すら信用ならないって事なのか?
2016/10/26(水) 18:53:58.780
2016/10/26(水) 19:20:28.620
ミラー鯖あるならそこで証明書更新出来るんじゃねーの?
2016/10/26(水) 19:27:16.140
俺は本人じゃないよ
推測で言っただけですはい
推測で言っただけですはい
2016/10/27(木) 08:34:16.320
2016/10/27(木) 17:24:06.050
公開って取るときだけ80あけりゃいいじゃん
2016/10/27(木) 17:31:35.920
そもそも同じ鯖である必要すらないだろ
2016/10/31(月) 16:55:02.500
2016/11/01(火) 08:42:56.060
ファイル認証でhttpの鯖とhttpsの鯖が異なるとき、htttpsにリダイレクトしても取りに来てくれたよ。
2016/11/02(水) 19:37:06.570
>>770
新しいプロトコル作ったのかよ
新しいプロトコル作ったのかよ
2016/11/03(木) 19:56:39.930
お茶吹いたぞコノヤロー
773名無しさん@お腹いっぱい。
2016/11/06(日) 19:31:18.050 メジャースポンサー見てたら、英語圏以外では中華系しかない件
中華系は共産党の検閲絡みだからか?
一方、セキュリティ?何それおいしいの?の日本や韓国はスポンサーにならないだろう多分w
中華系は共産党の検閲絡みだからか?
一方、セキュリティ?何それおいしいの?の日本や韓国はスポンサーにならないだろう多分w
2016/11/08(火) 22:54:37.810
Tシャツもらえるぜ
ttps://www.generosity.com/community-fundraising/make-a-more-secure-web-with-let-s-encrypt
ttps://www.generosity.com/community-fundraising/make-a-more-secure-web-with-let-s-encrypt
775名無しさん@お腹いっぱい。
2016/11/12(土) 21:34:10.160 日本語ドメイン名まだー?
2016/11/12(土) 21:35:50.170
とっくに
2016/11/12(土) 21:52:24.460
2016/11/13(日) 13:10:23.590
punycodeでやってる?
2016/11/13(日) 19:14:05.770
2016/12/01(木) 17:44:11.410
http://upup.bz/j/my44020gUjYtVhx-H5xOfQw.jpg
今年の11月からNEVERまとめが常時SSL(常時https)化
https://matome.na-ver.jp/odai/2147927345093318201
「Neverまとめ」が常時SSL化(WebサイトのHTTPS化)に対応へ - NAVER まとめ
今年の11月からNEVERまとめが常時SSL(常時https)化
https://matome.na-ver.jp/odai/2147927345093318201
「Neverまとめ」が常時SSL化(WebサイトのHTTPS化)に対応へ - NAVER まとめ
2016/12/01(木) 17:51:18.480
サイト全体がHTTPSに! 常時SSL化のメリットとデメリット | コラム | Web制作 株式会社ワンゴジュウゴ WAN55 (東京・千代田区)
https://www.wan55.co.jp/column/detail/id=390
https://www.wan55.co.jp/column/detail/id=390
2016/12/01(木) 18:03:54.870
http://hayabusa3.2ch.net/test/read.cgi/news/1434201149?v=pc
Wikipedia「政府の検閲に対抗しデフォルトをHTTPSにする・・・特に中国、貴様だ」 [転載禁止]©2ch.net
1 : ネックハンギングツリー(家)@転載は禁止:2015/06/13(土) 22:12:29.34 ID:+n0FFgyp0 ?PLT(12345) ポイント特典
WikipediaなどWikimedia FoundationのサイトがデフォルトでHTTPSを採用…政府機関による検閲などを抑止へ
http://jp.techcrunch.com/2015/06/13/20150612the-wikimedia-foundation-turns-on-https-by-default-across-all-sites-including-wikipedia/
Wikipediaなどの重要なwikiプロジェクトをホストしているWikimedia Foundationが今朝(米国時間6/12)、
今後はすべてのサイトのトラフィックをHTTPSにより暗号化する、と発表した。同団体によると、
これにより各国の政府などがユーザトラフィックをモニタすることが困難になり、
またISPがWikipediaなどの記事を検閲することも難しくなる。
同団体は2013年に、サイトのアカウントを持つログインユーザのトラフィックに関してはHTTPSを実装したが、
そのとき、中国やイランなどトラフィックのHTTPS化が難しい国に関しては、
ログインユーザに対しても従来どおりのアクセスを認めた。
しかし今日のWikimedia Foundation(WF)の報告では、同団体はHTTP Strict Transport Security(HSTS)を
使用して、トラフィックをHTTPS破りから保護する、と言っている。
(略)
今日WFが発表した談話によると、"中国ではここ数週間、中国語WikipediaはHTTPとHTTPSの両方で、
多くのユーザにとってアクセス不能になっている。しかし、香港や台湾など一部の、
アクセスできているユーザにとっては、HTTPSがセキュリティの向上に資すると思われる。
また、中国でも英語版Wikipediaにはアクセスできるので、英語版の利用に関しては、
ユーザはHTTPSのセキュリティ効果に浴することができる"、ということだ。
(略)
Wikipedia「政府の検閲に対抗しデフォルトをHTTPSにする・・・特に中国、貴様だ」 [転載禁止]©2ch.net
1 : ネックハンギングツリー(家)@転載は禁止:2015/06/13(土) 22:12:29.34 ID:+n0FFgyp0 ?PLT(12345) ポイント特典
WikipediaなどWikimedia FoundationのサイトがデフォルトでHTTPSを採用…政府機関による検閲などを抑止へ
http://jp.techcrunch.com/2015/06/13/20150612the-wikimedia-foundation-turns-on-https-by-default-across-all-sites-including-wikipedia/
Wikipediaなどの重要なwikiプロジェクトをホストしているWikimedia Foundationが今朝(米国時間6/12)、
今後はすべてのサイトのトラフィックをHTTPSにより暗号化する、と発表した。同団体によると、
これにより各国の政府などがユーザトラフィックをモニタすることが困難になり、
またISPがWikipediaなどの記事を検閲することも難しくなる。
同団体は2013年に、サイトのアカウントを持つログインユーザのトラフィックに関してはHTTPSを実装したが、
そのとき、中国やイランなどトラフィックのHTTPS化が難しい国に関しては、
ログインユーザに対しても従来どおりのアクセスを認めた。
しかし今日のWikimedia Foundation(WF)の報告では、同団体はHTTP Strict Transport Security(HSTS)を
使用して、トラフィックをHTTPS破りから保護する、と言っている。
(略)
今日WFが発表した談話によると、"中国ではここ数週間、中国語WikipediaはHTTPとHTTPSの両方で、
多くのユーザにとってアクセス不能になっている。しかし、香港や台湾など一部の、
アクセスできているユーザにとっては、HTTPSがセキュリティの向上に資すると思われる。
また、中国でも英語版Wikipediaにはアクセスできるので、英語版の利用に関しては、
ユーザはHTTPSのセキュリティ効果に浴することができる"、ということだ。
(略)
2016/12/01(木) 18:08:20.750
http://echo.2ch.net/test/read.cgi/hp/1461051817?v=pc
【HTTP/2】常時SSL化について語ろう【TLS1.3】©2ch.net
【HTTP/2】常時SSL化について語ろう【TLS1.3】©2ch.net
2016/12/01(木) 18:13:21.560
ログ速が今日から常時SSL化
2016/12/02(金) 16:51:16.350
786名無しさん@お腹いっぱい。
2016/12/02(金) 16:53:13.760 >>784
itest.2ch.netもSSL化
itest.2ch.netもSSL化
2016/12/02(金) 17:03:36.060
http://echo.2ch.net/test/read.cgi/esite/1452760205/?v=pc
【アットウィキ/atwiki】@wikiについて語る Part 16 [無断転載禁止]©2ch.net
【アットウィキ/atwiki】@wikiについて語る Part 16 [無断転載禁止]©2ch.net
2016/12/04(日) 12:51:28.140
SSLのデメリットってあるの?
2016/12/04(日) 12:56:52.570
パフォーマンスの低下
証明書の更新などの作業の増加
ページ内で読み込めるスクリプトとか画像に多少制限がかかる(安全じゃない接続のは読み込めない)
証明書の更新などの作業の増加
ページ内で読み込めるスクリプトとか画像に多少制限がかかる(安全じゃない接続のは読み込めない)
2016/12/06(火) 13:48:21.740
SolarisのOpenCSWで最新だとletsencrypt途中でコケてたのが治った、、よかった
一部のライブラリを古いのに入れ直すの面倒でギリギリまで待ったかいがあったw
一部のライブラリを古いのに入れ直すの面倒でギリギリまで待ったかいがあったw
2016/12/07(水) 03:53:58.520
個人:Let's Encrypt(0円)
個人+高い互換性:RapidSSLとコモド(1.5千円)かFujiSSL
法人・団体:RapidSSL・ジオトラストクイックSSLプレミアム・OV証明書全般
法人(金融取引・通販以外):EV証明書全般
法人(金融取引・通販等):シマンテックEV証明書
こんな感じかなぁ
クイックSSLベーシックなるものはRapidSSLは値段は5倍以上する上、機能面では全く同じでメリット皆無
ttps://www.ssl-store.jp/geotrust-quick-ssl-basic/
SSL証明書によって検索結果が優遇されることってあるなら話は別だけど
>>788-789
今に限っては古いブラウザから閲覧できなくなるのと、HTTP接続のは読み込めないくらいじゃね。
SHA-1しか対応しないかSSL3.0まで対応するブラウザは全滅(特に2kとかサポート切れのOSはほぼ全滅)
そのうちTLS1.0も使用禁止になって、ガラケー全滅するかもしれない
パフォーマンスの低下もAES-NIやECDSAのお陰で殆ど感じないし、HTTP/2を使えばむしろ速いほう。
個人+高い互換性:RapidSSLとコモド(1.5千円)かFujiSSL
法人・団体:RapidSSL・ジオトラストクイックSSLプレミアム・OV証明書全般
法人(金融取引・通販以外):EV証明書全般
法人(金融取引・通販等):シマンテックEV証明書
こんな感じかなぁ
クイックSSLベーシックなるものはRapidSSLは値段は5倍以上する上、機能面では全く同じでメリット皆無
ttps://www.ssl-store.jp/geotrust-quick-ssl-basic/
SSL証明書によって検索結果が優遇されることってあるなら話は別だけど
>>788-789
今に限っては古いブラウザから閲覧できなくなるのと、HTTP接続のは読み込めないくらいじゃね。
SHA-1しか対応しないかSSL3.0まで対応するブラウザは全滅(特に2kとかサポート切れのOSはほぼ全滅)
そのうちTLS1.0も使用禁止になって、ガラケー全滅するかもしれない
パフォーマンスの低下もAES-NIやECDSAのお陰で殆ど感じないし、HTTP/2を使えばむしろ速いほう。
2016/12/07(水) 04:52:31.720
昔ながらのアクセスランキングサイトにgetパラメータが渡らなくなっちゃったくらいやね
2016/12/07(水) 09:40:38.280
今はそんなの自前で解析するだろ
外部がいいならGoogleで十分だわ
外部がいいならGoogleで十分だわ
2016/12/07(水) 11:44:50.650
昔ながらのアクセスランキングサイトって、アクセス解析じゃなくてWebリングみたいなものの事じゃない?
795名無しさん@お腹いっぱい。
2016/12/07(水) 17:02:28.910 明日切れちゃう&自動化してないので、手動で./certbot-auto renewしてみたんだけど
No renewals were attempted. と出て更新されない。何がおかしいのでしょうか?
CentOS6です。ログにはDEBUG:certbot.renewal:no renewal failuresと出てます。
No renewals were attempted. と出て更新されない。何がおかしいのでしょうか?
CentOS6です。ログにはDEBUG:certbot.renewal:no renewal failuresと出てます。
796名無しさん@お腹いっぱい。
2016/12/07(水) 19:02:00.940 >>794
確かにHTTPS→HTTPではRefererが送られないけど、今時アクセスランキングのようなAPIがHTTPS非対応ってほとんどなくない?
だって、そのランキングシステムがHTTPSなサイトでまともに機能しないわけで、そんな状況放置するのは普通じゃない
一応、htmlに
<meta name=
確かにHTTPS→HTTPではRefererが送られないけど、今時アクセスランキングのようなAPIがHTTPS非対応ってほとんどなくない?
だって、そのランキングシステムがHTTPSなサイトでまともに機能しないわけで、そんな状況放置するのは普通じゃない
一応、htmlに
<meta name=
797796
2016/12/07(水) 19:03:37.370 ほんと2chって投稿が途中で切れたりバグがらけのゴミコードだな
<meta name="referrer" content="unsafe-url" />
って書いとくと、FirefoxとChromeだと HTTPS→HTTP でもReferer送られるようになるよ
IEには効果ないけど
<meta name="referrer" content="unsafe-url" />
って書いとくと、FirefoxとChromeだと HTTPS→HTTP でもReferer送られるようになるよ
IEには効果ないけど
2016/12/07(水) 19:07:40.070
コマンドインジェクション対策だったりするんじゃないの
>昔ながらの
って書いてるんだからhttpsなサイトなんて対象外なんだろ
>昔ながらの
って書いてるんだからhttpsなサイトなんて対象外なんだろ
2016/12/07(水) 21:02:40.620
逆の言い方するとさ、
HTTPSに対応することで、アクセス解析したときにHTTPSなサイトからのリンクされたことが分かるってメリットがあるよ
もしHTTPだとHTTPSなサイトからリンクされた場合に、Google アナリティクスとかのアクセス解析でも表示されなくなり、
ブックマークとかからの直接アクセス扱いにされるよ
HTTPSに対応することで、アクセス解析したときにHTTPSなサイトからのリンクされたことが分かるってメリットがあるよ
もしHTTPだとHTTPSなサイトからリンクされた場合に、Google アナリティクスとかのアクセス解析でも表示されなくなり、
ブックマークとかからの直接アクセス扱いにされるよ
800名無しさん@お腹いっぱい。
2016/12/07(水) 21:15:47.840 ブログランキングで対応している所はにほんブログ村のみ
with2.netなど他の所は非対応のまま
with2.netなど他の所は非対応のまま
2016/12/08(木) 01:57:56.620
httpsサイトは検索エンジンからの流入キーワード全部取れるようにしてほすい…サーチコンソールだけじゃ分からん
ランキングは投票URLが touhyo.cgi?siteno=000 みたいになってると?以降が暗号化されてカウントされないね
ランキングは投票URLが touhyo.cgi?siteno=000 みたいになってると?以降が暗号化されてカウントされないね
802名無しさん@お腹いっぱい。
2016/12/08(木) 03:35:22.550 >>801
たまたま検索結果画面のHTTPS化とタイミングが重なったから誤解している人多いけど、
Google検索のRefererがとれなくなったのは、Google側がプライバシーにかかわるキーワードをサイト側に送らないように対策したから
技術的には検索結果をクリックした際に、特殊なスクリプトを含むリダイレクタを経由するようにして、そのリダイレクタのURLしか取得できないように対策した
キーワードはGoogle Search Console からとるしかなく、数の極端に少ないキーワードや個人情報を含む恐れのあるキーワードは取得できないようになっている
たまたま検索結果画面のHTTPS化とタイミングが重なったから誤解している人多いけど、
Google検索のRefererがとれなくなったのは、Google側がプライバシーにかかわるキーワードをサイト側に送らないように対策したから
技術的には検索結果をクリックした際に、特殊なスクリプトを含むリダイレクタを経由するようにして、そのリダイレクタのURLしか取得できないように対策した
キーワードはGoogle Search Console からとるしかなく、数の極端に少ないキーワードや個人情報を含む恐れのあるキーワードは取得できないようになっている
2016/12/08(木) 17:14:45.370
Google検索結果のリンクから飛ぶときにHTTPSでないクッションを経由するのが嫌で、Don't track me Google入れてる。
2017/01/02(月) 19:41:13.310
https://github.com/analogic/lescript
このスクリプト使ってるんだけどちゃんとtoken見に来てくれない
ブラウザでアクセスすれば普通に見えるがアクセスログに自分とGoogleのBot以外出ておらずアクセス制限なんかもしてない
何か原因思い当たるのありますか?
それと他にphpだけで認証できるようなのありませんか?
このスクリプト使ってるんだけどちゃんとtoken見に来てくれない
ブラウザでアクセスすれば普通に見えるがアクセスログに自分とGoogleのBot以外出ておらずアクセス制限なんかもしてない
何か原因思い当たるのありますか?
それと他にphpだけで認証できるようなのありませんか?
2017/01/02(月) 19:53:07.610
certbot使ってmanualでできました
806名無しさん@お腹いっぱい。
2017/01/17(火) 18:33:40.220 中間証明書入れないと、Androidブラウザだけ信用してくれないんだな
何ヶ月も気付かなかったわ
何ヶ月も気付かなかったわ
2017/01/17(火) 19:04:33.000
ディスコンのサポ切れブラウザで信用してくれないと申されましても
808名無しさん@お腹いっぱい。
2017/01/17(火) 19:37:14.630 最近のAndroidのブラウザはChromeだぞ
終わったのは標準ブラウザってやつ
終わったのは標準ブラウザってやつ
2017/01/17(火) 20:25:58.330
それ、Chromeでも起きるよ
2017/01/17(火) 21:56:03.530
俺は入れた覚えはないけど
古いバージョンか?
古いバージョンか?
2017/01/17(火) 23:30:16.010
この年末に証明書の更新をやって、中間証明書は有効期限内だから入れ替えなくていいかなって。
Win7+IE11,Chrome、Win10+IE,Edge,Chrome、iOS+Safari,Chromeは問題なかったが、
Android 7.1(Nexus5X)+Chromeの55かな?で「このサイトは信頼できません)になった。
最新の中間証明書に入れ替えたら問題なくなったから、そういうもんだと思ってたんだけど。
ググるとAndroidでだけ証明書エラーってのが何件か引っかかったし。
Win7+IE11,Chrome、Win10+IE,Edge,Chrome、iOS+Safari,Chromeは問題なかったが、
Android 7.1(Nexus5X)+Chromeの55かな?で「このサイトは信頼できません)になった。
最新の中間証明書に入れ替えたら問題なくなったから、そういうもんだと思ってたんだけど。
ググるとAndroidでだけ証明書エラーってのが何件か引っかかったし。
812名無しさん@お腹いっぱい。
2017/01/18(水) 00:05:13.440 >>811
https://letsencrypt.jp/faq/#Browser の
> 過去に使用されていた中間証明書「Let's Encrypt Authority X1」と、予備の中間証明書「Let's Encrypt Authority X2」は Windows XP との互換性がありませんでした。
> 2016年03月25日以降は、Windows XP との互換性が高い中間証明書「Let's Encrypt Authority X3」、および予備の中間証明書「Let's Encrypt Authority X4」が使用されています。
あたりが影響してるんじゃない?
2016年3月25日に中間証明書が変わったらしいので、3月25日以降に取得した証明書は、それより古い中間証明書だとエラーになるかもしれん
中間証明書はブラウザによっては勝手にキャッシュする(証明書ストアに勝手に入る?)から、自分がエラーでなくても他の人がエラー出たりと検証が困難
なので、https://www.ssllabs.com/ssltest/ でエラーが出ないか確認した方が良い
https://letsencrypt.jp/faq/#Browser の
> 過去に使用されていた中間証明書「Let's Encrypt Authority X1」と、予備の中間証明書「Let's Encrypt Authority X2」は Windows XP との互換性がありませんでした。
> 2016年03月25日以降は、Windows XP との互換性が高い中間証明書「Let's Encrypt Authority X3」、および予備の中間証明書「Let's Encrypt Authority X4」が使用されています。
あたりが影響してるんじゃない?
2016年3月25日に中間証明書が変わったらしいので、3月25日以降に取得した証明書は、それより古い中間証明書だとエラーになるかもしれん
中間証明書はブラウザによっては勝手にキャッシュする(証明書ストアに勝手に入る?)から、自分がエラーでなくても他の人がエラー出たりと検証が困難
なので、https://www.ssllabs.com/ssltest/ でエラーが出ないか確認した方が良い
2017/01/18(水) 00:51:24.950
>>812
ありがとう。XP云々との関連は分かんないけど、時期的には同じ感じなので何か関係あるのかな。
検証するにも環境に限りがあるから、そういうサイトも活用する方がいいね。
自分はSymantec Encryptなんちゃらいう検証サイトで見てみたわ。
ありがとう。XP云々との関連は分かんないけど、時期的には同じ感じなので何か関係あるのかな。
検証するにも環境に限りがあるから、そういうサイトも活用する方がいいね。
自分はSymantec Encryptなんちゃらいう検証サイトで見てみたわ。
2017/01/18(水) 05:58:18.490
2017/01/18(水) 09:14:20.520
結構前からX3一緒に渡して運用してるけどそんなことになった試しは一度もないなぁ
816名無しさん@お腹いっぱい。
2017/01/18(水) 10:04:49.510817名無しさん@お腹いっぱい。
2017/01/19(木) 17:38:08.410 日本国民のために命をかけて悪と戦っている警察の方に
おしっこを出せと命令されたのにかわりに茶をだしたASKA
与党議員を盗聴している、本省の課長級以上の国家公務員の私邸を盗撮している、と言って
日蓮上人の正法を護持し、日本の真の国主であり平和の王者である池田先生と創価学会をネットで誹謗中傷していた奴ら、
おまえらは、全員ASKAと同じ精神障害ということで警察官に逆らう詐欺師と言う事にこれではっきりとなった。
警察官の3割強はわたくし達創価会員で占められている。
ASKAは必ず再逮捕され、拘置所内で自殺と言う事で間違いなく処理される。
おれたちは絶対負けない。
創価の敵対者達も必ず仏法の力で破滅する事になる。
おしっこを出せと命令されたのにかわりに茶をだしたASKA
与党議員を盗聴している、本省の課長級以上の国家公務員の私邸を盗撮している、と言って
日蓮上人の正法を護持し、日本の真の国主であり平和の王者である池田先生と創価学会をネットで誹謗中傷していた奴ら、
おまえらは、全員ASKAと同じ精神障害ということで警察官に逆らう詐欺師と言う事にこれではっきりとなった。
警察官の3割強はわたくし達創価会員で占められている。
ASKAは必ず再逮捕され、拘置所内で自殺と言う事で間違いなく処理される。
おれたちは絶対負けない。
創価の敵対者達も必ず仏法の力で破滅する事になる。
818名無しさん@お腹いっぱい。
2017/01/19(木) 17:38:25.620 警察では池田先生から仏法の教えを受けた警官が日々身命を惜しまず働いている。
ASKAの味方をする奴は全員統合失調の薬物中毒者と言う事にもうすでにもうなったんだから、
おとなしく観念しろ。
創価が与党議員を盗聴している、本省の課長級以上の国家公務員の私邸を盗撮している、
という疑惑を流している奴らも同罪ということになる。
池田先生は魂の指導者で日本の国主なのだということは、
全世界が認めていることなのだから、
もし仮に公務員や一般国民の生活をご照覧になって指導されたとしても
それは当たり前のことだ。
このスレにそんな馬鹿は居ないと思うがASKAに肩入れして警官や盗撮の悪口を言ってるやつは
IPアドレスから住居を突き止めて六道地獄を永久に廻る仏罰をくだしてやる。
ASKAの味方をする奴は全員統合失調の薬物中毒者と言う事にもうすでにもうなったんだから、
おとなしく観念しろ。
創価が与党議員を盗聴している、本省の課長級以上の国家公務員の私邸を盗撮している、
という疑惑を流している奴らも同罪ということになる。
池田先生は魂の指導者で日本の国主なのだということは、
全世界が認めていることなのだから、
もし仮に公務員や一般国民の生活をご照覧になって指導されたとしても
それは当たり前のことだ。
このスレにそんな馬鹿は居ないと思うがASKAに肩入れして警官や盗撮の悪口を言ってるやつは
IPアドレスから住居を突き止めて六道地獄を永久に廻る仏罰をくだしてやる。
2017/01/20(金) 03:25:19.930
>>816-818
内容はともかく、ここは Let's Encrypt のスレなんで、無関係な政治や宗教の主張はやめてくれないかな?
他にSSL/TLSのスレはないんで、他の認証局の話題ぐらいならいいけど、流石に政治はスレチすぎる
表現の自由が保証されているとか思ってるかもしれないけど、無関係なスレッドでの主張は反感を買って逆効果になるだけだよ
内容はともかく、ここは Let's Encrypt のスレなんで、無関係な政治や宗教の主張はやめてくれないかな?
他にSSL/TLSのスレはないんで、他の認証局の話題ぐらいならいいけど、流石に政治はスレチすぎる
表現の自由が保証されているとか思ってるかもしれないけど、無関係なスレッドでの主張は反感を買って逆効果になるだけだよ
2017/01/20(金) 03:51:45.410
荒らしにマジレスかっこいい
2017/01/20(金) 07:57:19.350
IPアドレスとか関係なしの個人特定から仏罰とやらの執行、
そしてそれらの内容を全世界に夢か何かで知らせるくらいできないと本物じゃないよね
こんなスレに書き込んでる時点で(笑)
そしてそれらの内容を全世界に夢か何かで知らせるくらいできないと本物じゃないよね
こんなスレに書き込んでる時点で(笑)
2017/01/20(金) 13:44:19.640
ゴミレスは無視するしかないよ。
2017/01/20(金) 15:40:51.560
昔からニュー速とかから定期的にタチ悪いコピペ貼られてたじゃん
ある程度年齢層の高い板は大体そうだよ
ある程度年齢層の高い板は大体そうだよ
2017/01/20(金) 16:38:58.230
年代関係なくおかしいやつはおかしいって
2017/01/20(金) 16:51:20.350
板とか関係なく電波入ってるコピペは貼られるだろ
なぜスルーできないの?
なぜスルーできないの?
826名無しさん@お腹いっぱい。
2017/01/27(金) 00:04:04.610 今、話題のグルメンピックの騒動でそのHP見てみたらLet's Encrypt使っててワロタ
Let's Encrypt使ってる商用サイトは詐欺と思えでおk?
https://www.gourmetmpic.com
Let's Encrypt使ってる商用サイトは詐欺と思えでおk?
https://www.gourmetmpic.com
2017/01/27(金) 00:44:15.020
短絡的思考過ぎてなんとも。
2017/01/27(金) 01:19:59.410
昔からドメインとか証明書に関してはいろいろ言われてるけどね
10年じゃないとダメだのCOMODOはありえないだの
気にするからお前次第だ
10年じゃないとダメだのCOMODOはありえないだの
気にするからお前次第だ
2017/01/28(土) 03:00:24.590
>>826
お前の考え方が糞過ぎ
お前の考え方が糞過ぎ
2017/01/28(土) 05:25:00.980
2017/01/28(土) 09:34:19.360
>>826
むしろDV証明に何万も出しているサイトの方が情弱で怪しいのでないか
むしろDV証明に何万も出しているサイトの方が情弱で怪しいのでないか
2017/01/28(土) 10:14:15.280
>>826
そういうところを見て「怪しいな」って思う人はそもそも相手にしてないから大丈夫
そういうところを見て「怪しいな」って思う人はそもそも相手にしてないから大丈夫
2017/01/28(土) 19:36:32.050
Let's Encrypt はSSL/TLSの証明書であって運営内容とは関係なよな
それで使ってるサイトがとか言うのはアホかとしか思えない
それで使ってるサイトがとか言うのはアホかとしか思えない
2017/01/28(土) 19:43:33.550
あるよ?
だって高いところは単純な証明書ではなく信用を売ってるんだもの
だって高いところは単純な証明書ではなく信用を売ってるんだもの
2017/01/28(土) 19:46:38.950
信頼は証明書の金で買えるものじゃないよ?
2017/01/28(土) 19:54:13.690
>>826はそう考えるんだろ
2017/01/28(土) 21:22:28.850
まあ>826の信用なんて無いんですけどね
2017/01/29(日) 03:49:49.090
>>834
その認識が正しくないから袋叩きにあっているんだと自覚しようか
その認識が正しくないから袋叩きにあっているんだと自覚しようか
839名無しさん@お腹いっぱい。
2017/01/29(日) 04:20:28.000 http://echo.2ch.net//test/read.cgi/esite/1485225798/?v=pc
http://echo.2ch.net//test/read.cgi/esite/1485225798/3-n?v=pc
【アットウィキ/atwiki】@wikiについて語る Part 17 [無断転載禁止]©2ch.net
3 : 名無しさん@お腹いっぱい。2017/01/25(水) 02:08:31.60
https://atwiki.jp/news/116
いつも@WIKIをご利用いただき誠にありがとうございます。
@WIKIサポートです。
以前より、https対応につきましては、お知らせさせていただいてますが、
@WIKIはhttps化を完了し、現在、http/httpsいずれも接続が可能になっております。
この度、さらなるセキュリティ強化対策として、
2017年1月30日午前10時を持ちまして
常時SSL化 (httpsのみによる接続) を適用させていただきます。
〜〜〜〜〜〜〜〜〜〜中略〜〜〜〜〜〜〜〜〜〜
なお、本件実施に伴い、現行のhttpsに非対応である一部の古いバージョンのブラウザやサポート終了のOS、
フィーチャーフォン(いわゆるガラケー)等につきましては、ご利用いただくことができなくなります。
大変恐縮ではございますが、現行のスマートフォン・OS・ブラウザ等をご利用いただくようお願い致します。
http://echo.2ch.net//test/read.cgi/esite/1485225798/3-n?v=pc
【アットウィキ/atwiki】@wikiについて語る Part 17 [無断転載禁止]©2ch.net
3 : 名無しさん@お腹いっぱい。2017/01/25(水) 02:08:31.60
https://atwiki.jp/news/116
いつも@WIKIをご利用いただき誠にありがとうございます。
@WIKIサポートです。
以前より、https対応につきましては、お知らせさせていただいてますが、
@WIKIはhttps化を完了し、現在、http/httpsいずれも接続が可能になっております。
この度、さらなるセキュリティ強化対策として、
2017年1月30日午前10時を持ちまして
常時SSL化 (httpsのみによる接続) を適用させていただきます。
〜〜〜〜〜〜〜〜〜〜中略〜〜〜〜〜〜〜〜〜〜
なお、本件実施に伴い、現行のhttpsに非対応である一部の古いバージョンのブラウザやサポート終了のOS、
フィーチャーフォン(いわゆるガラケー)等につきましては、ご利用いただくことができなくなります。
大変恐縮ではございますが、現行のスマートフォン・OS・ブラウザ等をご利用いただくようお願い致します。
2017/01/29(日) 08:50:40.120
他所でやってくれないか
2017/01/30(月) 15:46:24.820
>>834
信用のためならDVじゃなくEVにしとけよ
信用のためならDVじゃなくEVにしとけよ
842新潟野郎
2017/02/14(火) 08:02:32.860 http://ameblo.jp/staff/entry-12247397187.html
アメーバブログの常時SSL化に伴う仕様変更について ...
ameblo.jp › staff › entry-12247397187
14 時間前 - 常時SSL化以降、ご利用可能なプラグインについて ... のハッシュタグ入力とテーマ設定の変更について · 【おしらせ】PCの最新版エディタにて一部改善のお知らせ · 【おしらせ】絵文字を追加いたしました。
アメーバブログの常時SSL化に伴う仕様変更について ...
ameblo.jp › staff › entry-12247397187
14 時間前 - 常時SSL化以降、ご利用可能なプラグインについて ... のハッシュタグ入力とテーマ設定の変更について · 【おしらせ】PCの最新版エディタにて一部改善のお知らせ · 【おしらせ】絵文字を追加いたしました。
2017/02/17(金) 07:53:29.840
let's encrypt 使い始めました。
webroot で、証明書ゲットして、apache, postfix, dovecot にインストール。うまく動いている模様。
あとは自動更新なんだけど、cron に
certbot renew --quiet --post-hook "service apache24 reload ; service postfix reload ; service dovecot reload"
で、いいのかな?
いちおう、--dry-run と --force-renewal でテストしたらうまくいっているみたいですが、
よく分かんないのが証明書の取得回数制限。
https://letsencrypt.org/docs/rate-limits/
1.1週間に20ドメインまで
2.1週間にサブドメインは100まで
3.同じドメインの更新は1週間に5回まで
4.あと、ひとつのIP からは証明書500枚まで。
5.保留中(これよく分からない)のは300枚まで
6.制限がかかった時は、1週間たつと解除される。
私は4つのドメインをSANを使ってひとつの証明書にまとめてます。
私の理解では例えば毎週日曜日に --force-renewal 使って更新しても制限にひっかからないと
思うんですが合ってますか?(勿論、決してお薦めでは無いだろうけど)
教えて下さい、エロい人
webroot で、証明書ゲットして、apache, postfix, dovecot にインストール。うまく動いている模様。
あとは自動更新なんだけど、cron に
certbot renew --quiet --post-hook "service apache24 reload ; service postfix reload ; service dovecot reload"
で、いいのかな?
いちおう、--dry-run と --force-renewal でテストしたらうまくいっているみたいですが、
よく分かんないのが証明書の取得回数制限。
https://letsencrypt.org/docs/rate-limits/
1.1週間に20ドメインまで
2.1週間にサブドメインは100まで
3.同じドメインの更新は1週間に5回まで
4.あと、ひとつのIP からは証明書500枚まで。
5.保留中(これよく分からない)のは300枚まで
6.制限がかかった時は、1週間たつと解除される。
私は4つのドメインをSANを使ってひとつの証明書にまとめてます。
私の理解では例えば毎週日曜日に --force-renewal 使って更新しても制限にひっかからないと
思うんですが合ってますか?(勿論、決してお薦めでは無いだろうけど)
教えて下さい、エロい人
2017/02/17(金) 10:17:27.840
毎週強制更新する必要はどこにもないのだから根本から考え直せ
2017/02/19(日) 06:57:01.430
--force-renewal って通常更新に使っちゃいけないのかなぁ?
マニュアルには、毎日2回 renew がリコメンドされてるみたいだけど、
毎週はやりすぎにしても、毎月1回、 --force-renewal するほうが let's のサーバー負荷少ないんじゃね?
殆どの人は回数制限にひっかからないでしょうし。
マニュアルには、毎日2回 renew がリコメンドされてるみたいだけど、
毎週はやりすぎにしても、毎月1回、 --force-renewal するほうが let's のサーバー負荷少ないんじゃね?
殆どの人は回数制限にひっかからないでしょうし。
2017/02/19(日) 08:25:51.560
certbot になる以前は自前でスクリプト書いて、証明書の有効期限一ヶ月前にならないと
更新しないようにしてたわ。それを cron で二日毎に回す感じで。
今は certbot がよろしくやってくれてるから force-renewal とかしなくても済んでるよ。
更新しないようにしてたわ。それを cron で二日毎に回す感じで。
今は certbot がよろしくやってくれてるから force-renewal とかしなくても済んでるよ。
2017/02/19(日) 10:14:27.730
2017/02/19(日) 16:27:19.490
30日前って、更新しろメールが来るタイミングではないの?
期限まで45日を切ったら強制更新するスクリプトを4日に一度cronで回してたけど
もう少しタイミングを後ろにずらせるのかな
期限まで45日を切ったら強制更新するスクリプトを4日に一度cronで回してたけど
もう少しタイミングを後ろにずらせるのかな
2017/02/19(日) 17:17:30.740
メールが来るのは19日だろ
2017/02/22(水) 12:36:01.870
renewじゃなく強制更新してる人は一体なにが目的なの?
2017/02/22(水) 14:08:24.100
すみません
サーバー1でSAN使って www www2 www3
と証明書を取得したとします。
後に
サーバー2で www2
とした場合は証明書は取得可能でしょうか?
サーバー1で取得したものが無効になったりするのでしょうか?
サーバー1でSAN使って www www2 www3
と証明書を取得したとします。
後に
サーバー2で www2
とした場合は証明書は取得可能でしょうか?
サーバー1で取得したものが無効になったりするのでしょうか?
2017/02/22(水) 14:19:22.400
取得可能だけどなんでそんなことする必要あるの。
同じ証明書を使えばいいじゃない。
同じ証明書を使えばいいじゃない。
2017/02/22(水) 14:30:21.170
1つの証明書に複数ドメインが入ってるか、その複数の中でも先頭のドメインじゃない場合に自己署名証明書扱いされることがあるからじゃね?
2017/02/23(木) 12:36:26.950
おいらの renew の cron 遍歴。certbot を使い、webroot で認証してる。
certbot renew --post-hook"なんちゃら"
を --dry-run や --force-renewal でテストして動作確認。
よくわかんないまま、毎日2回 cron で実行するようにした。
毎日、2回、メールがうざい。ので、--quiet を追加。
今度は、本当に期限切れ1ヶ月前にちゃんと動作してくれるんだろうか?と不安になる。
で、毎週1回 cron にして、--quiet を削除。
(今ここ)
みんな、どうしてるの?
p.s.
ところで cron で60日に1回とか、75日に1回ってどうやるの?
やろうと思ったんだけど、あり?どうやるんだろうと考え込んでしまった。w
certbot renew --post-hook"なんちゃら"
を --dry-run や --force-renewal でテストして動作確認。
よくわかんないまま、毎日2回 cron で実行するようにした。
毎日、2回、メールがうざい。ので、--quiet を追加。
今度は、本当に期限切れ1ヶ月前にちゃんと動作してくれるんだろうか?と不安になる。
で、毎週1回 cron にして、--quiet を削除。
(今ここ)
みんな、どうしてるの?
p.s.
ところで cron で60日に1回とか、75日に1回ってどうやるの?
やろうと思ったんだけど、あり?どうやるんだろうと考え込んでしまった。w
2017/02/23(木) 13:08:29.790
cronでスクリプトを毎日動かすようにしてスクリプト側でどっかのファイルに書くなりして日付数えればいいじゃん
2017/02/23(木) 13:12:16.220
奇数月の15日に実行とかにすらばええやろ
2017/02/23(木) 13:40:08.910
てか更新切れの案内メール届くか不安なんだけど
確認方法ある?
確認方法ある?
2017/02/23(木) 15:30:51.910
自宅で運用してるとcronで回す場合に色んな原因で失敗が有り得るのが怖いから
スクリプトで期限までの残りをチェックして閾値以下になったら強制更新
これを数日に一度実行するのが気持ち的に楽なんだよ
その時に強制更新かけて、通知メールが来る前に処理しちゃう
サブドメインの分をSANS使わずにやってると、メールがウザいでしょ
スクリプトで期限までの残りをチェックして閾値以下になったら強制更新
これを数日に一度実行するのが気持ち的に楽なんだよ
その時に強制更新かけて、通知メールが来る前に処理しちゃう
サブドメインの分をSANS使わずにやってると、メールがウザいでしょ
2017/02/23(木) 17:04:21.790
強制更新ばかりするスパマーの証明書は無効化するようにしないといけないな
2017/02/24(金) 05:46:14.040
楽しそうだなみんな
ドメイン持ってない漏れには関係ないけど、趣味で試行錯誤するのは楽しい
仕事となると期限が発生するからゴメンだけどね
ドメイン持ってない漏れには関係ないけど、趣味で試行錯誤するのは楽しい
仕事となると期限が発生するからゴメンだけどね
2017/02/24(金) 11:19:29.030
>>860
30円くらいでドメイン取得できるぜ
30円くらいでドメイン取得できるぜ
2017/02/24(金) 11:22:25.410
その程度なら無料のでいいだろ
どうせその30円のは一年しか使えないんだから
どうせその30円のは一年しか使えないんだから
2017/02/24(金) 12:41:49.860
無料ドメインで回ってるならそれでいいだろ
2017/02/27(月) 08:31:05.210
なんでサーバーにわざわざ負荷を掛けるのかわからないな。
どうせDonateもしてないんだろうし。
どうせDonateもしてないんだろうし。
2017/02/27(月) 11:06:37.660
無料だから何してもいい、という考えじゃないかな?
スーパーの試食も無料だから全部食うようなヤツらだろうな
スーパーの試食も無料だから全部食うようなヤツらだろうな
2017/02/27(月) 13:23:11.810
どの書き込みの事を言ってるんだ???
2017/02/27(月) 21:23:29.890
cronなどでcertbot実行時に--force-renewalつけてる迷惑な方々
2017/02/27(月) 23:24:42.980
なんだ日本語読めないんだな(笑)
2017/03/03(金) 15:38:21.430
cron で certbot renew を毎日動かしてるんだけど、
/var/log/letsencrypt/ 以下のログって黙っていると無限増殖するんですよね?
/var/log/letsencrypt/ 以下のログって黙っていると無限増殖するんですよね?
2017/03/03(金) 19:48:18.170
つまりお前さんが喋り続けるとログが増えないとか
すごい才能だな
すごい才能だな
2017/03/03(金) 22:53:35.300
linuxでもBSDでもログをローテーションする機能あるだろう
2017/03/04(土) 03:01:52.110
2017/03/04(土) 06:34:24.520
2017/03/07(火) 16:24:50.600
1日1回ぐらいしか書き出されないログを掃除する必要なんて全くないんだが……
昭和生まれでフロッピーディスクとか使ったことある世代の人間なのか?
参考までに、俺の VPS のApache が吐いているログファイル "www.example.com-ssl_access_log" は、1日200万PVで、1日あたり 2.7GB にもなる (UserAgent名も書き出しているから容量多いっぽい)
だけど、パフォーマンス上の問題は全くおきていないぞ
/var/log/letsencrypt/ のログを見たところ、1日あたり 50KB 程度だった
毎日cronで回して、1年で 18.25MB、10年そのサーバを運用しても 182.5MB にしかならない
つまり、certbot のログは、一生貯め込んでも全く問題がないと言える
10年ため込んでも200MBにもならないログの容量の心配をするのは、老害もいいとこである
昭和生まれでフロッピーディスクとか使ったことある世代の人間なのか?
参考までに、俺の VPS のApache が吐いているログファイル "www.example.com-ssl_access_log" は、1日200万PVで、1日あたり 2.7GB にもなる (UserAgent名も書き出しているから容量多いっぽい)
だけど、パフォーマンス上の問題は全くおきていないぞ
/var/log/letsencrypt/ のログを見たところ、1日あたり 50KB 程度だった
毎日cronで回して、1年で 18.25MB、10年そのサーバを運用しても 182.5MB にしかならない
つまり、certbot のログは、一生貯め込んでも全く問題がないと言える
10年ため込んでも200MBにもならないログの容量の心配をするのは、老害もいいとこである
2017/03/07(火) 17:26:39.340
必要ないログ貯めてどうするw
せいぜ次の更新までぐらいでOKだろう
せいぜ次の更新までぐらいでOKだろう
2017/03/07(火) 17:36:19.550
>>875
なんか「必要のないメール貯めてどうする。要らないメールは見たら消せば良い」と言ってる老害みたいだな
俺のGmailアカウントは1度もメール消したことないし、今チェックしたら34万通貯まってたが、これから一生メールを削除することはないだろう
過去のメールやログは、何かに役立つときが来るかもしれないから念のため取っておくというのが今主流の考え方だと思う
なんか「必要のないメール貯めてどうする。要らないメールは見たら消せば良い」と言ってる老害みたいだな
俺のGmailアカウントは1度もメール消したことないし、今チェックしたら34万通貯まってたが、これから一生メールを削除することはないだろう
過去のメールやログは、何かに役立つときが来るかもしれないから念のため取っておくというのが今主流の考え方だと思う
2017/03/07(火) 18:18:03.660
ローテートで保持数指定出来るんだから、必要な分以外は無いのが普通だろ
容量の問題じゃないからメールとの比較も的外れだ
サーバ管理者には向かない性格してそうだな
容量の問題じゃないからメールとの比較も的外れだ
サーバ管理者には向かない性格してそうだな
2017/03/07(火) 18:21:21.600
実際のとこ気にする必要があるかって言われたら無いよね
2017/03/07(火) 18:42:05.040
>>877
ログを安易に消しちゃう方がサーバ管理者に向いてないよ
例えば、正常に動いているように見えて実は不具合が発生していたことに気が付いた場合(ログにもエラーが記録されていない)ようなとき、
過去にも同様の問題が発生していたのかどうかの情報が役に経つこともある
ログ全検索で、5年ぐらい前にも同じエラーが発生していたことが分かり、そっちのログがヒントになって問題が解決したこともある
ログを安易に消しちゃう方がサーバ管理者に向いてないよ
例えば、正常に動いているように見えて実は不具合が発生していたことに気が付いた場合(ログにもエラーが記録されていない)ようなとき、
過去にも同様の問題が発生していたのかどうかの情報が役に経つこともある
ログ全検索で、5年ぐらい前にも同じエラーが発生していたことが分かり、そっちのログがヒントになって問題が解決したこともある
880879
2017/03/07(火) 18:46:24.660 「ログにもエラーが記録されていない」というのはエラーログだけ随時チェックしていても気が付かないけど
生ログには問題を解決するのに役立つ情報が含まれている場合ね
今回初めて発生した問題なのか、過去に気が付かなかっただけで同じ問題が発生したことがあったのかが重要になることもあるから、
やはりログは原則削除すべきではない
例外は、WebサービスのPOSTデータの生ログなど、容量が膨大になり保管が困難な場合
勿論、役に立たないデータというわけではなく、例えば数年ぶりにログインしたユーザーからデータが損傷しているというクレームがあったとき、
数年前のPOST生ログがあれば復旧可能なこともあって役には立つわけだけど、容量が膨大になるときは保管コストが高いので消さざるを得ない
生ログには問題を解決するのに役立つ情報が含まれている場合ね
今回初めて発生した問題なのか、過去に気が付かなかっただけで同じ問題が発生したことがあったのかが重要になることもあるから、
やはりログは原則削除すべきではない
例外は、WebサービスのPOSTデータの生ログなど、容量が膨大になり保管が困難な場合
勿論、役に立たないデータというわけではなく、例えば数年ぶりにログインしたユーザーからデータが損傷しているというクレームがあったとき、
数年前のPOST生ログがあれば復旧可能なこともあって役には立つわけだけど、容量が膨大になるときは保管コストが高いので消さざるを得ない
2017/03/07(火) 20:13:22.170
certbotが吐くログに1年前がどうとかってアホかと
POSTデータの生ログで復旧するようなシステムってデータベースで設計しろよとw
保管コスト以前に膨大な量のログから異常見つけるコスト考えろって
POSTデータの生ログで復旧するようなシステムってデータベースで設計しろよとw
保管コスト以前に膨大な量のログから異常見つけるコスト考えろって
2017/03/07(火) 20:16:41.880
Let's Encryptで数年前のログが必要になると?
アホか
過去のログなんてのはいつから問題が発生していたか程度分かれば問題ない
証明書の期間が3ヶ月なんだからそれ以上は残しても無駄
アホか
過去のログなんてのはいつから問題が発生していたか程度分かれば問題ない
証明書の期間が3ヶ月なんだからそれ以上は残しても無駄
2017/03/07(火) 20:22:29.350
こんなことで怒るなよ。
仲良くしようぜ。
仲良くしようぜ。
2017/03/07(火) 20:32:04.050
>>882
> 証明書の期間が3ヶ月なんだからそれ以上は残しても無駄
いや、証明書の期間過ぎてもログは使い道あるだろ
例えば、Certbotって仕様が色々複雑でSANのエリア拡張がどれにかかるのかとか
サブドメイン列挙したときにどれがメインのドメイン名でどれがSAN扱いなのかとか
色々よくわからない点あるじゃん
過去のログとっとくと、昔ああいうコマンド打った時こういう証明書が発行されたな、とか色々わかって便利
「無駄」がどうのと言い出すのなら、1日数十キロバイト程度のログをどうするのかをいちいち考える時間が一番無駄
気にせず放置してログはそのまま保存しとけばいいだけ
ログが万が一漏えいしたときのリスクとか的外れなことは言い出すなよw
root権限でしかアクセスできないログが漏えいする時には、もっと重要な秘密鍵もとっくに漏えいしてるわw
> 証明書の期間が3ヶ月なんだからそれ以上は残しても無駄
いや、証明書の期間過ぎてもログは使い道あるだろ
例えば、Certbotって仕様が色々複雑でSANのエリア拡張がどれにかかるのかとか
サブドメイン列挙したときにどれがメインのドメイン名でどれがSAN扱いなのかとか
色々よくわからない点あるじゃん
過去のログとっとくと、昔ああいうコマンド打った時こういう証明書が発行されたな、とか色々わかって便利
「無駄」がどうのと言い出すのなら、1日数十キロバイト程度のログをどうするのかをいちいち考える時間が一番無駄
気にせず放置してログはそのまま保存しとけばいいだけ
ログが万が一漏えいしたときのリスクとか的外れなことは言い出すなよw
root権限でしかアクセスできないログが漏えいする時には、もっと重要な秘密鍵もとっくに漏えいしてるわw
885名無しさん@お腹いっぱい。
2017/03/07(火) 20:43:13.540 どうでもいいけどrootでしか弄れないログをどうこうするスクリプト書くのはコマンドミスったとき致命傷になるぞ
大した必要もないのに下らんこと気にする方がリスクが高いな
大した必要もないのに下らんこと気にする方がリスクが高いな
2017/03/07(火) 20:52:26.650
>過去のログとっとくと、昔ああいうコマンド打った時こういう証明書が発行されたな、とか色々わかって便利
メモれよ
馬鹿か
メモれよ
馬鹿か
2017/03/07(火) 21:54:42.440
過去のログなんて見る事自体ないつーの
そんなに暇なんか
そんなに暇なんか
2017/03/07(火) 22:01:19.810
証明書の更新に失敗してたとして、当日分はわかるが過去ログまで見るか?
どうせ同じエラーしか出力されていないだろうし、エラー内容ググればすぐに解決するだろ
どうせ同じエラーしか出力されていないだろうし、エラー内容ググればすぐに解決するだろ
2017/03/08(水) 19:31:52.670
鯖缶に向かない人だね
2017/03/08(水) 19:58:20.900
わけあってIPアドレス表記の証明書が欲しい…
レアすぎる要求なんだろうな。
レアすぎる要求なんだろうな。
2017/03/08(水) 23:57:20.060
有料のところでコモンネームがグローバルIPのSSL証明書とればいいんじゃね。
2017/03/12(日) 21:15:47.980
パイソン2.4でも動くようにしてくれ。
2017/03/12(日) 22:20:32.880
ほんとそれ
2017/03/12(日) 23:48:18.840
必要なら自分でフォークして作ればいいじゃないよ
そうじゃなくたって公式以外の実装はいくらでもあるのに
そうじゃなくたって公式以外の実装はいくらでもあるのに
2017/03/13(月) 00:23:37.150
python2.4とか骨董品OS使用で踏み台メーカーにしか見えない
2017/03/13(月) 05:05:51.710
しょうがねーなー
/usr/local/にpython2.6一時期入れてみるよ。
年季の入ったCentOS5管理者を舐めるなよ!
/usr/local/にpython2.6一時期入れてみるよ。
年季の入ったCentOS5管理者を舐めるなよ!
2017/03/13(月) 09:04:05.390
>>896
今月でサポート終了だよね>CentOS5
今月でサポート終了だよね>CentOS5
2017/03/13(月) 12:28:25.500
べつ
2017/03/13(月) 12:29:16.820
別に自分で管理できるからいいよ。
さい
さい
2017/03/13(月) 12:30:08.350
最急的にrpmほとんどなくなっちゃうかも。
2017/03/13(月) 14:55:39.140
落ち着けよw
2017/03/13(月) 19:40:35.570
2017/03/13(月) 20:44:05.330
kernelは2.6でかなり完成されてて、
内部に自分以外のログインユーザーがいたりしなきゃ問題ない。
kernelより上のサーバー周りはほとんどソースからビルドしてるし。
CentOSといいつつ、その機能はほとんど使ってない…
内部に自分以外のログインユーザーがいたりしなきゃ問題ない。
kernelより上のサーバー周りはほとんどソースからビルドしてるし。
CentOSといいつつ、その機能はほとんど使ってない…
2017/03/13(月) 23:33:48.300
スタンドアローンならそれでいいんじゃない
2017/03/14(火) 00:42:27.070
Slackware
2017/03/18(土) 08:33:12.300
FTPサーバーに入れたんだけど
ffftp ではオレオレ証明と同じ扱いになる。
3ヶ月で証明書は変わるし使えないって事?
ffftp ではオレオレ証明と同じ扱いになる。
3ヶ月で証明書は変わるし使えないって事?
2017/03/18(土) 11:00:52.110
そもそもなぜSFTPではなくFTPSに行こうとするのかが目が見えてるのかなと思わされるくらい
2017/03/18(土) 16:44:51.220
>>907
じゃ sftp でも良いからあらかじめ証明書をダウンロードなどしないで本当に相手なのか確認できる方法があるの。
じゃ sftp でも良いからあらかじめ証明書をダウンロードなどしないで本当に相手なのか確認できる方法があるの。
2017/03/18(土) 17:46:29.230
IPで繋いで信用できないなら話にならないだろJK
2017/03/18(土) 22:47:49.010
最近の素人はこのレベルなのか…
2017/03/19(日) 02:23:05.700
・SFTP じゃなくて FTPS (File Transfer Protocol over SSL/TLS) を使ってる?
・FTPSクライアントのホスト名にはIPアドレスじゃなくて、ドメイン名で入れてる?
Let's Encrypt は IPアドレス に対する証明書じゃないのでIP入力ならオレオレ扱いになるのは当然
・FFFTPがFTPS対応かはつかってないので知らんけど、仮に対応だとしても小規模のフリーソフトレベルのソフトが
Mozillaのように独自の証明書ストアを持っているとは思えない
Chromeとかと同じようにOSの証明書ストア(IEとかEdgeと共通)を使ってると考えるのが自然
ってことでLet's の証明書でエラーでるならベリサインとかシマンテックとかジオトラストの証明書でも
同じエラーが出ると思う
・FTPSクライアントのホスト名にはIPアドレスじゃなくて、ドメイン名で入れてる?
Let's Encrypt は IPアドレス に対する証明書じゃないのでIP入力ならオレオレ扱いになるのは当然
・FFFTPがFTPS対応かはつかってないので知らんけど、仮に対応だとしても小規模のフリーソフトレベルのソフトが
Mozillaのように独自の証明書ストアを持っているとは思えない
Chromeとかと同じようにOSの証明書ストア(IEとかEdgeと共通)を使ってると考えるのが自然
ってことでLet's の証明書でエラーでるならベリサインとかシマンテックとかジオトラストの証明書でも
同じエラーが出ると思う
2017/03/19(日) 15:06:24.990
>>909
それを言ったらhttpsでもIPでアドレスでつなげばオレオレで良いって話じゃないか。
それを言ったらhttpsでもIPでアドレスでつなげばオレオレで良いって話じゃないか。
2017/03/19(日) 17:14:55.260
安全性の話ならipアドレスが信用できないなら証明書があろうとあまり意味ないし
ブラウザの警告の話なら確かに出るけど
そもそもどうしたいの?
ただ警告消したいの?
ブラウザの警告の話なら確かに出るけど
そもそもどうしたいの?
ただ警告消したいの?
2017/03/20(月) 10:05:21.290
そもそもSSLってのはパケットやURIの暗号化もあるけど、DNSやドメインが乗っ取られたとしても検知して証明書に記載された正しいIPホストへの接続を保障するものであってIPアドレスそのものに付けても意味ないだろ
2017/03/20(月) 11:29:49.360
DNS乗っ取り前提だとLet's Encryptの証明性はゴミ以下だぞ
2017/03/20(月) 15:28:47.960
>>915
その通りだな
証明書を新規取得時に、下記の3つを全て確認してくるEV証明書こそまともな証明書だよ
・登記全部事項証明書(登記簿謄本)の原本の確認
・帝国データバンクの情報の確認
・タウンページ記載の電話番号への架電
Let's Encrypt をはじめとした各種DV証明書はほんとゴミ
認証作業が機械化されている DV証明書で金をとる糞業者は滅びるべき
DVは「平文」で通信されるDNSとか、「平文」のHTTPに認証用ファイルを乗せるとかを担保にしているので、
信頼性が全くない
その通りだな
証明書を新規取得時に、下記の3つを全て確認してくるEV証明書こそまともな証明書だよ
・登記全部事項証明書(登記簿謄本)の原本の確認
・帝国データバンクの情報の確認
・タウンページ記載の電話番号への架電
Let's Encrypt をはじめとした各種DV証明書はほんとゴミ
認証作業が機械化されている DV証明書で金をとる糞業者は滅びるべき
DVは「平文」で通信されるDNSとか、「平文」のHTTPに認証用ファイルを乗せるとかを担保にしているので、
信頼性が全くない
2017/03/22(水) 12:29:35.770
918名無しさん@お腹いっぱい。
2017/03/29(水) 18:05:05.090 Symantec発行のSSL/TLS証明書、Google Chromeで段階的な期限短縮案
http://internet.watch.impress.co.jp/docs/news/1051510.html
https://security.srad.jp/story/17/03/26/064241/
「Chrome 64で279日以内の証明書しか受け入れないようにするとの提案を行った」模様
GeoTrust、Thawte、Verisign、Equifax も Symantec
使っている人が多い RapidSSL も GeoTrust なので、Symantec発行の証明書扱い
Google Chrome だと、大手認証局の証明書の有効期間も約9か月までに制限されそうなので、
自動更新が容易な Let's Encrypt の方が有利になるな
有償の証明書よりも利便性が高まるという皮肉な事態
http://internet.watch.impress.co.jp/docs/news/1051510.html
https://security.srad.jp/story/17/03/26/064241/
「Chrome 64で279日以内の証明書しか受け入れないようにするとの提案を行った」模様
GeoTrust、Thawte、Verisign、Equifax も Symantec
使っている人が多い RapidSSL も GeoTrust なので、Symantec発行の証明書扱い
Google Chrome だと、大手認証局の証明書の有効期間も約9か月までに制限されそうなので、
自動更新が容易な Let's Encrypt の方が有利になるな
有償の証明書よりも利便性が高まるという皮肉な事態
2017/03/29(水) 18:37:35.720
Let'sEncryptはある意味Googleの身内みたいなもんだし
920ich1
2017/04/01(土) 14:49:25.730 https://goo.gl/8by4rX
これは嫌だなー。。本当なの?
これは嫌だなー。。本当なの?
2017/04/09(日) 08:16:35.020
自宅鯖にこれ入れて泥タブで見ると「証明書が見つかりません」とか出てだめなんだけど、
なんでかわかりますか?
Windowsのクロムでみるとちゃんとアドレスが緑になってくれるのに。
もし入れるとしたら、何をどう入れれば
なんでかわかりますか?
Windowsのクロムでみるとちゃんとアドレスが緑になってくれるのに。
もし入れるとしたら、何をどう入れれば
2017/04/09(日) 10:03:19.230
国産の化石タブは窓から投げ捨てるに限る
2017/04/09(日) 10:09:02.650
「キャンセル」押してしばらく放っておいたら見れるようになった。
なんかわからんけど解決。
なんかわからんけど解決。
2017/04/09(日) 23:25:55.060
ページキャッシュしてただけじゃね?
2017/04/10(月) 23:58:40.250
ダメなのはその端末で最初に表示するときだから、キャッシュはないはずなんだよね
危険の警告じゃなくて、証明書インストールしますか?というダイアログが出る
端末は去年買った3台とも。
危険の警告じゃなくて、証明書インストールしますか?というダイアログが出る
端末は去年買った3台とも。
2017/04/11(火) 02:14:38.680
真面目に解決する気があるならそれなりの書き込みをしろよ
ここはお前の日記帳じゃない
ここはお前の日記帳じゃない
2017/04/11(火) 07:10:58.990
情報がないなら別に書き込まなくていい
2017/04/11(火) 09:06:39.670
単にサーバー証明書と秘密鍵だけ指定して、中間証明書(chain)指定し忘れてるとかいうオチかと。
2017/04/11(火) 09:59:45.000
だな
2017/04/11(火) 12:12:55.700
921はIISなのですが、証明書の発行とインストール(letsencrypt-win-simple.V1.9.3で自動)
をやり直して、現在はエラーが出ていません。
中間証明書は自動でインストールされる xxx.xxxxx.com-all.pfx に含まれているのでしょうか。
.pemのほうはいくつか生成されていて、-chainというやつがそれっぽいですが、.pfxは一個しか
ないけれど、上のファイルとほぼ同じ大きさのファイル。
をやり直して、現在はエラーが出ていません。
中間証明書は自動でインストールされる xxx.xxxxx.com-all.pfx に含まれているのでしょうか。
.pemのほうはいくつか生成されていて、-chainというやつがそれっぽいですが、.pfxは一個しか
ないけれど、上のファイルとほぼ同じ大きさのファイル。
2017/05/15(月) 07:35:27.640
毎日 cron で動いている certbot が下記のエラー。
An unexpected error occurred:
AttributeError: 'tuple' object has no attribute 'add'
Please see the logfile 'certbot.log' for more details.
指示に従って、certbot.log なんかを見たりして、ググったところ
py-configargparse
が、11 だと certbot は動くけど、12 になるとエラーとなることが分かった。
調べると、確かに昨日 12 にアップデートしてたので、とりあえず、11に戻したら
動くようになった。
まぁ、certbot 側か configargparse 側のどちらか(あるいは両方)が近いうちに対処すると思うけど
とりあえず、これで1時間ほど使ったので、メモ代わりに残しておこうw
An unexpected error occurred:
AttributeError: 'tuple' object has no attribute 'add'
Please see the logfile 'certbot.log' for more details.
指示に従って、certbot.log なんかを見たりして、ググったところ
py-configargparse
が、11 だと certbot は動くけど、12 になるとエラーとなることが分かった。
調べると、確かに昨日 12 にアップデートしてたので、とりあえず、11に戻したら
動くようになった。
まぁ、certbot 側か configargparse 側のどちらか(あるいは両方)が近いうちに対処すると思うけど
とりあえず、これで1時間ほど使ったので、メモ代わりに残しておこうw
2017/06/28(水) 09:07:51.360
ここ生きてますか?
2017/06/28(水) 10:13:21.690
は
2017/06/28(水) 12:59:14.590
何も無いって事は、問題ないって事の証でしたかw
2017/07/11(火) 07:09:39.570
ワイルドカードの証明書が発行できるようになるっぽい
2017/07/11(火) 09:49:11.030
2017/07/12(水) 11:41:49.710
まじか
これでサブドメイン毎に証明書を分けなくても、
証明書から他のサブドメインがバレるって事はなくなるな
これでサブドメイン毎に証明書を分けなくても、
証明書から他のサブドメインがバレるって事はなくなるな
2017/07/14(金) 23:05:26.530
でもどうやって申請者の正当性を確かめるんだろう
今みたいな「そのドメインを管理している証明」の方式が使えるのだろうか。
あるドメインでアクセスできる場所に申請者がミシルシを置けるなら、そのサブドメインは
どれでもOKみたいな?
今みたいな「そのドメインを管理している証明」の方式が使えるのだろうか。
あるドメインでアクセスできる場所に申請者がミシルシを置けるなら、そのサブドメインは
どれでもOKみたいな?
2017/07/14(金) 23:14:24.380
hoge.tdlが承認できれば*.hoge.tdlもおkじゃ無いのか?
2017/07/15(土) 12:41:20.330
*.example.comが登録できるだけで
*.sub.example.comが登録できるわけではないだろ
*.sub.example.comが登録できるわけではないだろ
2017/07/15(土) 12:42:48.070
ワイルドカードってそういうもの?
2017/07/15(土) 12:57:00.200
>>941
少なくともSSLのワイルドカードの扱いはそういうものです。
少なくともSSLのワイルドカードの扱いはそういうものです。
2017/07/15(土) 13:06:12.880
有料でやってる所はDVがなくなってOV、EVになるだろうな
2017/07/15(土) 13:24:03.380
>>942
なるほど、じゃあワイルドカードキターって人はそこまで多くなさそう
なるほど、じゃあワイルドカードキターって人はそこまで多くなさそう
2017/07/15(土) 13:53:37.250
2017/07/15(土) 15:39:24.770
2017/07/15(土) 16:05:38.030
2017/07/15(土) 16:06:52.480
馬鹿にわざわざ説明してまで使っていただく必要はございませぬ
2017/07/15(土) 16:22:55.440
2017/07/15(土) 21:39:46.500
少数派なのは間違いないだろうな
951名無しさん@お腹いっぱい。
2017/08/04(金) 15:23:49.330 そうだな
2017/08/06(日) 00:53:10.280
メジャースポンサーの中に日本の企業も入ったな
2017/08/22(火) 14:42:15.780
証明書の有効期限が物凄く短くて
Rootで動くクライアントソフトを定期的に回さないといけない仕様ぽいんだけど
ほんとに、こいつ信用しちゃって大丈夫なん?
やや怖い
Rootで動くクライアントソフトを定期的に回さないといけない仕様ぽいんだけど
ほんとに、こいつ信用しちゃって大丈夫なん?
やや怖い
2017/08/22(火) 14:49:12.050
インターネットの権利を守る非営利では一番歴史と実績の多い電子フロンティア財団を信用するか否かってところやな
2017/08/22(火) 15:04:40.610
CSRを送信したら1年か2年分のCRTが戻ってくる
っていうシンプルな仕組みにしなかった理由が知りたいところ
っていうシンプルな仕組みにしなかった理由が知りたいところ
2017/08/22(火) 15:34:03.420
セキュリティリスクは放置されているか否かが割と重要
2017/08/22(火) 19:48:35.560
>>955
クズがサイト作って放置するからだよ
クズがサイト作って放置するからだよ
2017/08/23(水) 12:00:18.070
でもcertbot入れたらcron回してるだけで放置しても更新されるんだよな
2017/08/23(水) 12:59:40.540
固定IPアドレス割り当てのプロバイダのドメイン名の証明書も取得してたのだがエラーで更新できなくなった。
1ドメインあたりの数の制限ではなく、Googleのunsafeドメインに引っかかってるのかな。
The client lacks sufficient authorization :: Error creating new authz :: "xxx.example.jp" was considered an unsafe domain by a third-party API. Skipping.
1ドメインあたりの数の制限ではなく、Googleのunsafeドメインに引っかかってるのかな。
The client lacks sufficient authorization :: Error creating new authz :: "xxx.example.jp" was considered an unsafe domain by a third-party API. Skipping.
960名無しさん@お腹いっぱい。
2017/08/24(木) 22:20:16.110 >>959
悪意あるサイトだと判明したらcert revoke できるから
悪意あるサイトだと判明したらcert revoke できるから
2017/09/23(土) 04:42:10.890
そろそろ、次スレ、誰か作って。
2017/09/23(土) 07:45:19.800
2017/09/23(土) 13:39:01.810
何も起こらない……?
更新スクリプトテストしていたときは普通に変わったよ。
長いこと放置している(自動更新させている)間に仕様変わったのか、
そもそも使っているスクリプトが違うのか。
更新スクリプトテストしていたときは普通に変わったよ。
長いこと放置している(自動更新させている)間に仕様変わったのか、
そもそも使っているスクリプトが違うのか。
2017/09/23(土) 22:53:02.570
仕様変わったよ
期限近くないと何もしない
期限近くないと何もしない
2017/09/25(月) 09:49:17.390
近くってどれくらいなん?
2017/09/27(水) 06:33:48.440
>> 965
9月に更新の奴、
Your certificate (or certificates) for the names listed below will expire in 19 days
って注意喚起メールが来てたから、20日位なんじゃないかな?
9月に更新の奴、
Your certificate (or certificates) for the names listed below will expire in 19 days
って注意喚起メールが来てたから、20日位なんじゃないかな?
2017/09/27(水) 12:17:01.390
Windowsのバッチ、renewalで動かなくない?
IISのサーバー証明書が更新されず…
結局、手動で更新したけど、この先不安だなぁ
IISのサーバー証明書が更新されず…
結局、手動で更新したけど、この先不安だなぁ
2017/09/29(金) 07:51:51.200
動かないね。 まあメールが来たらこれ打てばいいだけだから、困ってはいないけど。
letsencrypt.exe --accepttos --manualhost host.example.com --webroot C:\wwwroot
letsencrypt.exe --accepttos --manualhost host.example.com --webroot C:\wwwroot
2017/09/29(金) 21:12:11.540
2017/09/29(金) 23:37:37.180
WSLでできんの?
2017/10/01(日) 20:04:25.020
SSL化したら画像の読み込みが遅くなりました
サーバーはHTTP/2に対応していて、遅くなるのはネット回線が混雑する時間帯だけSSLだとしょうがないものでしょうか?
サーバーはHTTP/2に対応していて、遅くなるのはネット回線が混雑する時間帯だけSSLだとしょうがないものでしょうか?
2017/10/01(日) 21:46:43.220
遅くなったと言うのは具体的にはどの程度
明確な数値でお願いします
明確な数値でお願いします
2017/10/01(日) 22:56:49.480
>>972
レスありがとうございます
画像20枚程度1.3MBのページでテスト
httpだと1.5秒、httpsだと3〜4秒くらいの読み込み
夜の回線が混雑する時間帯以外は両方とも1.5秒程度です
chromeのツールだと画像のcontent downloadというところが速度低下の原因のようです
レスありがとうございます
画像20枚程度1.3MBのページでテスト
httpだと1.5秒、httpsだと3〜4秒くらいの読み込み
夜の回線が混雑する時間帯以外は両方とも1.5秒程度です
chromeのツールだと画像のcontent downloadというところが速度低下の原因のようです
2017/10/01(日) 23:03:39.580
>>972
すいません訂正です
混雑する時間帯は
httpだと2秒、httpsだと3〜4秒くらいの読み込みでした
httpでも多少遅くなりますが、httpsの方が回線の影響を受けやすいようです
申し訳ないです
すいません訂正です
混雑する時間帯は
httpだと2秒、httpsだと3〜4秒くらいの読み込みでした
httpでも多少遅くなりますが、httpsの方が回線の影響を受けやすいようです
申し訳ないです
2017/10/01(日) 23:37:08.930
それは回線というより鯖に詰め込みすぎでCPU負荷かかってるんじゃないの?
SSLは一応CPU食うからね
SSLは一応CPU食うからね
2017/10/02(月) 00:13:58.480
>>975
ありがとうございます
サーバーはそれなりのスペックなんで大丈夫だと思います(たぶん)
色々調べたところHTTP/2が原因のようでした
非対応のブラウザだとSSLでも速度低下はみられませんでした
ありがとうございます
サーバーはそれなりのスペックなんで大丈夫だと思います(たぶん)
色々調べたところHTTP/2が原因のようでした
非対応のブラウザだとSSLでも速度低下はみられませんでした
977名無しさん@お腹いっぱい。
2017/10/02(月) 12:23:01.820 作りが酷いウェブアプリ(結果の返答に長時間かかる処理を非同期ではなく同期でロードさせるとか)
だとそれに引っ張られて読み込みがロックされてしばらく画面真っ白になることはある。
ワイルドカード証明書使ってると他のサブドメインにも波及するので怖い。
Let's Encrypt では無縁だけど。
だとそれに引っ張られて読み込みがロックされてしばらく画面真っ白になることはある。
ワイルドカード証明書使ってると他のサブドメインにも波及するので怖い。
Let's Encrypt では無縁だけど。
2017/10/02(月) 12:56:05.020
>>977
来年 1 月から Let's Encrypt もワイルドカードの証明書発行するっしょ
来年 1 月から Let's Encrypt もワイルドカードの証明書発行するっしょ
2017/10/16(月) 07:10:26.630
ssl通信初心者です
・サーバ側はIISを利用、クライアント側はcURLを利用
・サーバ側で自己署名証明書を作成してFTPにバインドした
・FTPS通信をクライアントPCからやってみたら警告さえ無視したら(証明書の不正に関する)暗号化もできた通信ができている
この警告を無くすために次の手段としてはこのレッツエンクリプトを導入になるのかな?
公的な機関でなくて良いので(閉じたネットワーク上なため)、この警告をなくす方法を知りたいです
そもそもIISに何かしら(pem?cer?pfx)発行させてクライアントpcにファイルを持っていく必要はない??
勉強してた限りだとサーバが発行する証明書が真であると判断するために、
何かしらクライアントpcに取り込まなくてはいけないのかな?と思っていたので
何もクライアントに取り込まずに出来ていて戸惑ってます
・サーバ側はIISを利用、クライアント側はcURLを利用
・サーバ側で自己署名証明書を作成してFTPにバインドした
・FTPS通信をクライアントPCからやってみたら警告さえ無視したら(証明書の不正に関する)暗号化もできた通信ができている
この警告を無くすために次の手段としてはこのレッツエンクリプトを導入になるのかな?
公的な機関でなくて良いので(閉じたネットワーク上なため)、この警告をなくす方法を知りたいです
そもそもIISに何かしら(pem?cer?pfx)発行させてクライアントpcにファイルを持っていく必要はない??
勉強してた限りだとサーバが発行する証明書が真であると判断するために、
何かしらクライアントpcに取り込まなくてはいけないのかな?と思っていたので
何もクライアントに取り込まずに出来ていて戸惑ってます
2017/10/16(月) 14:23:36.680
>>979
CA証明書がクライアントPCの信頼されたルート証明機関にあれば、そのCAが発行した証明書で警告が出ない
これが基本
自己署名なら自分のCA証明書をクライアントに入れればいい
Let's Encryptはdomain validationだから閉じたネットワークに使うものではない
したがってスレチ
CA証明書がクライアントPCの信頼されたルート証明機関にあれば、そのCAが発行した証明書で警告が出ない
これが基本
自己署名なら自分のCA証明書をクライアントに入れればいい
Let's Encryptはdomain validationだから閉じたネットワークに使うものではない
したがってスレチ
2017/10/16(月) 16:27:12.390
>>979
IISの鯖に証明機関サービス入れてIISのサーバで署名して
そこのCA証明書を信頼させればいいし
台数多くてActiveDirectry入れてるならポリシーに信頼する項目入れりゃいい
Let's Encrypt利用するなら一時的にでも外向きにドメインとサーバ設定して
証明書貰うのが楽だけど90日ごとにそれやらんとならんよ
IISの鯖に証明機関サービス入れてIISのサーバで署名して
そこのCA証明書を信頼させればいいし
台数多くてActiveDirectry入れてるならポリシーに信頼する項目入れりゃいい
Let's Encrypt利用するなら一時的にでも外向きにドメインとサーバ設定して
証明書貰うのが楽だけど90日ごとにそれやらんとならんよ
2017/10/16(月) 16:35:11.100
IPv4でLet's Encryptの証明書をとって、東西NTTのNGNのIPv6網上で使うことは可能だった。
IPv6でインターネット繋がってなくても、東同士、西同士だったら通信できる。
IPv6でインターネット繋がってなくても、東同士、西同士だったら通信できる。
2017/10/16(月) 16:53:15.920
プライベートIPを指すホスト名用に Let's Encrypt って取得時毎に IP をグローバルにするか
ローカル用にDNS立てないと無理かね。 ワイルドカードの発行が始まれば解決ではあるんだけど
>981 Let's Encrypt って CA証明書用の発行してくれるっけ? オレオレをローカルにばら撒けという話かな?
ローカル用にDNS立てないと無理かね。 ワイルドカードの発行が始まれば解決ではあるんだけど
>981 Let's Encrypt って CA証明書用の発行してくれるっけ? オレオレをローカルにばら撒けという話かな?
2017/10/16(月) 18:19:07.730
2017/10/17(火) 00:40:33.560
んなことしなくてもそのドメインインターネットに繋がってる別の鯖に向けといて証明書取ってそれをコピーしてくるだけでいいじゃん
2017/10/17(火) 01:12:53.160
そんなトリッキーな使い方するなら素直に金払った方がいいと思うよ
2017/10/17(火) 06:23:00.960
オレオレをインストールしまくるより、鯖の証明書移動するほうが楽な気がする。
クライアントを触らないでいいからね
クライアントを触らないでいいからね
2017/10/17(火) 17:47:41.990
鯖の証明書ってオレオレのこといってんだとおもってたけど違うのか?
2017/10/17(火) 17:48:27.270
外に繋がってないローカルpcにSSL通信させたいけどこれって無理?第三機関に繋がらないよね?
2017/10/17(火) 20:16:52.810
2017/10/17(火) 21:59:34.680
閉じたローカルネット上のPCとサーバとの間の経路に通信内容を盗聴しようとする何かがいたりするのか?
2017/10/17(火) 22:19:06.410
LAN内だから生で流していいとかあり得んから
2017/10/17(火) 22:48:49.040
>>989
外の定義が微妙だけど、俺俺じゃだめなのか?
外の定義が微妙だけど、俺俺じゃだめなのか?
2017/10/17(火) 23:56:42.950
>>992
これ
これ
2017/10/18(水) 00:43:32.330
>>1
長すぎる気がするんだが次スレ立てるとき適当に削っていいよな?
長すぎる気がするんだが次スレ立てるとき適当に削っていいよな?
2017/10/18(水) 01:15:30.520
いいんじゃね
2017/10/18(水) 10:46:25.620
無料SSL/TLS証明書 Let's Encrypt Part2
http://mevius.2ch.net/test/read.cgi/hosting/1508291164/
http://mevius.2ch.net/test/read.cgi/hosting/1508291164/
2017/10/19(木) 04:01:29.960
>>997
スレ立て乙
スレ立て乙
2017/10/19(木) 07:31:43.640
埋め
1000名無しさん@お腹いっぱい。
2017/10/19(木) 10:53:54.020 質問いいですか?
10011001
Over 1000Thread このスレッドは1000を超えました。
新しいスレッドを立ててください。
life time: 688日 16時間 52分 39秒
新しいスレッドを立ててください。
life time: 688日 16時間 52分 39秒
10021002
Over 1000Thread 5ちゃんねるの運営はプレミアム会員の皆さまに支えられています。
運営にご協力お願いいたします。
───────────────────
《プレミアム会員の主な特典》
★ 5ちゃんねる専用ブラウザからの広告除去
★ 5ちゃんねるの過去ログを取得
★ 書き込み規制の緩和
───────────────────
会員登録には個人情報は一切必要ありません。
月300円から匿名でご購入いただけます。
▼ プレミアム会員登録はこちら ▼
https://premium.5ch.net/
▼ 浪人ログインはこちら ▼
https://login.5ch.net/login.php
運営にご協力お願いいたします。
───────────────────
《プレミアム会員の主な特典》
★ 5ちゃんねる専用ブラウザからの広告除去
★ 5ちゃんねるの過去ログを取得
★ 書き込み規制の緩和
───────────────────
会員登録には個人情報は一切必要ありません。
月300円から匿名でご購入いただけます。
▼ プレミアム会員登録はこちら ▼
https://premium.5ch.net/
▼ 浪人ログインはこちら ▼
https://login.5ch.net/login.php
レス数が1000を超えています。これ以上書き込みはできません。
ニュース
- なぜ?「就職氷河期世代」への支援続々…石破首相が“就労支援”など3本柱の対策を指示するなど各党が発表 [煮卵★]
- 【テレビ】 永野芽郁&田中圭の不倫報道をワイドショーが『全スルー』に募るネットの違和感 「広末の不倫はあんなにやったのに」★3 [冬月記者★]
- 大阪・関西万博 開幕13日目の来場者は10万7000人 (うち関係者1万8000人) GW初日のゲート前には長蛇の列 [少考さん★]
- 玉川徹氏「やっと変わる」 自転車の反則金が来年から開始 『ながら運転』1.2万円、『傘差し、イヤホン』5000円、『2人乗り』3000円★2 [冬月記者★]
- 日産が武漢工場撤退へ、中国拠点も稼働率1割未満 [蚤の市★]
- 【芸能】壇蜜がさすまた≠購入 犯人と格闘想定に大竹まこと呆れ「というか、逃げろよ」 [ネギうどん★]
- 【超絶悲報】ディープステート企業Apple、アメリカ向けiPhoneは中国からインドへ生産移管の方針。関税で産業復活とはなんだったのか [519511584]
- 🏡
- 👊😅👊甲羅剥がす時にキィーって鳴いてたわ🐢🏡
- トランプ「ドル安・輸出増・インフレ抑制・利下げを同時に達成しろ」できるの🤔 [118990258]
- 中国製の「おもちゃの拳銃」、本物のコピー品で実弾発射ができると判明し警察が日本人に購入しないよう呼びかけ [249548894]
- 【訃報】万博でついに死者が出てしまう [748563222]