無料SSL/TLS証明書 Let's Encrypt Part2

1名無しさん@お腹いっぱい。2017/10/18(水) 10:46:04.560
無料の SSL/TLS 証明書Let's Encryptのスレです

【Let's Encrypt 公式サイト】(英語)
https://letsencrypt.org/

【Let's Encrypt 公式Twitter】(英語による最新情報)
https://twitter.com/letsencrypt

【Let's Encrypt 総合ポータル】(日本語)
https://letsencrypt.jp/

【Let's Encrypt 導入方法】(日本語)
https://letsencrypt.jp/usage/

前スレ
【全ブラウザ対応】 無料SSL/TLS Let's Encrypt
http://mevius.2ch.net/test/read.cgi/hosting/1448874075/

2名無しさん@お腹いっぱい。2017/10/18(水) 11:38:28.310
一乙

3名無しさん@お腹いっぱい。2017/10/18(水) 11:45:45.100
https://letsencrypt.org/2017/07/06/wildcard-certificates-coming-jan-2018.html
ワイルドカード証明書の発行はは2018年1月に開始予定

4名無しさん@お腹いっぱい。2017/10/18(水) 11:45:47.210
いちおつ

5名無しさん@お腹いっぱい。2017/10/18(水) 12:55:16.750
おっつ

6名無しさん@お腹いっぱい。2017/10/19(木) 04:01:04.030
いちおつ

7名無しさん@お腹いっぱい。2017/10/21(土) 20:22:41.940
Let’s Encryptの証明書って自動更新ですよね?
突然アクセスしている全PCで、
不明な証明書というダイアログが表示されました。
一旦証明書を削除してつくりなおそうとしたら、
サーバの調子が悪くなりました。

なんかの拍子に自動更新が失敗した時は、
どうすべきだったのですか?

8名無しさん@お腹いっぱい。2017/10/21(土) 20:27:39.860
自動で更新する方法を自分で設定してなきゃ期限切れるさ
アホじゃなかろうか

9名無しさん@お腹いっぱい。2017/10/21(土) 20:57:27.610
アホの相手しなきゃいいのに

10名無しさん@お腹いっぱい。2017/10/21(土) 21:10:01.170
>>7
certbotをパッケージでインストールしてればcronで日2回動くようになってる。まずその点を確認しなよ
何かの拍子どころかそもそも自動更新されるように設定できてないんじゃね?
削除もちゃんとcertbot deleteしたのか、勝手にディレクトリごと削除したのか?
具体的に何をどうしたのか言わないとダメだよ
できないようなら、あなたは向いてないからレン鯖でも借りてなさい

11名無しさん@お腹いっぱい。2017/10/21(土) 22:49:12.030
>>10
Plesk使っててその中にLet’s encryptがありました。
そのUI上に更新の設定はなく、
基本自動更新される物だと思ってました。

証明書はPleskの画面から、
証明書を削除しました。

12名無しさん@お腹いっぱい。2017/10/22(日) 02:15:14.550
> 基本自動更新される物だと思ってました。
もうさWebサイトとかやめた方が良い

13名無しさん@お腹いっぱい。2017/10/22(日) 05:16:33.870
証明書削除する前に無効化処理してないと、再作成の際にアラートがでる。
サードパーティの自動化処理だとそこで蹴られたりするかもな

>>7
> サーバの調子が悪くなりました。
具体的に

サーバは決められた手順と指示のあったコマンドの通りに動いてるのにな
間違った指示を出している管理側に致命的な問題がある

16名無しさん@お腹いっぱい。2017/10/23(月) 11:03:11.820
証明書が自動更新されていたとしてもサーバが食ってないと意味がない。
証明書が更新されたら、サーバの設定をreloadしてやることを忘れてはいけない。

17名無しさん@お腹いっぱい。2017/10/23(月) 16:16:24.800
それを気にしなきゃいけないのはマニュアルな人だけかと

自動化スクリプトやコマンドオプションに大抵のサーバの再起動まで当たり前に入ってる

18名無しさん@お腹いっぱい。2017/10/23(月) 20:03:22.290
サービスの再起動じゃないのか
恐ろしいな

19名無しさん@お腹いっぱい。2017/10/23(月) 20:32:13.450
文脈からしてwebサーバーの再起動としか読めないが

20名無しさん@お腹いっぱい。2017/10/23(月) 20:58:07.350
CentOS で systemd だとこれ cron でまわしときゃいい
MTA 周りでも使ってるから一緒に restart しとる。
certbot renew --post-hook "systemctl restart nginx dovecot postfix" --quiet

21名無しさん@お腹いっぱい。2017/10/23(月) 23:04:19.590
一時的な無反応を発生させない warm restart であるべきだから reload 推奨

22名無しさん@お腹いっぱい。2017/10/24(火) 07:40:16.020
>>21
あまり気にかけてなかったけど指摘されたら気になったので念のため挙動確認してから reload に変えておいた。
thx デス!

23名無しさん@お腹いっぱい。2017/10/26(木) 14:13:52.000
バッチで自動更新仕掛けててもなんだかんだの理由でしょっちゅうコケてて駄目だなこれ
安定する方法ないのか

24名無しさん@お腹いっぱい。2017/10/26(木) 22:00:55.820
馬鹿ですって宣言しに来なくてもいいから

25名無しさん@お腹いっぱい。2017/10/26(木) 23:55:50.780
まったくだ
コケるなら頻度あげればいいだけの話

26名無しさん@お腹いっぱい。2017/10/27(金) 14:14:58.260
5週間前から更新されたはずだから1週間に1回しかけておけば5週連続失敗なんてことでもなけれりゃ

27名無しさん@お腹いっぱい。2017/10/27(金) 23:30:20.980
むしろログ見てなんで失敗したかによって原因を排除もできないのか?
Webサーバ公開なんてやめた方が良いぞ、それじゃ

28名無しさん@お腹いっぱい。2017/10/30(月) 10:46:02.950
殺伐としてもしょうがないんだけど、ちょっと省みた方がいいよね。
システムが悪いんじゃなくて使い方に問題がありますよって話で。

29名無しさん@お腹いっぱい。2017/11/08(水) 09:21:34.590
個人独自ドメインなので、多少の弊害があってもいいやってんで

certbot renew --quiet --post-hook "reboot"

という設定を cron で動かしています。

本当は Web サーバーやその他必要なプロセスを再読み込みするのが正しいやり方なんだろうと思いますが
これによって、致命的な弊害の可能性ありますでしょうか?

偉い人、教えて下さい。

30名無しさん@お腹いっぱい。2017/11/08(水) 09:57:24.340
てめえの鯖のことなんてわかるわけねえだろバーカ

31名無しさん@お腹いっぱい。2017/11/08(水) 11:51:20.800
そういう質問するレベルだと
たまにfsck走って上がってくるまで時間かかりダウンタイムが長くなる弊害もありそうだな

32名無しさん@お腹いっぱい。2017/11/08(水) 13:16:01.190
1リクエストたりとも取りこぼしが許されないウォームリスタートに数十万年の投資するような必要がなければ、
2か月ちょいに一度、時間指定できる1分程度の停止が発生してても気にスンナ
毎日リブートかけてるような運用してる業者もゴロゴロだ

33名無しさん@お腹いっぱい。2017/11/09(木) 10:25:54.550
勝手に録画が中断されたら困るからrebootはチューナーの使用状況を確認して実行しないとな。

34名無しさん@お腹いっぱい。2017/11/14(火) 09:39:51.960
スレチだと思うのですが、教えて下さい。エロい人

http でアクセスしてきたら https にリダイレクトしているんですが、

例えば、

http://www.exsample.com?id=xxx&pass=xxx

ってアクセスがが来た時、id や pass はちゃんと暗号化されていますか?

35名無しさん@お腹いっぱい。2017/11/14(火) 09:53:34.380
スレチ

36名無しさん@お腹いっぱい。2017/11/14(火) 10:16:05.050
>>34
されていますん。
気になるならパケットキャプチャして目で見て確認。

37名無しさん@お腹いっぱい。2017/11/14(火) 19:07:55.780
されてるわけないじゃん

38名無しさん@お腹いっぱい。2017/11/14(火) 19:42:23.020
クライアント「http://www.example.com/id=xxx&pass=xxxにアクセスするぞ!」
クライアント→サーバー(http)「www.example.comのサーバーさん、/id=xxx&pass=xxxをGETしたいです」 ←ココでhttp平文通信で要求パスが送られる
サーバー→クライアント(http)「そのページはこっちにあんねん つhttps://www.example.com/id=xxx&pass=xxx」 ←ここも当然http
クライアント「https://www.example.com/id=xxx&pass=xxxにリダイレクトだ!」
クライアント→サーバー(https)「www.example.comのサーバーさん、/id=xxx&pass=xxxをGETしたいです」
サーバー→クライアント(https)「おっけー、HTMLおくるよー」

普通に考えてhttpsにリダイレクトされる前にhttp通信してるじゃん
そこで平文で流れてるじゃん

39名無しさん@お腹いっぱい。2017/11/15(水) 09:32:12.740
要求を送る前にログインページがあって、HSTSヘッダを受け取っていた場合は、
次の要求はHTTPにリクエストせずHTTPSになり暗号化される、とも考えられる。
つまりこれだけの情報でははっきりした回答は出来ない、設定次第でYesにもNoにもなりうる。

40名無しさん@お腹いっぱい。2017/11/15(水) 14:16:22.670
>>39
>>34の例だとすでにhttpでGETしているのだから、あなたが考えた「場合」に該当しないことは明らか
というかスレチ

41名無しさん@お腹いっぱい。2017/11/15(水) 14:37:37.990
どういう条件でhttpsが使われるかって話だけに限ればあながちスレチでもない。
そもそもHSTSの期間内ならHTTPリクエストは送られないよ。

42名無しさん@お腹いっぱい。2017/11/15(水) 16:57:43.920
hstsに従うかどうかはブラウザによる
hstsが聞くときはアクセスしたことがあるとき

証明書のスレッドであってhttps?の話は違うんじゃないかな

43名無しさん@お腹いっぱい。2017/11/15(水) 17:47:33.390
Let's Encryptのスレであって、プロトコルに関する浅い知識の品評会スレではないよ

44名無しさん@お腹いっぱい。2017/11/15(水) 18:47:44.730
プリフライトリクエストとか最近は事前にチェックするプロトコルいっぱいやしな

45名無しさん@お腹いっぱい。2017/11/23(木) 11:35:39.990
常時HTTPSが当たり前になって、
通信は暗号さえされてれば良いと言う流れだよね?
サイトの身分証明みたいな大義名分はもう消える。
違法・詐欺サイトがHTTPS使うだけだし。

何が言いたいかというと、証明書ビジネスはオワコン

46名無しさん@お腹いっぱい。2017/11/23(木) 11:44:28.880
通信がmitmされたりサイトが偽物に差し替わってないことの証明にはなる
銀行とか重要なところはEV使うだろうし

47名無しさん@お腹いっぱい。2017/11/23(木) 12:01:00.520
>45
EVマークとサイトシールを目立たせるようになるだけかと

48名無しさん@お腹いっぱい。2017/11/23(木) 12:17:28.470
需要が大幅に減るということだよ。
生き残れる企業は少ないように思う。

49名無しさん@お腹いっぱい。2017/11/23(木) 12:53:23.540
根拠がよくわからん

50名無しさん@お腹いっぱい。2017/11/23(木) 15:59:45.550
フォームが暗号化されてないと客に不安感を与えるから、ぐらいの理由でSSL導入してるだけのところが
Let's Encryptに流れて有料証明書使わなくなると言いたいんじゃね
まあ、DVのくせに高いところは潰れてくれていい
高い金取るならせめてOV以上にしろと

でも現実は、無料証明書では怪しまれますよ、とDVも売るんだろうなぁ

51名無しさん@お腹いっぱい。2017/11/23(木) 19:58:10.060
chromeのシマンテック系SSL警告始まったな

52名無しさん@お腹いっぱい。2017/11/23(木) 21:24:14.810
今レンタルサーバーでlet's encryptのSSL使っていてサーバー移転する予定です

移転先サーバーでlet's encryptの証明書をインストールしてたら、ダウンタイムなしで移れますか?

53名無しさん@お腹いっぱい。2017/11/23(木) 21:48:03.360
DV だからドメイン変わらないなら問題無い。
ダウンタイム云々は移転するタイミングとスケジュール次第。
自分は移転完了したつもりで旧サーバーからコンテンツ削除したら
"ダウンしている" と見える人もいれば移転に気付かない人も要るだろうね。

54名無しさん@お腹いっぱい。2017/11/23(木) 22:02:20.780
移転先にDNSが向くまでLEの証明書は作れないのに
ダウンタイムなしとか無理すぎ

55名無しさん@お腹いっぱい。2017/11/23(木) 22:25:00.100
普通に作れるだろ

サーバ設定まで全自動しかないと思ってるのかな?

指定されるファイルひとつ指定の場所におけばそれで認証されて、pem 生成されるから
それを好きな場所にコピーしてウェブサーバに読ませるだけやで?

だからSNI対応レンタルサーバであれば、まだ設定前のサーバの管理画面から手動で証明書登録することもできる

56名無しさん@お腹いっぱい。2017/11/23(木) 23:03:23.650
ありがとうございます
DNS変更前に証明書つくれるなダウンタイムなしでいけるんですね

57名無しさん@お腹いっぱい。2017/11/24(金) 17:51:04.090
vps契約して使っているのだが、ssl化したいんだが
最も安いのはどこの証明書?
教えけろ

58名無しさん@お腹いっぱい。2017/11/24(金) 17:59:42.440
>>57
スレタイ嫁

59名無しさん@お腹いっぱい。2017/11/24(金) 18:03:08.520
>>58
Let's Encrypt を入れたら無料で
SSL化出来るのか?

60名無しさん@お腹いっぱい。2017/11/24(金) 18:20:14.610
スレ違い

61名無しさん@お腹いっぱい。2017/11/24(金) 19:47:50.100
>>59
何も面倒なことせず無料でコマンド一発で近代的なブラウザに対応した証明書が生成される神サービスだよ

価格抜きでも発行の手軽さという点で従来のDV証明書に勝ってると思う
オレオレ証明書よりも手軽だし

62名無しさん@お腹いっぱい。2017/11/24(金) 20:13:28.890
>>61
本当か!
世の中進んでいるんだな。
インストールするわ。
サンキュウ

63名無しさん@お腹いっぱい。2017/11/24(金) 20:57:13.840
お前も進もうぜ

64名無しさん@お腹いっぱい。2017/11/24(金) 22:29:43.210
certbotとは誰も呼ばないのか

65名無しさん@お腹いっぱい。2017/11/24(金) 22:34:59.590
サービス名やプロトコル名と実装してるコマンド名やプログラム名が別物というのはよくある

66名無しさん@お腹いっぱい。2017/11/26(日) 09:53:01.440
Let's Encrypt で証明書を発行して

1. Web サーバー
2. メールサーバー
3. Pop サーバー

で使っているんですが、他にこれも出来るよってのありましたらご教示お願いします。

67名無しさん@お腹いっぱい。2017/11/26(日) 11:33:59.790
FTP
IPsec
OpenVPN

68名無しさん@お腹いっぱい。2017/11/26(日) 18:35:02.900
FTPはFTPSの設定として使えるから間違ってないけど
IPsecは上位レイヤー(トランスポート層ではなくネットワーク層)でSSLではない別の暗号化してくれる方式で
OpenVPNはそれ自体で毎回独自のTLSレイヤーを構成してるから証明書使わなくね? エンドポイント認証用に使える?

69名無しさん@お腹いっぱい。2017/11/26(日) 18:41:18.500
SSL-VPN

70名無しさん@お腹いっぱい。2017/11/26(日) 19:09:00.620
SSL-VPN ってまともな実装やアプリあるの?
ブラウザVNCクライアントでPC側の証明書として使うのは充分ありかと思う

71名無しさん@お腹いっぱい。2017/11/26(日) 19:35:38.240
softetherとか

72名無しさん@お腹いっぱい。2017/11/27(月) 03:23:57.430
softetherってファイアウォールかけてない443番ポートをHTTPSではない別の用途で悪用する
ファイアウォールを騙すためにopensslと通信を使うってだけで証明書使わなくね?
そして所謂SSL VPSでもなくね?

73名無しさん@お腹いっぱい。2017/11/27(月) 08:28:27.460
もっと勉強しような

74名無しさん@お腹いっぱい。2017/11/29(水) 10:39:32.830
独自ドメインが何個でも無料で取得可能。
四文字ドメイン、レアドメイン多数。
SSL対応、サーバー、ワードプレスのインストールも無料。
詳しくはこちら https://ryoma.space/

75名無しさん@お腹いっぱい。2017/11/29(水) 11:34:37.140
ワードプレス(笑。

76名無しさん@お腹いっぱい。2017/11/29(水) 12:24:48.650
すげー頭悪そうな紹介文だな

77名無しさん@お腹いっぱい。2017/11/29(水) 12:53:53.650
まてよ、ドメインが無料で、SSL対応も無料で、サーバも無料、
そしてワードプレスのインストール(笑)も無料ってこと?
一体どこで儲けてるんだよ。

78名無しさん@お腹いっぱい。2017/11/29(水) 13:04:57.810
コンサルティングは有料だろw
全部他社のサービスだしググればいくらでも情報あるのにな

79名無しさん@お腹いっぱい。2017/11/29(水) 13:08:53.870
ドメインは元々提供している国の宣伝が目的
SSLは寄付と企業からの支援で成り立ってる
ホームページは広告が出る

80名無しさん@お腹いっぱい。2017/11/29(水) 13:41:31.750
1サーバーで複数ドメインの運用をしているんだけど、
Let's Encrypt では一つの証明書に複数ドメインを登録出来るのでこりゃ、便利と
使っています。(設定がらくちん)

これのセキュリティリスクってどれくらいのもんなのでしょうか?

81名無しさん@お腹いっぱい。2017/11/29(水) 13:46:29.630
他のドメインがバレる
秘密鍵一つが流出したときに全ての通信内容が解読されてしまう

82名無しさん@お腹いっぱい。2017/11/29(水) 14:35:00.280
>>78
これ、コンサルなのか…(震え声
覗いてみたけどこんなダサい「ホームページ」のコンサルに依頼するくらいなら、
どんなに初心者でもわからないなりに自分で調べてやった方がいいと思った。

83名無しさん@お腹いっぱい。2017/12/10(日) 08:38:33.100
IIS鯖がクラッシュしたので古いイメージ取り出して復活させようとしてじたばた
ディレクトリが違ったりして数回失敗したらこれでて終わってしまった。
Too many failed authorizations recently. status:429

どれくらい待てば再受付してくれるですかね?
コマンドは↓
letsencrypt.exe --accepttos --manualhost host.example.com --webroot C:\wwwroot

84名無しさん@お腹いっぱい。2017/12/10(日) 12:59:32.370
数の制限なんかな?
https://letsencrypt.org/docs/rate-limits/
ここ見ると週20個だな、最初に取得してから1週間でいけるかな

85名無しさん@お腹いっぱい。2017/12/10(日) 13:18:39.410
証明書取れてるのか確認してみたら

86名無しさん@お腹いっぱい。2017/12/24(日) 17:35:19.330
>>83 10日くらい開けて再試行したら、今度はあっさりできましたわ

87名無しさん@お腹いっぱい。2017/12/24(日) 17:39:38.520
ちなみに↓に引っかかったのだと思う。
「We also have a Duplicate Certificate limit of 5 certificates per week. 」

88名無しさん@お腹いっぱい。2017/12/25(月) 09:04:30.280
winクライアントはletsencrypt-win-simpleがベター?
他におすすめあれば教えて下さい

89名無しさん@お腹いっぱい。2017/12/25(月) 11:55:46.300
もうWindowsでサーバ立ててないからワカラン。

90名無しさん@お腹いっぱい。2017/12/25(月) 13:58:08.200
やっぱ時代はNginxなのか

91名無しさん@お腹いっぱい。2017/12/25(月) 14:10:50.190
NGINXでもApacheでもいいと思うけど、
OSにWindowsってのは考えないなぁ。

92名無しさん@お腹いっぱい。2017/12/25(月) 19:10:57.990
>>88
レンタル鯖が対応するまではそれ使って手動で作ってたよ

93名無しさん@お腹いっぱい。2017/12/26(火) 06:21:11.380
普通はIISは金かかるし、使わないのだろうけど、20年間こればっかりで変える気が起きず
Win鯖を使い続けている
このままでいかんと思って数年前にCentOSをインストールしてみたが挫折した

94名無しさん@お腹いっぱい。2017/12/26(火) 09:56:01.090
>>93
CentOSつかいにくいからーな。(※Debianユーザの個人の感想です。)
ADSL全盛期に作ったWin2k上のanhttpd+Pmailserverをマシンごと仮想化して後生大事に使ってたけど、
いいかげんヤバいと思って何年か前にDebian上のNGINX+Postfix/Dovecotに移行したよ。

95名無しさん@お腹いっぱい。2017/12/26(火) 14:28:28.060
Nginxじゃあかんのか?xamppじゃあかんのか?

96名無しさん@お腹いっぱい。2017/12/26(火) 14:58:30.710
NGINXだよ。
apt-getで簡単に一式入るからxmappを使う必要は無い。

97名無しさん@お腹いっぱい。2017/12/26(火) 15:33:05.470
Ubuntu,Debianは使いづらい

98名無しさん@お腹いっぱい。2017/12/27(水) 11:27:42.060
>>88
ウェブサーバーのCaddyの内蔵クライアントが便利だった。ユーザーディレクトリ¥.caddyから探せば証明書が取り出せる。

99名無しさん@お腹いっぱい。2017/12/27(水) 12:49:19.650
>>98
開発用途なら便利そう

100名無しさん@お腹いっぱい。2017/12/28(木) 14:19:16.540
サポートが年末年始休暇なんで教えて下さい。

共用レンタルサーバーロリポップで、
Let’s Encryptが使えます。
元々GMOグローバルサインの証明書もあり、
www.ドメイン.comで登録してます。
ドメイン.comはSSL証明書非対応。

この時、
Let’s Encryptでドメイン.comや
サブ.ドメイン.comを割り当てると、
重なり合って不具合が起きたりするのでしょうか?

101名無しさん@お腹いっぱい。2017/12/28(木) 15:04:04.760
起きない

あとこの際せっかく買ってる証明書も運用やめてLEに統一してもいいレベル

102名無しさん@お腹いっぱい。2017/12/30(土) 10:39:53.040
Could not issue a Let's Encrypt SSL/TLS certificate for MY DOMAIN.

このエラーがでてるのですが、
どうしたら良いですか?

103名無しさん@お腹いっぱい。2017/12/30(土) 10:57:10.100
お前にまだ早い

104名無しさん@お腹いっぱい。2017/12/31(日) 01:54:49.670
>>102
その前に具体的なエラーが出てるだろ

105名無しさん@お腹いっぱい。2017/12/31(日) 02:03:09.110
読めた英語がコピペした部分でエラーメッセージは内容理解できない下手にコピペすると身バレしないか何言われるか不安で出せないとかまさに>>103状態かと

1061022017/12/31(日) 12:53:29.390
雑ですいませんでした。
エラーは下記の通りです。

Plesk使ってて、そのUIからLet’s Encryptを導入しています。
エラー内のリンクを踏むと、
IPv6をDNSで割り当てるとか書いてあるのですが、
自分はIPv6は契約していません。


エラー: Could not issue a Let's Encrypt SSL/TLS certificate for MY-DOMAIN.

The authorization token is not available at https://MY-DOMAIN/.well-known/acme-challenge/zn8V9XqDxJK-LrSkCbe7NhTJ95TVmw6I_rMKm_1eORA.
The token file '/var/www/vhosts/MY-DOMAIN/MAINDIRECTORY//.well-known/acme-challenge/zn8V9XqDxJK-LrSkCbe7NhTJ95TVmw6I_rMKm_1eORA' is either unreadable or does not have the read permission.
To resolve the issue, correct the permissions on the token file to make it is possible to download it via the above URL.
See the related Knowledge Base article for details.
Details
Invalid response from https://acme-v01.api.letsencrypt.org/acme/authz/2fqrB0LR3vSBhSuG_9VYiPll7upyqb1xJaP9F6YMvCc.
Details:
Type: urn:acme:error:unauthorized
Status: 403
Detail: Invalid response from http://MY-DOMAIN/MAINDIRECTORY/.well-known/acme-challenge/zn8V9XqDxJK-LrSkCbe7NhTJ95TVmw6I_rMKm_1eORA: "<html>
<head><title>403 Forbidden</title></head>
<body bgcolor="white">
<center><h1>403 Forbidden</h1></center>
<hr><center>"

107名無しさん@お腹いっぱい。2017/12/31(日) 13:08:18.700
Status: 403

108名無しさん@お腹いっぱい。2017/12/31(日) 13:14:44.000
>>106
http://MY-DOMAIN/MAINDIRECTORY/.well-known/acme-challenge/zn8V9XqDxJK-LrSkCbe7NhTJ95TVmw6I_rMKm_1eORA

よくわからんが
上のファイルにアクセスできるの?
ウェブサーバはipv4だけ受けるようになってるの?

1091022017/12/31(日) 14:28:26.560
>>108
IPv6は契約して無くてつかえません。

110名無しさん@お腹いっぱい。2017/12/31(日) 14:40:22.250
>>109
pleskの仕様を知らんから書いてるんだけど
契約してなかったら自動的にipv6無効にしてくれるの?
自分で調べる気なさそうだしもういいけど

111名無しさん@お腹いっぱい。2017/12/31(日) 14:55:42.740
>>109
IPv4だけで認証できる
応答403で返してるんだからディレクトリ指定かサーバーの設定が間違ってる可能性が高い
.から始まる名前を一律で弾いてたり

1121022017/12/31(日) 14:59:37.400
お騒がせしました、解決しました。
ウェブサイト内のSSLや証明書に関する設定やディレクティブ、
.well-knownフォルダの削除後、
証明書インストールで使えるようになりました。

突然この症状が出たのですが、
これを防ぐ方法ってあるんですか?
最初の頃はこのエラーがでても、SSL接続でウェブアクセスはできていました。

113名無しさん@お腹いっぱい。2017/12/31(日) 15:09:08.460
Let's Encryptの問題と言うより、PleskのLet's Encrypt拡張の問題だろうね
Pleskスレの方がいいんじゃない?

1141022017/12/31(日) 16:15:33.890
ありがとうございます。
PLESK関係を探ってみます。

115名無しさん@お腹いっぱい。2017/12/31(日) 16:23:48.530
必死にURL部分を書き換えてたり試行錯誤した内容をの説明で不審な点があるけど
MAINDIRECTORY という部分で大きな勘違いしてただけだろうけどね。
Plesk とかのせいじゃないと思われ

116名無しさん@お腹いっぱい。2018/01/14(日) 14:03:56.010
ワイルドカード対応証明書はいつ始まるんだ…
テスト版だけでも1月4日に始まるんじゃなかったっけ…

117名無しさん@お腹いっぱい。2018/01/14(日) 22:06:15.970
サイトシールってないの?

118名無しさん@お腹いっぱい。2018/01/14(日) 22:43:49.950
>>117
ググって良さそうな画像を見つけたら
その画像のライセンスの扱い見て大丈夫そうな奴を自前のサイトに貼ってるわー

119名無しさん@お腹いっぱい。2018/01/31(水) 14:21:47.500
ワイルドカード対応マダー?

120名無しさん@お腹いっぱい。2018/02/01(木) 11:32:22.560
2月27日まで待て

121名無しさん@お腹いっぱい。2018/02/19(月) 18:14:39.060
☆ 日本の、改憲を行いましょう。現在、衆議員と参議院の
両院で、改憲議員が3分の2を超えております。
『憲法改正国民投票法』、でググってみてください。国会の発議は
すでに可能です。平和は勝ち取るものです。お願い致します。☆☆
――――――――

122名無しさん@お腹いっぱい。2018/02/26(月) 01:04:07.530
ttps://community.letsencrypt.org/t/acmev2-and-wildcard-launch-delay/53654
ワイルドカード証明書発行開始が延期されたらしいね。
いつまで待てばよいのやら。。

123名無しさん@お腹いっぱい。2018/02/26(月) 08:39:37.420
出資でもしたら?

124名無しさん@お腹いっぱい。2018/02/26(月) 21:30:12.540
金銭的な理由なの?

125名無しさん@お腹いっぱい。2018/02/26(月) 21:41:15.210
使ってる基礎技術の仕様変更への対応のために想像以上に人が割かれていて品質チェックがまだ不充分という理由って書いてあるから間接的にはそう

126名無しさん@お腹いっぱい。2018/03/02(金) 20:55:28.150
letencrypt.logを見るとこんなエラーになってしまい、新規取得ができないんだけどどうすればいいの?
certbotのバージョンは0.21.1(pip installで入れた最新)

2018-03-02 11:47:01,088:DEBUG:urllib3.connectionpool:https://acme-v01.api.letsen
crypt.org:443 "HEAD /acme/new-reg HTTP/1.1" 405 0
2018-03-02 11:47:01,088:DEBUG:acme.client:Received response:
HTTP 405
Server: nginx
Content-Type: application/problem+json
Content-Length: 91
Allow: POST
Replay-Nonce: 5gByegzjaxNoI_zmhLonjjca_p88KsDH-SH-2RepCqA
Expires: Fri, 02 Mar 2018 11:47:01 GMT
Cache-Control: max-age=0, no-cache, no-store
Pragma: no-cache
Date: Fri, 02 Mar 2018 11:47:01 GMT
Connection: keep-alive

127名無しさん@お腹いっぱい。2018/03/02(金) 21:02:33.860
>>126
405 エラーはいてんだからサーバー側でキチンと設定してあげなよ

128名無しさん@お腹いっぱい。2018/03/02(金) 21:15:20.060
>>127
サーバー側って?こっちのせいなの?

129名無しさん@お腹いっぱい。2018/03/02(金) 21:22:37.470
ターミナル上では

An unexpected error occurred:
ReadTimeout: HTTPSConnectionPool(host='acme-v01.api.letsencrypt.org', port=443): Read timed out. (read timeout=45)

って出てるので、acme-v01.api.letsencrypt.orgにアクセスできないっぽいけど、

$ curl -I https://acme-v01.api.letsencrypt.org
HTTP/1.1 200 OK
Server: nginx
Content-Type: text/html
Content-Length: 2174
Last-Modified: Fri, 02 Feb 2018 23:46:37 GMT
ETag: "5a74f85d-87e"
X-Frame-Options: DENY
Strict-Transport-Security: max-age=604800
Accept-Ranges: bytes
Expires: Fri, 02 Mar 2018 12:22:05 GMT
Cache-Control: max-age=0, no-cache, no-store
Pragma: no-cache
Date: Fri, 02 Mar 2018 12:22:05 GMT
Connection: keep-alive
となるけどなあ・・・

130名無しさん@お腹いっぱい。2018/03/02(金) 21:46:11.770
>>126
何てコマンドやったログ?

131名無しさん@お腹いっぱい。2018/03/02(金) 22:01:01.300
HEADは受け付けないと言ってるわけだが

132名無しさん@お腹いっぱい。2018/03/05(月) 17:59:54.690
limit_except 入れてるんじゃないの

133名無しさん@お腹いっぱい。2018/03/14(水) 11:18:59.730
ワイルドカードきたぞ

134名無しさん@お腹いっぱい。2018/03/14(水) 12:02:02.610
ワイルドだろ〜?

135名無しさん@お腹いっぱい。2018/03/14(水) 13:06:58.830
ACMEv2とTXTレコードの設定でいけるのか。朗報

136名無しさん@お腹いっぱい。2018/03/14(水) 13:22:04.150
見つかるのは--manualで作成する方法ばかりだが、
それの自動更新の方法がどこも説明されてないな コピペされてるだけか?

137名無しさん@お腹いっぱい。2018/03/14(水) 14:32:26.090
CAAでエラーでちゃうな

138名無しさん@お腹いっぱい。2018/03/14(水) 23:07:39.760
>>136
これじゃいかんのか?
sudo certbot -a dns-cloudflare -i nginx -d "*.example.com" -d example.com --server https://acme-v02.api.letsencrypt.org/directory

139名無しさん@お腹いっぱい。2018/03/18(日) 17:58:45.020
お尋ねします、証明書を手に入れるときに入力したメールアドレスは、取得した証明書に身分を示す情報として書かれてしまいますか
そしたら捨てアドを作らないといけない...
教えてください

140名無しさん@お腹いっぱい。2018/03/18(日) 18:15:53.170
入力したメアドってのはアカウントのコンタクト用でしょ。捨てアド入れてどうすんの。

141名無しさん@お腹いっぱい。2018/03/18(日) 18:33:10.050
ああよかった
作った証明書にメアドが載ってるのかと思いました...ありがとうございます

142名無しさん@お腹いっぱい。2018/03/18(日) 18:50:20.050
気になるなら
openssl x509 -in cert.pem -text
して自分で確認。

143名無しさん@お腹いっぱい。2018/03/19(月) 15:46:52.850
アスカレンタルサーバー終了とサーバー移行のお願い
長きに渡りご愛顧いただきましたアスカレンタルサーバーですが、
誠に残念ながら 2018年10月31日を持ちましてサービスを終了する運びとなりました。
http://asuka.jp

144名無しさん@お腹いっぱい。2018/03/19(月) 16:27:07.590
>>143
そうですか
アスカレンタルサーバ? なんて聞いたこともないのでどうでもいいです

すれ違いな書き込みやめてくださいね
だれ一人そんな書き込み求めていないんで

145名無しさん@お腹いっぱい。2018/03/19(月) 19:15:53.630
そこまで言う必要ないと思います

146名無しさん@お腹いっぱい。2018/03/19(月) 20:02:33.270
>>145
確かに言い過ぎでしたね><
ごめんなさいm(__)m

147名無しさん@お腹いっぱい。2018/03/20(火) 19:00:51.700
letsencrypt.exe だけど、以前は80ポートもその鯖に通さないとだめだったと記憶しているが、
今日やったら 443だけでokになってた。 前からだった??

148名無しさん@お腹いっぱい。2018/03/20(火) 19:07:14.680
更新の時に80開けるのめんどくせーなって思ったからダメだったのでは?
俺が使ってたやつはwin-simpleとか付いてた気がする

149名無しさん@お腹いっぱい。2018/03/21(水) 14:36:04.720
ワイルドカードいいな
バーチャルサーバ作るのが楽になった

150名無しさん@お腹いっぱい。2018/03/25(日) 05:52:13.920
TCPセッション後のTLSセッションでClient HelloにはいってるSNIはどこから引っ張ってきてるんですか?
サーバー証明書インストールされる前のクライアントが、サーバー名なんて知る由もないと思うんですが

151名無しさん@お腹いっぱい。2018/03/25(日) 10:40:34.860
はい?

152名無しさん@お腹いっぱい。2018/03/25(日) 17:35:56.890
>>150
SNI の基礎から勉強しなおしてくださいね
結論言いますと、SNI 対応のブラウザ(10年前のブラウザとかじゃないかぎり基本対応)だとですね
FQDN の subdomain.example.com みたいなのが平文で送信されるんですよ
で、それに合わせた証明書をサーバが送るわけです

え、プライバシーの侵害だって?
それはそうなんですが、IPv4のIPアドレスの枯渇があるんで1証明書=1IPアドレスだとhttpsが普及しないからそっちの方が問題、
どうせ今主流のDNSはFQDNが平文で送られるんだからホスト名を平文で送るのは今のところたいしてリスク増えないんだしやむを得ないのでは?
ということでまぁSNI導入賛成派の論理がとりあえず受け入れられてそういう規格・実装になったわけですよ

無論、ホスト名だけでもプライバシー上の問題がありますから、DNSの通信の暗号化も含めて今後は改善されていくとは思いますが時間がかかりますね

1531502018/03/26(月) 06:03:14.440
少なくとも最初のclient helloに入ってるSNIは、ブラウザに入れられたhttpsアドレスのFQDNと理解していいですか?

1541502018/03/26(月) 06:08:48.990
私が知りたかったのは、そのsubdomain.example.comを「クライアントがどうやって知り得たか」だったんですが、httpsサイトのFQDNとイコールならそれでよくて、もし違うならどっからその値持ってきてんのかっていう質問です。

155名無しさん@お腹いっぱい。2018/03/26(月) 07:11:09.140
イコールですよ。

https://tools.ietf.org/html/rfc6066#section-3
Currently, the only server names supported are DNS hostnames;

156名無しさん@お腹いっぱい。2018/03/26(月) 10:12:17.690
tcpdumpしてパケット見てみればいいじゃん?

1571502018/03/26(月) 14:59:07.320
ありがとうございます!

158名無しさん@お腹いっぱい。2018/03/26(月) 18:31:33.300
>>154
> そのsubdomain.example.comを「クライアントがどうやって知り得たか」だったんですが、
知り得たも何も、例えばユーザーがブラウザのアドレスバーにURLを入れてアクセスした場合、
そのURLに含まれるFQDNがそのまま使われます
リンククリックならa要素のhref属性に含まれるFQDNね
サーバのIPアドレスはDNSで調べた結果が用いられ、そのIPアドレスへFQDNがそのまま送られる、以上

159名無しさん@お腹いっぱい。2018/03/27(火) 01:06:06.100
150はSNIにFQDNの値がそのまま使われてると思ってなくて、じゃあSNIの値はどこを参照してるのか?と質問した。答えはFQDNとSNIは同じ値。150は納得して巣に帰った。以上。

160名無しさん@お腹いっぱい。2018/04/12(木) 17:40:55.430
postfix でワイルドカード証明書利用するとワーニング出ませんか?
マルチドメイン証明書なら大丈夫みたいなんですが。

161名無しさん@お腹いっぱい。2018/04/13(金) 16:28:02.310
もうすぐ初めての自動更新の季節だが、本当に自動で更新してくれるのか不安

162名無しさん@お腹いっぱい。2018/04/13(金) 16:49:43.590
強制実行するオプションでテストしてないのか?

163名無しさん@お腹いっぱい。2018/04/15(日) 01:45:30.310
最近のcertbotは進化しててええな

164名無しさん@お腹いっぱい。2018/04/15(日) 04:33:52.920
>>163
使い勝手か何か変わった?
手動ではまったく弄ってないから気付いてない

165名無しさん@お腹いっぱい。2018/04/15(日) 06:30:33.290
オプションがかなり増えてる

状態の確認、削除や無効化の手間(以前は個別に手作業)の削減やら、
証明書の上書き変更やら、プラグイン頼りだった認証方法やオプションの導入

取得コマンドと更新コマンドcronに仕込む以外必要ない人には無縁の世界

166名無しさん@お腹いっぱい。2018/04/16(月) 12:38:20.530
なるほど
そりゃ確かに縁がないな

167名無しさん@お腹いっぱい。2018/04/16(月) 21:26:58.080
python依存なくなったらもっといいのに

168名無しさん@お腹いっぱい。2018/04/16(月) 22:04:31.820
何か問題でも?

169名無しさん@お腹いっぱい。2018/04/17(火) 02:03:09.840
色んなOS色んな言語で同じ機能のツール作られてるから好きなの使え

170名無しさん@お腹いっぱい。2018/04/23(月) 18:54:07.430
Windows用の更新ソフトはどれがいいのでしょう?

171名無しさん@お腹いっぱい。2018/04/23(月) 20:33:36.920
>>170
win-acmeで今のところ問題ない

172名無しさん@お腹いっぱい。2018/04/29(日) 02:50:32.950
アドレスバーを緑にするやつ以外無意味。letsで十分

173名無しさん@お腹いっぱい。2018/05/02(水) 02:49:23.390
確実にどんな人でも可能な在宅ワーク儲かる方法
念のためにのせておきます
グーグルで検索するといいかも『金持ちになりたい 鎌野介メソッド』

6F5IW

174名無しさん@お腹いっぱい。2018/05/13(日) 17:10:02.920
>>172
個人サイトならLet'sで十分だよな

ところで、某レンタルサーバーで設定したんだが、本当に自動更新されるんだろうか
そろそろ時期なんだが

175名無しさん@お腹いっぱい。2018/05/13(日) 17:30:27.820
ブラウザで証明書情報を見られるから日付が延長されてるか確認すればいい
二ヶ月くらいで更新されるからもうすぐ期限の3か月というのであれば、既にさし替わってるかも

176名無しさん@お腹いっぱい。2018/05/13(日) 18:13:11.290
>>175
どうも
今見てみたら、期限7月になってた
今年になってから取得したから、どうやら無事に更新されてる模様

ところで、よく分からないが見てみたらTLS1.2か
確か、1.0が廃止になったんだっけ

177名無しさん@お腹いっぱい。2018/05/24(木) 19:27:46.730

178名無しさん@お腹いっぱい。2018/07/03(火) 21:45:03.390
世の中みんなyumベースのばっかで、
ソースから入れてる自分には難しかったけど、
ようやくできたわ。

.well_known/acme何とかってディレクトリを予め用意するなんて、
あんまり書かれてなくない?

179名無しさん@お腹いっぱい。2018/07/03(火) 21:54:13.490
そりゃそんな事する必要ないからね

180名無しさん@お腹いっぱい。2018/07/03(火) 21:58:01.730
ソースから入れてるんだったらソース読めばわかるだろうに

181名無しさん@お腹いっぱい。2018/07/03(火) 22:00:24.330
普通にgitリポジトリから引っ張ってきてやってたけど.well-known/acme-challengeの説明は書いてあるぞ。
Apacheやnginxのモジュールで入れるやつは使ったことない

182名無しさん@お腹いっぱい。2018/07/03(火) 22:03:59.490
ドキュメントにも一応書かれてる。

Webroot プラグインは ${webroot-path}/.well-known/acme-challenge に一時ファイル(ワンタイムトークン)を作成し…

自分のやり方の何かが違うんだろうけど、
root権限でもここを作ってくれなかったからはまったんだろうな。
理由は調べてない…

183名無しさん@お腹いっぱい。2018/07/08(日) 02:31:56.710
これってDDNSだと使用できないの?

184名無しさん@お腹いっぱい。2018/07/08(日) 02:56:29.460
できるだろ
DDNSと何の関係があるんだ?

185名無しさん@お腹いっぱい。2018/07/08(日) 02:59:23.880
DDNS提供者のサブドメインを使う形式の場合、
発行数が多すぎてLet's Encryptから蹴られる場合や
DDNS提供者がCAAレコードで禁止している場合がある

186名無しさん@お腹いっぱい。2018/07/08(日) 05:20:42.510
自分のドメインじゃなくて他人のドメインをレンタルして発行ってことか
DDNSでまとめるのは如何なものかと

187名無しさん@お腹いっぱい。2018/07/08(日) 06:03:18.260
世界共通の*.*で期限なしとか作ってくれよもう…
何か問題ある?

188名無しさん@お腹いっぱい。2018/07/08(日) 08:19:21.750
成りすましできて復号もできるじゃん
意味ないじゃん

189名無しさん@お腹いっぱい。2018/07/08(日) 14:12:51.630
>>183
_から始まるドメイン作れるならできる

190名無しさん@お腹いっぱい。2018/07/08(日) 14:13:26.920
↑dns-01の場合

191名無しさん@お腹いっぱい。2018/07/21(土) 13:11:40.490
亀レスだが、DDNSでも独自ドメイン取ってCloudflareなりMyDNSなり使えばなんとかなりそう
独自ドメインは.tkとかがタダで取れるし今試してるところ

192名無しさん@お腹いっぱい。2018/07/21(土) 13:14:58.950
あと>>178-180でソースインストール叩かれてるけど、ラズパイ版CentOS7のEPELにはCertbot1.9しかなくて辛い
駄文失礼

193名無しさん@お腹いっぱい。2018/07/21(土) 13:53:57.380
別に叩かれてはなくね?
選択肢があるならわざわざ難しい方法を選ばなくてもいいってだけで

194名無しさん@お腹いっぱい。2018/07/21(土) 14:53:53.890
ソース読めないんだったらソースインストール必要ないわな

195名無しさん@お腹いっぱい。2018/07/22(日) 22:47:22.390
IISで運用してる自鯖の証明書更新メモ書き

echo n | letsencrypt.exe --accepttos --manualhost xxxx.com --webroot D:\wwwroot\xxxx.com

webrootフォルダの権限設定をして、上を実行すると証明書のインストール(差換え)まで
終わっている。そのあとサイト バインドで新しい証明書をあてがうところがまだ手動だから、
これを手でやるが、スクリプトが書ければスケジューらで自動化できるのかな

196名無しさん@お腹いっぱい。2018/07/29(日) 20:00:11.690
ようやくCentOS5を捨てて、VPSのOSをリニューアルした。

Python3神だわ…
更新の自動化すんごい助かる。
cronで週に一度コマンド叩くだけで、
全部の証明書を更新してくれる(予定)
毎週、まだ更新日じゃないよってcronメールも来るから安心できる。

197名無しさん@お腹いっぱい。2018/07/29(日) 20:07:46.750
今さらで悪いんだけど更新タイミングってどうしてます?
週1回確認で1ヶ月切ってたら更新にしてるんだけどちょい心配
毎週強制更新とかしてる人いる?

198名無しさん@お腹いっぱい。2018/07/29(日) 20:10:17.540
それやると逆にBANされそうじゃん。
そのうち更新されると信じて放置してるよ。
3ヶ月後が楽しみだな(笑)

199名無しさん@お腹いっぱい。2018/07/29(日) 21:11:49.960
やっぱりそうだよね
おとなしく今のままにしときますw

200名無しさん@お腹いっぱい。2018/08/16(木) 05:03:57.790
強制しなきゃ勝手にスキップされるじゃん

201名無しさん@お腹いっぱい。2018/08/18(土) 09:45:48.710
3ヶ月という短期間の有効期限は何のため?
無駄な発行済をすぐに切るためなのかな?

202名無しさん@お腹いっぱい。2018/08/18(土) 13:32:30.820
不正防止

203名無しさん@お腹いっぱい。2018/08/20(月) 08:07:15.930
■ 中国スパイ、アメリカで日本叩き運動を先導
http://jbpress.ismedia.jp/articles/-/53848

8月6日、「デイリー・コーラー」が、「ファインスタイン議員の補佐官でスパイを行っていたのは、
中国系米国人のラッセル・ロウという人物だ」と断定する報道を流した。
ロウ氏は長年、ファインスタイン議員のカリフォルニア事務所の所長を務めていたという。

デイリー・コーラー誌は、ロウ氏が中国政府の国家安全部にいつどのように徴募されたかを報じた。
ロウ氏は、サンフランシスコの中国総領事館を通じて、長年にわたって同安全部に情報を流していたという。

ファインスタイン事務所もFBIもこの報道を否定せず、
一般のメディアも「ロウ氏こそが中国諜報部の協力者、あるいはスパイだ」と一斉に報じた。
主要新聞なども司法当局の確認をとりながら、ロウ氏のスパイ活動を詳しく報道した。

■ 米国に工作員を投入する中国当局

今回、米国において慰安婦問題で日本を糾弾する人物が、実は中国のスパイだったことが明らかになった。
つまり、中国当局が米国に工作員を投入して政治操作を続けている実態があるということだ。

長年、米国議会の意向を反映するような形で慰安婦問題を追及してきたロウ氏が
実は中国政府のスパイだったという事実は、この中国の役割を証明したといえる」と解説していた。

204名無しさん@お腹いっぱい。2018/08/30(木) 07:50:48.190
ここの証明書って中国が作ってるって本当?

205名無しさん@お腹いっぱい。2018/08/30(木) 07:53:01.030
>>204
それはチャイナ

206名無しさん@お腹いっぱい。2018/08/30(木) 20:12:26.000
ちゅこくじん うそ つかないアルよ

207名無しさん@お腹いっぱい。2018/08/30(木) 20:30:35.690
WoSignというのがあってだな。いや、あった、か。

208名無しさん@お腹いっぱい。2018/08/30(木) 20:31:11.700
LEには関係ないが。

209名無しさん@お腹いっぱい。2018/08/31(金) 09:31:31.100
別に無料証明書なんかどこが作ろうが関係ない
しょせんグーグル先生向けにhttpsつけるためだけなんだし
グーグルが発行してもいいくらい

210名無しさん@お腹いっぱい。2018/08/31(金) 09:33:48.360
Googleは自社で証明書発行してる
そんな事すらわからないのにこのスレに居るの?

211名無しさん@お腹いっぱい。2018/08/31(金) 09:58:29.150
このスレとGoogle関係ないじゃん

212名無しさん@お腹いっぱい。2018/08/31(金) 10:00:52.440
>>210
落ち着けよ
「Googleは自社で証明書発行してる」ことの知識と
GoogleがLEみたいなサービスを提供してもいいだろうという主張は
何ら矛盾しない

213名無しさん@お腹いっぱい。2018/08/31(金) 15:35:05.810
脊髄反射するバカが多いスレだな
Googleがhttps要求しなかったら誰もやってないだろ

214名無しさん@お腹いっぱい。2018/08/31(金) 15:37:07.910
しかし、これは神サービスだよな。
常時化の話がなかったとしても普通はこれ使う。

215名無しさん@お腹いっぱい。2018/08/31(金) 15:43:30.820
クライアントにEVの方を導入させやすくなったメリット

216名無しさん@お腹いっぱい。2018/08/31(金) 20:23:33.380
>>213
それはどうかな
HTTP2とかあるし

217名無しさん@お腹いっぱい。2018/09/01(土) 16:34:15.320
HTTP/2とか実際どのぐらい効果あるんだろうな。
大規模サイトですごいアクセスを捌くなら、
nginxと組み合わせて効果ありそうだが…
ショボいサイトでやっても意識高い系になるだけな気がするw

218名無しさん@お腹いっぱい。2018/09/02(日) 06:17:37.660
KeepAliveすら切ってるしな
普通のwebサイトじゃ鯖代のが重要だろ

219名無しさん@お腹いっぱい。2018/09/02(日) 06:39:33.710
逆に、小規模サイトだからソケット使い果たすこともないし、
Timeoutは1秒にして、
KeepAliveはOnにしてるわ。

でも最近は回線もクライアントも高性能すぎて
KeepAliveの恩恵も薄そうだなw

220名無しさん@お腹いっぱい。2018/09/02(日) 11:55:19.170
スマホだと結構回線が遅いから重要
30個くらいのファイルを取得するページで設定変えてみると実際に体感できる
どのサービスか忘れたけど最近のhttpsにするのは当たり前という状況でhttpsに変えて鯖代が増えたがHTTP/2にして抑えられたという話は聞いたな

221名無しさん@お腹いっぱい。2018/09/02(日) 15:48:11.940
スマホのためならkeep-aliveとdeflateでも良さそうだな。

222名無しさん@お腹いっぱい。2018/09/02(日) 17:24:28.090
brは結構すごい感じ
BOTさんにも早く対応してほしい
というか、httpでも対応してほしいが

http2は双方向必要なアプリでしか使い道ないと思う

223名無しさん@お腹いっぱい。2018/09/02(日) 20:28:12.620
brってなに?

224名無しさん@お腹いっぱい。2018/09/02(日) 20:46:25.890
brotli
gzより2割程度サイズ減るよ
なぜかhttps専用

225名無しさん@お腹いっぱい。2018/09/03(月) 07:38:23.490
へー、知らなかった。ありがとう。

226名無しさん@お腹いっぱい。2018/09/03(月) 09:22:02.490
無料DDNSと組み合わせで使うと不人気ドメイン選ばないと更新できない可能性あるから悩むよな

227名無しさん@お腹いっぱい。2018/09/03(月) 10:51:21.720
誰かエスパーよろ

228名無しさん@お腹いっぱい。2018/09/03(月) 11:34:27.130
むーりー

229名無しさん@お腹いっぱい。2018/09/03(月) 11:39:00.400
>>227
https://letsencrypt.org/docs/rate-limits/
まぁそんな心配するのはアホとしか言えないけど

230名無しさん@お腹いっぱい。2018/09/03(月) 11:49:03.500
>>227
DDNSで発行してもらったことないからわからんが、
人気のある(知名度が高い)ドメインでやると
拒否される可能性があるってことじゃない?

根本的にDDNSは発行されないことになってて、
DDNSだとバレると更新されないとか。

231名無しさん@お腹いっぱい。2018/09/03(月) 12:13:20.360
DDNSで困るのは更新じゃなくて新規取得じゃないの?

232名無しさん@お腹いっぱい。2018/09/03(月) 12:16:27.270
いや、だから、後からバレると更新できなくなるってことかなと。
知らんよ。エスパーしてみただけだし。

233名無しさん@お腹いっぱい。2018/09/03(月) 12:44:36.220
The main limit is Certificates per Registered Domain, (50 per week).
A registered domain is, generally speaking, the part of the domain you purchased from your domain name registrar. For instance, in the name www.example.com, the registered domain is example.com.
In new.blog.example.co.uk, the registered domain is example.co.uk.
We use the Public Suffix List to calculate the registered domain.

234名無しさん@お腹いっぱい。2018/09/03(月) 12:45:37.980
日本語でおk

235名無しさん@お腹いっぱい。2018/09/03(月) 12:46:38.190
と言うのは冗談で、そういう決まりがあったんだ。
無料だし、まあ仕方ないやね。

236名無しさん@お腹いっぱい。2018/09/03(月) 13:02:12.870
新規取得 (Certificates per Registered Domain) 週50
更新は取得に含まれない (Renewal Exemption)
ttps://letsencrypt.org/docs/rate-limits/

237名無しさん@お腹いっぱい。2018/09/03(月) 14:07:42.550
自分のChromeのAccept-Encoding見たら、
gzip, deflate, brってなってた。
いつの間に追加されたんだろう。

238名無しさん@お腹いっぱい。2018/09/03(月) 22:53:37.560

239名無しさん@お腹いっぱい。2018/09/04(火) 06:28:22.810
>>236
sn追加で怒られたことないしそうだわな

240名無しさん@お腹いっぱい。2018/09/04(火) 07:21:30.300
brはmod_rewriteで使ってるが
拡張子がmod_mimeと競合するからブラジル人を排除する必要がある

241名無しさん@お腹いっぱい。2018/09/04(火) 14:32:33.870
apacheとかマジ?

242名無しさん@お腹いっぱい。2018/09/04(火) 16:22:11.660
文句あるか?

243名無しさん@お腹いっぱい。2018/09/04(火) 19:01:39.040
何が言いたいのかわからない

244名無しさん@お腹いっぱい。2018/09/05(水) 13:04:41.980
apache 2.4に標準でbrが組み込まれるなら、
deflateはお役御免かもな。

245名無しさん@お腹いっぱい。2018/09/05(水) 18:13:58.780
mod_brasil

246名無しさん@お腹いっぱい。2018/09/10(月) 10:52:16.170
ちっ、プラグイン…

Cert is due for renewal, auto-renewing...
Could not choose appropriate plugin: The requested uto plugin does not appear to be installed
Attempting to renew cert (www.example.jp) from /etc/letsencrypt/renewal/www.example.jp.conf produced an unexpected error: The requested uto plugin does not appear to be installed. Skipping.
All renewal attempts failed. The following certs could not be renewed:
/etc/letsencrypt/live/www.example.jp/fullchain.pem (failure)

247名無しさん@お腹いっぱい。2018/09/10(月) 11:02:01.930
雑魚乙

248名無しさん@お腹いっぱい。2018/09/10(月) 11:36:00.840
おっすw
初心者が片手間でやってりゃこんなもんですよ。
そこから学んでいくのです。

249名無しさん@お腹いっぱい。2018/09/10(月) 12:13:06.410
で、なんで書き込んじゃったの?

250名無しさん@お腹いっぱい。2018/09/10(月) 12:55:39.700
雑魚報告だよ。
そのうち自分で対応するから、対応できたらまた方法を書くの。
誰かの役に立つかもしれない…

251名無しさん@お腹いっぱい。2018/09/10(月) 12:56:42.520
思ったが、ブログにでも描いてろクソと言われても仕方ないな。
SNSとか一切やってないんだよね。
ここが唯一です。

252名無しさん@お腹いっぱい。2018/09/10(月) 15:23:48.050
ブログでも良いしQiitaとか自分のギッハブの個人プロジェクトにイシュー作ってメモ書きでも良いから書いとくと自分の知見が溜まるぞ。

253名無しさん@お腹いっぱい。2018/09/11(火) 00:30:29.430
放流しとけば誰かが必要と思ったときに拾う

254名無しさん@お腹いっぱい。2018/09/11(火) 09:29:36.040
ポート80や443以外で更新できないもんかね
止めなきゃいけないのがイヤ

255名無しさん@お腹いっぱい。2018/09/11(火) 11:38:12.490
止めなきゃいけないことなんてないけど

256名無しさん@お腹いっぱい。2018/09/11(火) 12:24:07.670
他でそのポートを使ってるとかいうことでは

257名無しさん@お腹いっぱい。2018/09/11(火) 13:17:19.070
いやいやstabdaloneで動かす必要ないだろって話

258名無しさん@お腹いっぱい。2018/09/11(火) 13:20:05.410
レジストラのDNSでNS設定できるとこ少ないけど
LE化でNSレコード設定できないと困るようになったよな

259名無しさん@お腹いっぱい。2018/09/11(火) 13:23:30.090
本気でそんなこと言ってるのか?

260名無しさん@お腹いっぱい。2018/09/11(火) 14:21:54.200
>>254
certonly使えばいいのよ
sudo certbot certonly -n --agree-tos --webroot -w ドキュメントルート -m メアド -d ドメイン
NginxでもApacheでも、バーチャルホストとドキュメントルート一致させとけば
certbotが勝手にドキュメントルート/.well-known以下にファイル作ってDVしてくれる

261名無しさん@お腹いっぱい。2018/09/11(火) 16:34:56.840
certonlyでやって、任意のパス/.well-known/acme-challenge 以降に書き込み権限与えてドキュメントルートの/.well-known/acme-challengeへの接続だけそっちに向けてれば楽。

262名無しさん@お腹いっぱい。2018/09/12(水) 02:59:35.110
certonly --manual 使えば配置するファイルの名前と中身が指定されるから、
それを任意の方法で指定場所にファイル置いてから継続実行するだけで作成することも可

263名無しさん@お腹いっぱい。2018/09/24(月) 11:47:27.260
証明書って更新する必要ある?
暗号化されてるから俺はそのままでいい

264名無しさん@お腹いっぱい。2018/09/24(月) 11:52:05.570
期限1000年のオレオレ証明書使っとけ

265名無しさん@お腹いっぱい。2018/09/24(月) 12:20:02.610
自己署名とかダサいじゃん

266名無しさん@お腹いっぱい。2018/09/24(月) 12:30:03.730
自己署名の何がどうださいのか詳しく

267名無しさん@お腹いっぱい。2018/09/24(月) 12:37:35.730
フルネームで自分の名前を出すの嫌だし、
正規の認証局の名前がないってダサダサ
わっかんないかなあ?

268名無しさん@お腹いっぱい。2018/09/24(月) 12:37:53.090
自己署名したCAから証明書配ってるやつ居るらしいっすよ

269名無しさん@お腹いっぱい。2018/09/24(月) 13:22:50.030
いません

270名無しさん@お腹いっぱい。2018/09/24(月) 13:37:10.480
ワロタ

271名無しさん@お腹いっぱい。2018/09/24(月) 17:14:09.620
>>263
ブラウザで危険!ってでても気にしない人しか使わなければいいんじゃね

272名無しさん@お腹いっぱい。2018/09/24(月) 17:55:43.590
OpenCAとかそんな感じの名前の団体が無料で証明書発行してた記憶がある
Let's encryptのはしりみたいな感じ
ブラウザにその団体のCA登録しないとオレオレになるけど

273名無しさん@お腹いっぱい。2018/09/24(月) 18:07:40.340
>>272
CAcertだろ

274名無しさん@お腹いっぱい。2018/09/24(月) 18:30:02.920
めんどくせえ
http://でいいよ。

275名無しさん@お腹いっぱい。2018/09/24(月) 20:57:51.770
もっと下のレイヤーで暗号化してくれ

276名無しさん@お腹いっぱい。2018/09/24(月) 21:02:51.000
IPsecでも何でも使えばいいだろうよ
そんな事やってられないからこのレイヤーで暗号化してるんだ

277名無しさん@お腹いっぱい。2018/09/24(月) 21:46:54.630
もっと下

278名無しさん@お腹いっぱい。2018/09/24(月) 22:27:08.270
サーバーまで直接LANケーブルで繋げば解決だな

279名無しさん@お腹いっぱい。2018/09/24(月) 23:44:48.310
もうこれわかんねぇな

280名無しさん@お腹いっぱい。2018/09/25(火) 09:27:33.360
WiFiでインターネット網を作る

281名無しさん@お腹いっぱい。2018/09/25(火) 09:33:10.280
「ぼくのかんがえたさいきょうのあんごう」
これ使えば安全だぞサポートしてるブラウザなんか存在しないけどな

282名無しさん@お腹いっぱい。2018/09/25(火) 11:09:55.580
バカか?

283名無しさん@お腹いっぱい。2018/09/25(火) 13:21:15.950
>>282
つ[鏡]

284名無しさん@お腹いっぱい。2018/09/25(火) 15:53:18.820
美女が映っている

285名無しさん@お腹いっぱい。2018/09/25(火) 21:17:10.780
>>263
一度もした事ないけど
ちゃんと自動更新されてる

286名無しさん@お腹いっぱい。2018/09/25(火) 21:28:19.600
更新なんか不要です

287名無しさん@お腹いっぱい。2018/09/25(火) 22:02:44.600
レッツエンクリプトのプランドを一度取得したんだから、
失効のリスクを抱えてまで更新する必要はない。

288名無しさん@お腹いっぱい。2018/09/25(火) 22:07:00.410
Plantかよ

289名無しさん@お腹いっぱい。2018/09/25(火) 23:47:30.760
>>287
Let's Encryptの証明書は発行から90日後が有効期限ですけど

290名無しさん@お腹いっぱい。2018/09/26(水) 06:38:36.740
有効期限なんかどうでも良くね?
ブランドはいつまでも価値あるもの
今でもフェラーリの古いやつに乗ってる人いるだろ

291名無しさん@お腹いっぱい。2018/09/26(水) 11:45:21.650
フェラーリだって2年ごとに車検受けないと公道で乗れないだろ

292名無しさん@お腹いっぱい。2018/09/26(水) 11:49:14.600
そんなの関係ねー!

293名無しさん@お腹いっぱい。2018/09/26(水) 15:16:27.230
HTTPよりタチの悪いサイトだな

294名無しさん@お腹いっぱい。2018/09/27(木) 15:44:19.360
>>289
でも自動更新される

ん?
自動更新されるのはレン鯖のサービスで?

295名無しさん@お腹いっぱい。2018/09/27(木) 17:34:12.310
>>294
更新の自動化は鯖側でやるものだから、共有レン鯖ならその業者がサービスとして設定していますね

296名無しさん@お腹いっぱい。2018/09/27(木) 17:39:36.490
更新などしてはならない

297名無しさん@お腹いっぱい。2018/09/27(木) 21:59:26.560
いやいやいや

298名無しさん@お腹いっぱい。2018/09/28(金) 08:37:05.040
常時SSL化する意味がわからない

299名無しさん@お腹いっぱい。2018/09/28(金) 09:44:59.470
>>298
金儲ける機会の向上
検索順位優遇・HTTP/2速度向上・セキュリティ向上・それによる広告収入アップなどいいことだらけ
おあそびやおままごとじゃなければとっくに常時SSL
化してる

300名無しさん@お腹いっぱい。2018/09/28(金) 10:43:02.730
アングラサイトこそSSL化するべきだ。

301名無しさん@お腹いっぱい。2018/09/28(金) 13:32:43.400
SSLは有害

302名無しさん@お腹いっぱい。2018/09/28(金) 14:15:02.570
×SSLは有害
○SSL化するスキルがないお子ちゃま

303名無しさん@お腹いっぱい。2018/09/28(金) 15:48:03.610
SSLが有害なのは合ってる。
TLS 1.2以上じゃないとね。

304名無しさん@お腹いっぱい。2018/09/28(金) 18:32:37.470
それでも裸httpよりはいいだろ

305名無しさん@お腹いっぱい。2018/09/28(金) 18:41:43.510
私の開発したOCLPの方が良いです。

306名無しさん@お腹いっぱい。2018/09/29(土) 07:15:03.950
>>303
常時SSLってワードにTLSが含まれないっていう細かい揚げ足とり厨かな?
SSLをTLSに言い直すかって議論はもう結論出てるんだが?

307名無しさん@お腹いっぱい。2018/09/29(土) 07:46:46.760
まだ道程

308名無しさん@お腹いっぱい。2018/09/29(土) 08:59:14.580
このスレのスルー耐性のなさは異常
みんな子供

309名無しさん@お腹いっぱい。2018/09/29(土) 14:11:47.260
DNSの問い合わせは暗号化しないの?

310名無しさん@お腹いっぱい。2018/09/29(土) 14:22:47.840
俺はやってるけどもしかしてやってないのか?

311名無しさん@お腹いっぱい。2018/09/29(土) 14:30:30.470
DNS-SEC?

312名無しさん@お腹いっぱい。2018/09/29(土) 14:35:56.590
俺なんか普段の会話すら暗号だよ
誰も解読できない

313名無しさん@お腹いっぱい。2018/09/29(土) 15:16:36.150
会話(かいわ、英: conversation)とは、2人もしくはそれ以上の主体が、主として言語の発声・手話・ジェスチャーなどによる意思表示によって共通の話題をやりとりするコミュニケーションや、あるいは話をする行為全般(内容・様式など)のこと。

ウィキペディアより

314名無しさん@お腹いっぱい。2018/09/29(土) 15:20:13.530
スレ違い

315名無しさん@お腹いっぱい。2018/09/29(土) 17:46:37.890
統合失調症なので一人で会話できるの

316名無しさん@お腹いっぱい。2018/09/29(土) 19:09:29.980
×会話
○独り言+要警戒対象者

317名無しさん@お腹いっぱい。2018/09/29(土) 20:54:54.120
バカだろ?

318名無しさん@お腹いっぱい。2018/09/29(土) 22:13:02.300

319名無しさん@お腹いっぱい。2018/09/30(日) 10:09:17.920
みなさん、今までお付き合いいただきありがとうございました。
9月も終わりましたので私のマジキチ書き込みは終わります。

320名無しさん@お腹いっぱい。2018/09/30(日) 12:35:25.380
また来てね

321名無しさん@お腹いっぱい。2018/09/30(日) 13:19:32.560
やだよ

322名無しさん@お腹いっぱい。2018/09/30(日) 14:08:05.270
みんさん1週間よく耐えましたね。
これが最後の書き込みです。
お世話になりました。

323名無しさん@お腹いっぱい。2018/09/30(日) 14:26:31.190
↓まだまだ続くんじゃ

324名無しさん@お腹いっぱい。2018/10/09(火) 21:21:27.560
>>246 です。

とりあえず今回は手動で更新して済ませたんですが、今後のために教えてください。

CentOS 6
Apache 2.2
Python 2.7
※すべてそろそろ入れ替えないとと思ってます。

プラグインって結局なんなんだ?と少しググりましたが、
Apache 2.4系じゃないと使えないんですかね?

今回の質問は…
コマンドで更新する際に質問が来てしまって、2とEnterを押さないといけないのを自動化できないかというものです。

certbot-auto certonly --standalone -d www.example.jp

これを実行すると下記の質問が来ます。

What would you like to do?
-------------------------------------------------------------------------------
1: Keep the existing certificate for now
2: Renew & replace the cert (limit ~5 per 7 days)
-------------------------------------------------------------------------------
Select the appropriate number [1-2] then [enter] (press 'c' to cancel): 2

httpdが多少止まるのは全然問題なし。
よろしくお願いします。

325名無しさん@お腹いっぱい。2018/10/09(火) 22:40:18.430
いいんじゃない?

326名無しさん@お腹いっぱい。2018/10/09(火) 23:47:45.210
なんで更新するのにrenewコマンド使わないの?

327名無しさん@お腹いっぱい。2018/10/10(水) 00:32:46.670
>>324
すでに証明書発行済みなのに新規発行しようとしてるから、既存証明書を残すか強制更新するか聞かれてるわけ
新規発行は--standaloneじゃなく--webrootでやればApache動かしたままできるし
更新はcertbot renew --post-hook "/etc/init.d/httpd reload"でやんなさい

328名無しさん@お腹いっぱい。2018/10/10(水) 06:09:31.550
>>325
少しは進みました(笑)

>>326 >>327
renewやpost-hookは真っ先にやりましたよ…
でも色々とやってみた結果なんで…(汗)

renewが何をやってもプラグインエラーから変わらず。
ログを見ても同じような事しか書いてない。

Apache 2.4のrpm版にしたら解決するのかもしれない?
プラグインの具体的な意味をまだ把握していないんですが、
ネットに書いてあるcertbot-python-apacheみたいなrpmは色んなyumリポを探したけどなかったです。
色々な名前でも検索した。

329名無しさん@お腹いっぱい。2018/10/10(水) 07:36:33.390
色々やれてない結果

330名無しさん@お腹いっぱい。2018/10/10(水) 08:18:33.640
>>248
こんな状況ですんで…
いじってる時間ないんですよ。
でもVPSじゃないと困ることが多々あるのでレンサバにしてないんです。

331名無しさん@お腹いっぱい。2018/10/10(水) 08:28:24.570
あっそ

332名無しさん@お腹いっぱい。2018/10/10(水) 08:38:53.550
次のSSL更新が来年なので、CentOS7の入れ替えを年末年始にでもやります。
ご指摘ありがとうございました!

あっ、ふとさらなる迷宮作戦を思い付きました。
どうしてもダメなら懐かしのexpectを使って2を入力するようにしてみます(苦笑)

333名無しさん@お腹いっぱい。2018/10/10(水) 08:45:17.040
更新できなくてスレ荒らしてたのお前だろ
氏ねば?

334名無しさん@お腹いっぱい。2018/10/10(水) 09:52:44.670
無料だとこんなのも相手にしなきゃいけないんだな
サポートしてる人も可哀想だ

335名無しさん@お腹いっぱい。2018/10/10(水) 10:50:03.730
本当に死ねばいいのにな
VPSとかどうせ侵入されて情報ダダ漏れだろ

336名無しさん@お腹いっぱい。2018/10/10(水) 11:01:09.540
そんなやつの情報はどうでもいいが感染して他人に迷惑かけるからな

337名無しさん@お腹いっぱい。2018/10/10(水) 11:10:48.160
更新できない八つ当たりで荒らす精神がクズ

338名無しさん@お腹いっぱい。2018/10/10(水) 11:24:30.340
5000年romってろ

339名無しさん@お腹いっぱい。2018/10/10(水) 12:06:12.820
うちの部署にメッセージ読まない検索しないマニュアル読まないで動かないとか文句いって質問してくるやつがいる

340名無しさん@お腹いっぱい。2018/10/10(水) 12:35:37.880
>>339
作業依頼のメールに手順を書いてログインIDやパスワードを添えてあっても

やり方教えてください、ログインIDわかりません、パスワード教えてくださいと毎度問い合わせが来る

341名無しさん@お腹いっぱい。2018/10/10(水) 12:43:03.000
>>332 です。
初心者の勉強用の非公開サーバーなので何を言われても良いんですが、これだけ。

・自宅固定IP以外はiptablesや他のアクセス制限を組み合わせて全サービス接続できないようにしています。
・DNS、NTP問い合わせもサーバー屋さんのだけにiptablesで制限しています。
・TCP 80, 443だけはconfのアクセス制限で自宅IPと*.letsencrypt.orgだけ許可しています。
・不要なサービスはすべて停止しています。
・bindするアドレスは極力127.0.0.1を心掛けています。

CentOS7に入れ替える時には、どこかのサイトやマニュアル通りの手順通りにやってみます。
自宅サーバーは物理面の保守が嫌なので勘弁してください。

342名無しさん@お腹いっぱい。2018/10/10(水) 12:44:25.150
スレ違い

343名無しさん@お腹いっぱい。2018/10/10(水) 12:45:47.100
いつ死ぬの?今でしょ!

344名無しさん@お腹いっぱい。2018/10/10(水) 12:50:50.570
>>341
何言われてもいいなら言い訳長文レスしないはず
文句言われて悔しいから反射的に書き込み反論我慢できない

技術も精神も子どもなんだろう

345名無しさん@お腹いっぱい。2018/10/10(水) 13:21:56.020
荒らし野郎の相手すんなよ
また火病るぞ

346名無しさん@お腹いっぱい。2018/10/10(水) 14:52:44.330
>>341 です。
これから全力で荒らしますので、よろしくお願いいたします。

347名無しさん@お腹いっぱい。2018/10/10(水) 17:39:03.660
>>328
だからー根本的にstandaloneじゃなくwebroot使いなさいっていうの
renewの動作は最初の発行時を引き継ぐんだから

348名無しさん@お腹いっぱい。2018/10/10(水) 19:11:04.920
>>346
おまえの>>322引退宣言は嘘かよ

349名無しさん@お腹いっぱい。2018/10/10(水) 23:30:52.250
素で死ね

350名無しさん@お腹いっぱい。2018/10/11(木) 08:03:26.840
つーか、このスレの最初から見てても意地悪と変な質問ぐらいしかねーよ
今後はID、ワッチョイつけれ

351名無しさん@お腹いっぱい。2018/10/11(木) 08:31:58.920
あと650レス

352名無しさん@お腹いっぱい。2018/10/11(木) 08:34:53.980

353名無しさん@お腹いっぱい。2018/10/11(木) 09:36:59.770
>>346
書き方特徴あるから他のスレで書いたレスもよくわかる
他のスレではマジメで笑う

354名無しさん@お腹いっぱい。2018/10/11(木) 09:49:40.830
ハンニバル効果だっけ?

355名無しさん@お腹いっぱい。2018/10/11(木) 10:39:31.580
無料系サービスにはたちが悪いのが次々とたかるというだけ

そこが他のスレとの違い

356名無しさん@お腹いっぱい。2018/10/11(木) 12:48:51.040
荒らし野郎と断定するのは微妙じゃね?
便乗するやつも多いからワッチョイあるといいんだよ。

357名無しさん@お腹いっぱい。2018/10/11(木) 13:13:36.910
この話題もうやめろ

358名無しさん@お腹いっぱい。2018/10/11(木) 13:31:05.140

359名無しさん@お腹いっぱい。2018/10/12(金) 21:24:54.690
>>346です。
今から荒らし開始します。

360名無しさん@お腹いっぱい。2018/10/19(金) 01:13:38.000
 私たち日本人の、日本国憲法を改正しましょう。
総ム省の、『憲法改正國民投票法』、でググって
みてください。拡散も含め、お願い致します。

361名無しさん@お腹いっぱい。2018/10/26(金) 19:50:00.730
PLESKでLet’s Encrypt使ってます。

どこにも.well-knownディレクトリがありません。
いつの間にかなくなってました。
この状態で証明書は更新でき証明書が有効の状態です。
これって時間がたつと証明書が無効になったり、
更新できなくなったりするのでしょうか?

362名無しさん@お腹いっぱい。2018/10/27(土) 05:33:54.750
>>361
更新時しか必要ないので、更新完了したら自動的に削除されるようにしてるんじゃないですか

363名無しさん@お腹いっぱい。2018/11/01(木) 09:48:09.220
証明書が変になってしまいました。
現在ドメイン・サブドメインで4つ使ってます。
aaa.com
sub-a.aaa.com
sub-b.aaa.com

この時sub-b.aaa.comにb.aaa.com証明書を割り当てると、
aaa.comとなりブラウザでアクセスすると「なりすましの可能性がある」と、
証明書が無効のようになっています。
証明書はsub-b.aaa.comで作っていますが、
どうすればこのサブドメインで証明書を作れる/認識できるでしょうか?

364名無しさん@お腹いっぱい。2018/11/01(木) 14:41:18.130
取り敢えず openssl コマンド叩いて証明書の中身確認してみそ。
あとそのドメインは実在してるけどあなたの管理してるところ?

365名無しさん@お腹いっぱい。2018/11/01(木) 14:56:21.350
問題になりたくなきゃ適当なドメインじゃなくてexample.comとか使えと。

366名無しさん@お腹いっぱい。2018/11/01(木) 17:12:56.540
web鯖再起動されてないんじゃ?
ワイルドカードは使わないの?

367名無しさん@お腹いっぱい。2018/11/01(木) 17:26:56.160
証明書更新って止めないとできないの?

368名無しさん@お腹いっぱい。2018/11/01(木) 17:31:20.160
webroot使えば止めずにできる

369名無しさん@お腹いっぱい。2018/11/01(木) 18:05:33.020
いや再起動してる

370名無しさん@お腹いっぱい。2018/11/01(木) 18:11:31.240
gracefulでいいよ

371名無しさん@お腹いっぱい。2018/11/01(木) 18:16:59.410
DNS-01だし何も気にすることは無い

372名無しさん@お腹いっぱい。2018/11/01(木) 21:59:13.710
httpdならgraceful
nginxならreload

373名無しさん@お腹いっぱい。2018/11/10(土) 19:37:51.890

374名無しさん@お腹いっぱい。2018/11/16(金) 11:25:48.280
2年ぐらい複数の鯖で使ってるけど
実は自動更新に成功したことがない、俺の技術力の低さ
一応エンジニアなんだけど

375名無しさん@お腹いっぱい。2018/11/16(金) 12:19:34.130
certbot なりクライアントが作った root 直下 .well-known 以下にある認証用かなんかのファイルを
80/tcp 叩いて http で 200 が出りゃ良いだけなんだから順を追ってどこでしくってるか見なおすだけではと思ってみるよ。

376名無しさん@お腹いっぱい。2018/11/16(金) 12:40:11.050
名前解決遅いクソドメイン使って更新したらずっとタイムアウトで失敗した
少しだけ早くなったときにやっと成功した
こんな例もある

377名無しさん@お腹いっぱい。2018/11/16(金) 13:47:09.410
そもそもログが出ていなくてどこでしくじってるのか、実行されてるのかすらわからない
cronは普通に動いてるから実行されないとしても理由わからないし

378名無しさん@お腹いっぱい。2018/11/16(金) 13:47:25.290
>>376
TLDの話?DNS変えれば良いだけの話?

379名無しさん@お腹いっぱい。2018/11/16(金) 13:55:35.750
>>374
自分でcertbot renew実行したら更新されるの?

380名無しさん@お腹いっぱい。2018/11/16(金) 22:53:50.850
自動更新する気が無いから見てるだけーな人発見

381名無しさん@お腹いっぱい。2018/11/16(金) 23:47:24.520
更新するのにcertonlyする奴>>324もいるし、世の中いろんな人がいるもんですな

382名無しさん@お腹いっぱい。2018/11/17(土) 02:20:01.270
>>379
される
実行されてないのかなやっぱり、でも原因がわからない

383名無しさん@お腹いっぱい。2018/11/17(土) 10:47:42.380
実行はされてるぽいな、結果をメールするよう仕込んだら失敗したメールが来た
しかし一緒に出力させてるはずのログが空っぽで、原因がわからん
しつこく追っていくしかないか…ただその時間が取れなくて毎回手動更新して誤魔化してる

384名無しさん@お腹いっぱい。2018/11/17(土) 12:14:29.240
自動更新されるんだけど、IISに自動的にバインドされない…設定間違えてるのかなぁ

385名無しさん@お腹いっぱい。2018/11/19(月) 06:14:53.970
自動更新失敗の件、どうやら自動実行時だけscl enable python27がうまく行かないっぽい
ぐぐると色々対処方が出て来るがどれも微妙に違ってて、どれもうちの環境では失敗する

386名無しさん@お腹いっぱい。2018/11/19(月) 09:36:20.100
嵐野郎まだ更新できないのかよwww

387名無しさん@お腹いっぱい。2018/11/19(月) 12:35:51.450
更新エラーの書き込みは無視しようぜ

388名無しさん@お腹いっぱい。2018/11/26(月) 10:08:01.410
てすと

389名無しさん@お腹いっぱい。2018/11/26(月) 10:23:02.320
メインとサブドメインで3つのサイトを運営しているとして、
Let's Encryptの証明書を作ると、
+----+-------------------------------------+--------+------------------------+
| id | name | rep_id | name |
+----+-------------------------------------+--------+------------------------+
| 20 | Lets Encrypt EXAMPLE.COM | 4 | EXAMPLE.COM |
| 20 | Lets Encrypt EXAMPLE.COM | 4 | BBB.EXAMPLE.COM |
| 20 | Lets Encrypt EXAMPLE.COM | 4 | CCC.EXAMPLE.COM |
| 22 | Lets Encrypt BBB.EXAMPLE.COM | 4 | EXAMPLE.COM |
| 22 | Lets Encrypt BBB.EXAMPLE.COM | 4 | BBB.EXAMPLE.COM |
| 22 | Lets Encrypt BBB.EXAMPLE.COM | 4 | CCC.EXAMPLE.COM |
| 23 | Lets Encrypt CCC.EXAMPLE.COM | 4 | EXAMPLE.COM |
| 23 | Lets Encrypt CCC.EXAMPLE.COM | 4 | BBB.EXAMPLE.COM |
| 23 | Lets Encrypt CCC.EXAMPLE.COM | 4 | CCC.EXAMPLE.COM |
+----+-------------------------------------+--------+------------------------+

こんな感じにすべてが重複されてしまっている状態です。
上の例で「ID 20」でhttps接続したい場合は、
BBBとCCCを含むEXAMPLE.COMですべてのサイトでexample.comの証明書を割り当てないとできません。
BBB.EXAMPLE.COMでBBB.EXAMPLE.COMの証明書を割り当てると、
EXAMPLE.COMの証明書だからとなりすまし警告が来ます。
つまりどれか一つのサイトでしかHTTPS接続ができません。
BBBでhttps接続したい場合は、BBB.EXAMPLE.COMに合わせます。

これらの設定のリセット方法ってありますか?
もしくは上記の重複分を個別に削除していく方法ってありますか?

390名無しさん@お腹いっぱい。2018/11/26(月) 11:09:33.730
想定した証明書が使われてないのは、そもサーバーの設定の問題だと思うが。
重複してる部分は個別にrevokeしていけば良い

391名無しさん@お腹いっぱい。2018/11/26(月) 12:12:43.970
certbot なら -d のオプションを4つ並べて1枚の証明書を作るって共用とするか、
ウェブサーバの VirtualHost 毎に正しい証明書とプライベート鍵の組を設定する、
がんばれ

392名無しさん@お腹いっぱい。2018/11/28(水) 03:02:51.040
ワイルドカード証明書

393名無しさん@お腹いっぱい。2018/12/03(月) 11:45:17.140
SSLってなんですか?誰か暇な人教えて下さい

394名無しさん@お腹いっぱい。2018/12/03(月) 16:28:38.630
Sex Sitai Lady つまり淫乱女って意味

395名無しさん@お腹いっぱい。2018/12/06(木) 07:19:09.070
先月更新して2月まで期限があるのにもうすぐ切れるよってcertificate expiration noticeメールが来た。
これって何かおかしい?気にしなくていいの?

396名無しさん@お腹いっぱい。2018/12/06(木) 09:50:13.110
そのメールよく読んでわからなかったら貼れや

397名無しさん@お腹いっぱい。2018/12/06(木) 13:37:34.530
この説明でなにか伝わると思ってるんだろうか
思ってるんだろうな…

398名無しさん@お腹いっぱい。2018/12/06(木) 14:58:05.730
更新時にSAN追加したとかで新規証明書になったって落ちじゃね

399名無しさん@お腹いっぱい。2018/12/07(金) 02:08:58.370
ここにいる人にもわからないみたいだな
全く謎だ

400名無しさん@お腹いっぱい。2018/12/07(金) 02:18:35.450
皆さんエスパーじゃないですからね

401名無しさん@お腹いっぱい。2018/12/07(金) 02:45:36.050
>>395のあたまがおかしい

402名無しさん@お腹いっぱい。2018/12/07(金) 20:11:50.340
エリクソンもLet's Encrypt使ってれば自動更新だったろうに

403名無しさん@お腹いっぱい。2018/12/08(土) 02:23:59.340
エリクソンは実際は違うだろうけど最初に思い浮かんだのは
Let’s Encryptの更新だったな

404名無しさん@お腹いっぱい。2018/12/08(土) 16:42:51.370
俺らと違って頻繁に更新するものじゃないからな

405名無しさん@お腹いっぱい。2018/12/08(土) 17:14:02.550
そもこれで更新するような種類の証明書じゃねだろ

406名無しさん@お腹いっぱい。2018/12/09(日) 10:41:46.970
>>324 です。

結論から言うと、CentOS6のまま自動更新できるようになりました。

環境が汚かったのが原因だったようです。
無駄なrpmは削除、
/optを一度全部削除する。
Pythonはデフォルトの2.6.6に戻す。

certbot-autoの最新を落として来て実行して、
/optにPython3.4の環境を自動で使ってもらいました。

Apacheは関係ないかもですが、
最新の2.4をソースからインストールしました。

最後に certbot-auto renew を実行したら、/etcのデータを見てくれて、
すべての証明書が行進されました。
良かったです。

ネットの情報はほとんど見ないで、ドキュメントや
自分の理解でやった方が結果的に早かったです。

407名無しさん@お腹いっぱい。2018/12/09(日) 11:21:52.290
そして次の更新時に >324 と同じ症状が出たので教えてください と繰り返すのを幻視

408名無しさん@お腹いっぱい。2018/12/09(日) 11:33:58.380
なるほど!
でもrenewだから出ないですね…
今度はVPSが爆発したりするかもしれません。
よろしくお願いいたします。

409名無しさん@お腹いっぱい。2018/12/09(日) 11:37:06.190
>ネットの情報はほとんど見ないで、ドキュメントや
>自分の理解でやった方が結果的に早かったです。

この文章を巨大文字で印刷してモニターに貼り付けとけ
もうこのスレには来るなよ

410名無しさん@お腹いっぱい。2018/12/09(日) 11:40:52.300
はい。卒業できそうです。
ありがとつございました。

411名無しさん@お腹いっぱい。2018/12/09(日) 11:53:10.270
本当に何なのこのスレ

412名無しさん@お腹いっぱい。2018/12/09(日) 19:10:01.360
ドキュメントを見てやることと自分の勘でやることはとんでもない違いがあるけど

413名無しさん@お腹いっぱい。2018/12/09(日) 19:39:36.110
ドキュメントもネットの情報なんだけどねw

414名無しさん@お腹いっぱい。2018/12/09(日) 19:48:36.200
むしろ何も調べずに人に聞くとかアホかと

415名無しさん@お腹いっぱい。2018/12/09(日) 22:06:06.240
去年の5月だかに発生したバグにぶち当たると謎挙動なるから
とりあえず聞いてみる(エラーメッセージや実行したコマンドは公開できない!)のは
公式サイトの障害情報や、アップデート時のバグを負えない人だと仕方ないとも言える

キータでみたそれっぽいコマンドをコピペしたけど失敗した
悪さしてそうなファイルを消してリトライしたらおかしくなった

とかの相手はマジで疲れるけど

416名無しさん@お腹いっぱい。2018/12/10(月) 00:51:59.000
やっぱRTFMでFAだな

417名無しさん@お腹いっぱい。2018/12/10(月) 06:33:18.730
>>406 です。
お前らのその後の態度が気に入らないのでスレを荒らしますね。
大人しくしてますけど本当は超有名企業の研究職です。
この分野には疎いだけでお前らなんかと格が違いますよ。

418名無しさん@お腹いっぱい。2018/12/10(月) 08:38:37.970
俺の親父はインターネットの幹部だからな

419名無しさん@お腹いっぱい。2018/12/10(月) 09:00:48.440
>>417
>。

420名無しさん@お腹いっぱい。2018/12/10(月) 12:21:43.960
>>418
すげーな

421名無しさん@お腹いっぱい。2018/12/10(月) 18:01:58.370
超有名企業()

422名無しさん@お腹いっぱい。2018/12/10(月) 18:36:57.220
>>417
ドキュメントも読まずに質問する研究職w

423名無しさん@お腹いっぱい。2018/12/10(月) 20:29:13.870
>>417
どうせNTTかNECだろwww

424名無しさん@お腹いっぱい。2018/12/10(月) 22:26:39.600
ドキュメントも読まずに更新をcertonlyでやる研究職なんて
ちゃんと他の論文読めてるとは思えないね

425名無しさん@お腹いっぱい。2018/12/10(月) 22:40:15.680
けちょけちょやな

426名無しさん@お腹いっぱい。2018/12/10(月) 23:05:49.880
>>423
wwwそこやったらマジうける

427名無しさん@お腹いっぱい。2018/12/10(月) 23:09:41.950
能力低くても金稼げれば勝ちだから

428名無しさん@お腹いっぱい。2018/12/10(月) 23:12:52.670
分野に疎い企業だっていってるんだよー

429名無しさん@お腹いっぱい。2018/12/10(月) 23:15:48.570
サイバーセキュリティ担当大臣レベルてこと

430名無しさん@お腹いっぱい。2018/12/11(火) 16:09:25.730
嵐くんはなりすなされてるだけだろw
マジだったらキチガイすぎる

431名無しさん@お腹いっぱい。2018/12/11(火) 17:19:15.820
>>417 です。
本気ですからね。
こんなサイト潰すのはスクリプトで瞬殺ですよ。

432名無しさん@お腹いっぱい。2018/12/11(火) 17:20:41.270
>>431
犯罪予告ですか。通報しときますかね

433名無しさん@お腹いっぱい。2018/12/11(火) 17:39:05.660
超有名企業だろ。
大企業とは言ってないから超絶ブラックとかだろw
何の研究かなあ?合法な詐欺的手法とか?

434名無しさん@お腹いっぱい。2018/12/11(火) 17:46:47.930
>>431
スクリプトの読み書きができるなら、なぜPythonスクリプトであるcertbotを読まなかったのだろうか?

435名無しさん@お腹いっぱい。2018/12/11(火) 17:50:25.360
くだしつにあげてバカにされてそっちでも荒れるだけだろ。

436名無しさん@お腹いっぱい。2018/12/11(火) 17:50:57.720
前から予告してずっと探してんだろw
荒らしたいのにスクリプトが見つからないんだよwww

とネタにマジレス

437名無しさん@お腹いっぱい。2018/12/11(火) 18:00:47.600
ウザいから「。」を透過NG推奨

438名無しさん@お腹いっぱい。2018/12/11(火) 18:01:21.980
5chつぶせるのかー
すごいなー

439名無しさん@お腹いっぱい。2018/12/11(火) 18:41:32.380





440名無しさん@お腹いっぱい。2018/12/11(火) 19:08:09.320
>>431 です。
サーバーのIPは抜きました。
もう逃げられませんよ。

441名無しさん@お腹いっぱい。2018/12/11(火) 19:20:13.640
すいませんでした

442名無しさん@お腹いっぱい。2018/12/11(火) 20:18:01.710
鯖のIPわかんなかったら読めないだろーがw

443名無しさん@お腹いっぱい。2018/12/11(火) 20:44:15.490
おもしれーもっとやれ

444名無しさん@お腹いっぱい。2018/12/11(火) 22:01:52.800
栄光の443番のレスをそんなことに使うとは何事じゃ!

445名無しさん@お腹いっぱい。2018/12/12(水) 09:17:21.400
早くスクリプト教えろよ、クソが!

446名無しさん@お腹いっぱい。2018/12/12(水) 16:09:17.300
あきた

447名無しさん@お腹いっぱい。2018/12/12(水) 16:28:11.670
やまがた

448名無しさん@お腹いっぱい。2018/12/12(水) 19:47:09.540
土人

449名無しさん@お腹いっぱい。2018/12/14(金) 17:38:55.850
>>395だけど、前回はあと19日で切れるよってメールだったのが10日経ってあと9日で切れるよってメールがまた来た
何度確認しても期限は2月なんだけど、このまま放っておくとどうなるのか様子見ることにするわ
本当に切れたら笑う…いや笑えない…いややっぱり笑うかも

450名無しさん@お腹いっぱい。2018/12/14(金) 18:59:18.510
一度certonlyしたのを無効化せずに削除して、改めて同じホスト名で別のcertonlyした証明書を取り直したと推測

451名無しさん@お腹いっぱい。2018/12/14(金) 19:40:13.860
ぶっちゃけ真っ先に出るのがそれだよね

452名無しさん@お腹いっぱい。2018/12/14(金) 19:54:37.100
なるほど…ちょっと確認してみます

453名無しさん@お腹いっぱい。2018/12/14(金) 20:24:00.600
このスレで伝説になった>324といいcertonly万能と考えるシンクロニシティあるのかね

454名無しさん@お腹いっぱい。2018/12/15(土) 09:02:55.040
>>431 です。
>>453 は夜道に気をつけろよ。

455名無しさん@お腹いっぱい。2018/12/15(土) 09:21:56.150
>>455です。
>>454は自分の情弱っぷりに気をつけろよ。

456名無しさん@お腹いっぱい。2018/12/15(土) 09:31:09.570
>>454 です。
研究職を舐めない方が身のためと思って教えてあげてるんですよ。
その気になれば、あなたの自宅をスカラー波や低周波で狙い撃ちして、
病気にすることもできるんです。

457名無しさん@お腹いっぱい。2018/12/15(土) 09:49:03.200
>>454 です。
研究職というのも本当は違います。
アメリカの秘密組織のエージェントです。
これ以上書くと私が消されるので書きませんが。
まあ気をつけなさい。

458名無しさん@お腹いっぱい。2018/12/15(土) 12:41:16.190
なんとまぁレベルの低いスレなんだろう

459名無しさん@お腹いっぱい。2018/12/15(土) 13:59:56.110
あまり俺を怒らせるなよ?
何をするか分からんぜ

新着レスの表示
レスを投稿する