無料SSL/TLS証明書 Let's Encrypt Part2
■ このスレッドは過去ログ倉庫に格納されています
無料の SSL/TLS 証明書Let's Encryptのスレです
【Let's Encrypt 公式サイト】(英語)
https://letsencrypt.org/
【Let's Encrypt 公式Twitter】(英語による最新情報)
https://twitter.com/letsencrypt
【Let's Encrypt 総合ポータル】(日本語)
https://letsencrypt.jp/
【Let's Encrypt 導入方法】(日本語)
https://letsencrypt.jp/usage/
前スレ
【全ブラウザ対応】 無料SSL/TLS Let's Encrypt
http://mevius.2ch.net/test/read.cgi/hosting/1448874075/ Let’s Encryptの証明書って自動更新ですよね?
突然アクセスしている全PCで、
不明な証明書というダイアログが表示されました。
一旦証明書を削除してつくりなおそうとしたら、
サーバの調子が悪くなりました。
なんかの拍子に自動更新が失敗した時は、
どうすべきだったのですか? 自動で更新する方法を自分で設定してなきゃ期限切れるさ
アホじゃなかろうか >>7
certbotをパッケージでインストールしてればcronで日2回動くようになってる。まずその点を確認しなよ
何かの拍子どころかそもそも自動更新されるように設定できてないんじゃね?
削除もちゃんとcertbot deleteしたのか、勝手にディレクトリごと削除したのか?
具体的に何をどうしたのか言わないとダメだよ
できないようなら、あなたは向いてないからレン鯖でも借りてなさい >>10
Plesk使っててその中にLet’s encryptがありました。
そのUI上に更新の設定はなく、
基本自動更新される物だと思ってました。
証明書はPleskの画面から、
証明書を削除しました。 > 基本自動更新される物だと思ってました。
もうさWebサイトとかやめた方が良い 証明書削除する前に無効化処理してないと、再作成の際にアラートがでる。
サードパーティの自動化処理だとそこで蹴られたりするかもな >>7
> サーバの調子が悪くなりました。
具体的に サーバは決められた手順と指示のあったコマンドの通りに動いてるのにな
間違った指示を出している管理側に致命的な問題がある 証明書が自動更新されていたとしてもサーバが食ってないと意味がない。
証明書が更新されたら、サーバの設定をreloadしてやることを忘れてはいけない。 それを気にしなきゃいけないのはマニュアルな人だけかと
自動化スクリプトやコマンドオプションに大抵のサーバの再起動まで当たり前に入ってる 文脈からしてwebサーバーの再起動としか読めないが CentOS で systemd だとこれ cron でまわしときゃいい
MTA 周りでも使ってるから一緒に restart しとる。
certbot renew --post-hook "systemctl restart nginx dovecot postfix" --quiet 一時的な無反応を発生させない warm restart であるべきだから reload 推奨 >>21
あまり気にかけてなかったけど指摘されたら気になったので念のため挙動確認してから reload に変えておいた。
thx デス! バッチで自動更新仕掛けててもなんだかんだの理由でしょっちゅうコケてて駄目だなこれ
安定する方法ないのか 5週間前から更新されたはずだから1週間に1回しかけておけば5週連続失敗なんてことでもなけれりゃ むしろログ見てなんで失敗したかによって原因を排除もできないのか?
Webサーバ公開なんてやめた方が良いぞ、それじゃ 殺伐としてもしょうがないんだけど、ちょっと省みた方がいいよね。
システムが悪いんじゃなくて使い方に問題がありますよって話で。 個人独自ドメインなので、多少の弊害があってもいいやってんで
certbot renew --quiet --post-hook "reboot"
という設定を cron で動かしています。
本当は Web サーバーやその他必要なプロセスを再読み込みするのが正しいやり方なんだろうと思いますが
これによって、致命的な弊害の可能性ありますでしょうか?
偉い人、教えて下さい。 そういう質問するレベルだと
たまにfsck走って上がってくるまで時間かかりダウンタイムが長くなる弊害もありそうだな 1リクエストたりとも取りこぼしが許されないウォームリスタートに数十万年の投資するような必要がなければ、
2か月ちょいに一度、時間指定できる1分程度の停止が発生してても気にスンナ
毎日リブートかけてるような運用してる業者もゴロゴロだ 勝手に録画が中断されたら困るからrebootはチューナーの使用状況を確認して実行しないとな。 スレチだと思うのですが、教えて下さい。エロい人
http でアクセスしてきたら https にリダイレクトしているんですが、
例えば、
http://www.exsample.com?id=xxx&pass=xxx
ってアクセスがが来た時、id や pass はちゃんと暗号化されていますか? >>34
されていますん。
気になるならパケットキャプチャして目で見て確認。 クライアント「http://www.example.com/id=xxx&pass=xxxにアクセスするぞ!」
クライアント→サーバー(http)「www.example.comのサーバーさん、/id=xxx&pass=xxxをGETしたいです」 ←ココでhttp平文通信で要求パスが送られる
サーバー→クライアント(http)「そのページはこっちにあんねん つhttps://www.example.com/id=xxx&pass=xxx」 ←ここも当然http
クライアント「https://www.example.com/id=xxx&pass=xxxにリダイレクトだ!」
クライアント→サーバー(https)「www.example.comのサーバーさん、/id=xxx&pass=xxxをGETしたいです」
サーバー→クライアント(https)「おっけー、HTMLおくるよー」
普通に考えてhttpsにリダイレクトされる前にhttp通信してるじゃん
そこで平文で流れてるじゃん 要求を送る前にログインページがあって、HSTSヘッダを受け取っていた場合は、
次の要求はHTTPにリクエストせずHTTPSになり暗号化される、とも考えられる。
つまりこれだけの情報でははっきりした回答は出来ない、設定次第でYesにもNoにもなりうる。 >>39
>>34の例だとすでにhttpでGETしているのだから、あなたが考えた「場合」に該当しないことは明らか
というかスレチ どういう条件でhttpsが使われるかって話だけに限ればあながちスレチでもない。
そもそもHSTSの期間内ならHTTPリクエストは送られないよ。 hstsに従うかどうかはブラウザによる
hstsが聞くときはアクセスしたことがあるとき
証明書のスレッドであってhttps?の話は違うんじゃないかな Let's Encryptのスレであって、プロトコルに関する浅い知識の品評会スレではないよ プリフライトリクエストとか最近は事前にチェックするプロトコルいっぱいやしな 常時HTTPSが当たり前になって、
通信は暗号さえされてれば良いと言う流れだよね?
サイトの身分証明みたいな大義名分はもう消える。
違法・詐欺サイトがHTTPS使うだけだし。
何が言いたいかというと、証明書ビジネスはオワコン 通信がmitmされたりサイトが偽物に差し替わってないことの証明にはなる
銀行とか重要なところはEV使うだろうし >45
EVマークとサイトシールを目立たせるようになるだけかと 需要が大幅に減るということだよ。
生き残れる企業は少ないように思う。 フォームが暗号化されてないと客に不安感を与えるから、ぐらいの理由でSSL導入してるだけのところが
Let's Encryptに流れて有料証明書使わなくなると言いたいんじゃね
まあ、DVのくせに高いところは潰れてくれていい
高い金取るならせめてOV以上にしろと
でも現実は、無料証明書では怪しまれますよ、とDVも売るんだろうなぁ 今レンタルサーバーでlet's encryptのSSL使っていてサーバー移転する予定です
移転先サーバーでlet's encryptの証明書をインストールしてたら、ダウンタイムなしで移れますか? DV だからドメイン変わらないなら問題無い。
ダウンタイム云々は移転するタイミングとスケジュール次第。
自分は移転完了したつもりで旧サーバーからコンテンツ削除したら
"ダウンしている" と見える人もいれば移転に気付かない人も要るだろうね。 移転先にDNSが向くまでLEの証明書は作れないのに
ダウンタイムなしとか無理すぎ 普通に作れるだろ
サーバ設定まで全自動しかないと思ってるのかな?
指定されるファイルひとつ指定の場所におけばそれで認証されて、pem 生成されるから
それを好きな場所にコピーしてウェブサーバに読ませるだけやで?
だからSNI対応レンタルサーバであれば、まだ設定前のサーバの管理画面から手動で証明書登録することもできる ありがとうございます
DNS変更前に証明書つくれるなダウンタイムなしでいけるんですね vps契約して使っているのだが、ssl化したいんだが
最も安いのはどこの証明書?
教えけろ >>58
Let's Encrypt を入れたら無料で
SSL化出来るのか? >>59
何も面倒なことせず無料でコマンド一発で近代的なブラウザに対応した証明書が生成される神サービスだよ
価格抜きでも発行の手軽さという点で従来のDV証明書に勝ってると思う
オレオレ証明書よりも手軽だし >>61
本当か!
世の中進んでいるんだな。
インストールするわ。
サンキュウ サービス名やプロトコル名と実装してるコマンド名やプログラム名が別物というのはよくある Let's Encrypt で証明書を発行して
1. Web サーバー
2. メールサーバー
3. Pop サーバー
で使っているんですが、他にこれも出来るよってのありましたらご教示お願いします。 FTPはFTPSの設定として使えるから間違ってないけど
IPsecは上位レイヤー(トランスポート層ではなくネットワーク層)でSSLではない別の暗号化してくれる方式で
OpenVPNはそれ自体で毎回独自のTLSレイヤーを構成してるから証明書使わなくね? エンドポイント認証用に使える? SSL-VPN ってまともな実装やアプリあるの?
ブラウザVNCクライアントでPC側の証明書として使うのは充分ありかと思う softetherってファイアウォールかけてない443番ポートをHTTPSではない別の用途で悪用する
ファイアウォールを騙すためにopensslと通信を使うってだけで証明書使わなくね?
そして所謂SSL VPSでもなくね? 独自ドメインが何個でも無料で取得可能。
四文字ドメイン、レアドメイン多数。
SSL対応、サーバー、ワードプレスのインストールも無料。
詳しくはこちら https://ryoma.space/ まてよ、ドメインが無料で、SSL対応も無料で、サーバも無料、
そしてワードプレスのインストール(笑)も無料ってこと?
一体どこで儲けてるんだよ。 コンサルティングは有料だろw
全部他社のサービスだしググればいくらでも情報あるのにな ドメインは元々提供している国の宣伝が目的
SSLは寄付と企業からの支援で成り立ってる
ホームページは広告が出る 1サーバーで複数ドメインの運用をしているんだけど、
Let's Encrypt では一つの証明書に複数ドメインを登録出来るのでこりゃ、便利と
使っています。(設定がらくちん)
これのセキュリティリスクってどれくらいのもんなのでしょうか? 他のドメインがバレる
秘密鍵一つが流出したときに全ての通信内容が解読されてしまう >>78
これ、コンサルなのか…(震え声
覗いてみたけどこんなダサい「ホームページ」のコンサルに依頼するくらいなら、
どんなに初心者でもわからないなりに自分で調べてやった方がいいと思った。 IIS鯖がクラッシュしたので古いイメージ取り出して復活させようとしてじたばた
ディレクトリが違ったりして数回失敗したらこれでて終わってしまった。
Too many failed authorizations recently. status:429
どれくらい待てば再受付してくれるですかね?
コマンドは↓
letsencrypt.exe --accepttos --manualhost host.example.com --webroot C:\wwwroot 数の制限なんかな?
https://letsencrypt.org/docs/rate-limits/
ここ見ると週20個だな、最初に取得してから1週間でいけるかな >>83 10日くらい開けて再試行したら、今度はあっさりできましたわ ちなみに↓に引っかかったのだと思う。
「We also have a Duplicate Certificate limit of 5 certificates per week. 」 winクライアントはletsencrypt-win-simpleがベター?
他におすすめあれば教えて下さい もうWindowsでサーバ立ててないからワカラン。 NGINXでもApacheでもいいと思うけど、
OSにWindowsってのは考えないなぁ。 >>88
レンタル鯖が対応するまではそれ使って手動で作ってたよ 普通はIISは金かかるし、使わないのだろうけど、20年間こればっかりで変える気が起きず
Win鯖を使い続けている
このままでいかんと思って数年前にCentOSをインストールしてみたが挫折した >>93
CentOSつかいにくいからーな。(※Debianユーザの個人の感想です。)
ADSL全盛期に作ったWin2k上のanhttpd+Pmailserverをマシンごと仮想化して後生大事に使ってたけど、
いいかげんヤバいと思って何年か前にDebian上のNGINX+Postfix/Dovecotに移行したよ。 Nginxじゃあかんのか?xamppじゃあかんのか? NGINXだよ。
apt-getで簡単に一式入るからxmappを使う必要は無い。 >>88
ウェブサーバーのCaddyの内蔵クライアントが便利だった。ユーザーディレクトリ¥.caddyから探せば証明書が取り出せる。 サポートが年末年始休暇なんで教えて下さい。
共用レンタルサーバーロリポップで、
Let’s Encryptが使えます。
元々GMOグローバルサインの証明書もあり、
www.ドメイン.comで登録してます。
ドメイン.comはSSL証明書非対応。
この時、
Let’s Encryptでドメイン.comや
サブ.ドメイン.comを割り当てると、
重なり合って不具合が起きたりするのでしょうか? ■ このスレッドは過去ログ倉庫に格納されています