無料SSL/TLS証明書 Let's Encrypt Part2

1名無しさん@お腹いっぱい。2017/10/18(水) 10:46:04.560
無料の SSL/TLS 証明書Let's Encryptのスレです

【Let's Encrypt 公式サイト】(英語)
https://letsencrypt.org/

【Let's Encrypt 公式Twitter】(英語による最新情報)
https://twitter.com/letsencrypt

【Let's Encrypt 総合ポータル】(日本語)
https://letsencrypt.jp/

【Let's Encrypt 導入方法】(日本語)
https://letsencrypt.jp/usage/

前スレ
【全ブラウザ対応】 無料SSL/TLS Let's Encrypt
http://mevius.2ch.net/test/read.cgi/hosting/1448874075/

2名無しさん@お腹いっぱい。2017/10/18(水) 11:38:28.310
一乙

3名無しさん@お腹いっぱい。2017/10/18(水) 11:45:45.100
https://letsencrypt.org/2017/07/06/wildcard-certificates-coming-jan-2018.html
ワイルドカード証明書の発行はは2018年1月に開始予定

4名無しさん@お腹いっぱい。2017/10/18(水) 11:45:47.210
いちおつ

5名無しさん@お腹いっぱい。2017/10/18(水) 12:55:16.750
おっつ

6名無しさん@お腹いっぱい。2017/10/19(木) 04:01:04.030
いちおつ

7名無しさん@お腹いっぱい。2017/10/21(土) 20:22:41.940
Let’s Encryptの証明書って自動更新ですよね?
突然アクセスしている全PCで、
不明な証明書というダイアログが表示されました。
一旦証明書を削除してつくりなおそうとしたら、
サーバの調子が悪くなりました。

なんかの拍子に自動更新が失敗した時は、
どうすべきだったのですか?

8名無しさん@お腹いっぱい。2017/10/21(土) 20:27:39.860
自動で更新する方法を自分で設定してなきゃ期限切れるさ
アホじゃなかろうか

9名無しさん@お腹いっぱい。2017/10/21(土) 20:57:27.610
アホの相手しなきゃいいのに

10名無しさん@お腹いっぱい。2017/10/21(土) 21:10:01.170
>>7
certbotをパッケージでインストールしてればcronで日2回動くようになってる。まずその点を確認しなよ
何かの拍子どころかそもそも自動更新されるように設定できてないんじゃね?
削除もちゃんとcertbot deleteしたのか、勝手にディレクトリごと削除したのか?
具体的に何をどうしたのか言わないとダメだよ
できないようなら、あなたは向いてないからレン鯖でも借りてなさい

11名無しさん@お腹いっぱい。2017/10/21(土) 22:49:12.030
>>10
Plesk使っててその中にLet’s encryptがありました。
そのUI上に更新の設定はなく、
基本自動更新される物だと思ってました。

証明書はPleskの画面から、
証明書を削除しました。

12名無しさん@お腹いっぱい。2017/10/22(日) 02:15:14.550
> 基本自動更新される物だと思ってました。
もうさWebサイトとかやめた方が良い

13名無しさん@お腹いっぱい。2017/10/22(日) 05:16:33.870
証明書削除する前に無効化処理してないと、再作成の際にアラートがでる。
サードパーティの自動化処理だとそこで蹴られたりするかもな

>>7
> サーバの調子が悪くなりました。
具体的に

サーバは決められた手順と指示のあったコマンドの通りに動いてるのにな
間違った指示を出している管理側に致命的な問題がある

16名無しさん@お腹いっぱい。2017/10/23(月) 11:03:11.820
証明書が自動更新されていたとしてもサーバが食ってないと意味がない。
証明書が更新されたら、サーバの設定をreloadしてやることを忘れてはいけない。

17名無しさん@お腹いっぱい。2017/10/23(月) 16:16:24.800
それを気にしなきゃいけないのはマニュアルな人だけかと

自動化スクリプトやコマンドオプションに大抵のサーバの再起動まで当たり前に入ってる

18名無しさん@お腹いっぱい。2017/10/23(月) 20:03:22.290
サービスの再起動じゃないのか
恐ろしいな

19名無しさん@お腹いっぱい。2017/10/23(月) 20:32:13.450
文脈からしてwebサーバーの再起動としか読めないが

20名無しさん@お腹いっぱい。2017/10/23(月) 20:58:07.350
CentOS で systemd だとこれ cron でまわしときゃいい
MTA 周りでも使ってるから一緒に restart しとる。
certbot renew --post-hook "systemctl restart nginx dovecot postfix" --quiet

21名無しさん@お腹いっぱい。2017/10/23(月) 23:04:19.590
一時的な無反応を発生させない warm restart であるべきだから reload 推奨

22名無しさん@お腹いっぱい。2017/10/24(火) 07:40:16.020
>>21
あまり気にかけてなかったけど指摘されたら気になったので念のため挙動確認してから reload に変えておいた。
thx デス!

23名無しさん@お腹いっぱい。2017/10/26(木) 14:13:52.000
バッチで自動更新仕掛けててもなんだかんだの理由でしょっちゅうコケてて駄目だなこれ
安定する方法ないのか

24名無しさん@お腹いっぱい。2017/10/26(木) 22:00:55.820
馬鹿ですって宣言しに来なくてもいいから

25名無しさん@お腹いっぱい。2017/10/26(木) 23:55:50.780
まったくだ
コケるなら頻度あげればいいだけの話

26名無しさん@お腹いっぱい。2017/10/27(金) 14:14:58.260
5週間前から更新されたはずだから1週間に1回しかけておけば5週連続失敗なんてことでもなけれりゃ

27名無しさん@お腹いっぱい。2017/10/27(金) 23:30:20.980
むしろログ見てなんで失敗したかによって原因を排除もできないのか?
Webサーバ公開なんてやめた方が良いぞ、それじゃ

28名無しさん@お腹いっぱい。2017/10/30(月) 10:46:02.950
殺伐としてもしょうがないんだけど、ちょっと省みた方がいいよね。
システムが悪いんじゃなくて使い方に問題がありますよって話で。

29名無しさん@お腹いっぱい。2017/11/08(水) 09:21:34.590
個人独自ドメインなので、多少の弊害があってもいいやってんで

certbot renew --quiet --post-hook "reboot"

という設定を cron で動かしています。

本当は Web サーバーやその他必要なプロセスを再読み込みするのが正しいやり方なんだろうと思いますが
これによって、致命的な弊害の可能性ありますでしょうか?

偉い人、教えて下さい。

30名無しさん@お腹いっぱい。2017/11/08(水) 09:57:24.340
てめえの鯖のことなんてわかるわけねえだろバーカ

31名無しさん@お腹いっぱい。2017/11/08(水) 11:51:20.800
そういう質問するレベルだと
たまにfsck走って上がってくるまで時間かかりダウンタイムが長くなる弊害もありそうだな

32名無しさん@お腹いっぱい。2017/11/08(水) 13:16:01.190
1リクエストたりとも取りこぼしが許されないウォームリスタートに数十万年の投資するような必要がなければ、
2か月ちょいに一度、時間指定できる1分程度の停止が発生してても気にスンナ
毎日リブートかけてるような運用してる業者もゴロゴロだ

33名無しさん@お腹いっぱい。2017/11/09(木) 10:25:54.550
勝手に録画が中断されたら困るからrebootはチューナーの使用状況を確認して実行しないとな。

34名無しさん@お腹いっぱい。2017/11/14(火) 09:39:51.960
スレチだと思うのですが、教えて下さい。エロい人

http でアクセスしてきたら https にリダイレクトしているんですが、

例えば、

http://www.exsample.com?id=xxx&pass=xxx

ってアクセスがが来た時、id や pass はちゃんと暗号化されていますか?

35名無しさん@お腹いっぱい。2017/11/14(火) 09:53:34.380
スレチ

36名無しさん@お腹いっぱい。2017/11/14(火) 10:16:05.050
>>34
されていますん。
気になるならパケットキャプチャして目で見て確認。

37名無しさん@お腹いっぱい。2017/11/14(火) 19:07:55.780
されてるわけないじゃん

38名無しさん@お腹いっぱい。2017/11/14(火) 19:42:23.020
クライアント「http://www.example.com/id=xxx&pass=xxxにアクセスするぞ!」
クライアント→サーバー(http)「www.example.comのサーバーさん、/id=xxx&pass=xxxをGETしたいです」 ←ココでhttp平文通信で要求パスが送られる
サーバー→クライアント(http)「そのページはこっちにあんねん つhttps://www.example.com/id=xxx&pass=xxx」 ←ここも当然http
クライアント「https://www.example.com/id=xxx&pass=xxxにリダイレクトだ!」
クライアント→サーバー(https)「www.example.comのサーバーさん、/id=xxx&pass=xxxをGETしたいです」
サーバー→クライアント(https)「おっけー、HTMLおくるよー」

普通に考えてhttpsにリダイレクトされる前にhttp通信してるじゃん
そこで平文で流れてるじゃん

39名無しさん@お腹いっぱい。2017/11/15(水) 09:32:12.740
要求を送る前にログインページがあって、HSTSヘッダを受け取っていた場合は、
次の要求はHTTPにリクエストせずHTTPSになり暗号化される、とも考えられる。
つまりこれだけの情報でははっきりした回答は出来ない、設定次第でYesにもNoにもなりうる。

40名無しさん@お腹いっぱい。2017/11/15(水) 14:16:22.670
>>39
>>34の例だとすでにhttpでGETしているのだから、あなたが考えた「場合」に該当しないことは明らか
というかスレチ

41名無しさん@お腹いっぱい。2017/11/15(水) 14:37:37.990
どういう条件でhttpsが使われるかって話だけに限ればあながちスレチでもない。
そもそもHSTSの期間内ならHTTPリクエストは送られないよ。

42名無しさん@お腹いっぱい。2017/11/15(水) 16:57:43.920
hstsに従うかどうかはブラウザによる
hstsが聞くときはアクセスしたことがあるとき

証明書のスレッドであってhttps?の話は違うんじゃないかな

43名無しさん@お腹いっぱい。2017/11/15(水) 17:47:33.390
Let's Encryptのスレであって、プロトコルに関する浅い知識の品評会スレではないよ

44名無しさん@お腹いっぱい。2017/11/15(水) 18:47:44.730
プリフライトリクエストとか最近は事前にチェックするプロトコルいっぱいやしな

45名無しさん@お腹いっぱい。2017/11/23(木) 11:35:39.990
常時HTTPSが当たり前になって、
通信は暗号さえされてれば良いと言う流れだよね?
サイトの身分証明みたいな大義名分はもう消える。
違法・詐欺サイトがHTTPS使うだけだし。

何が言いたいかというと、証明書ビジネスはオワコン

46名無しさん@お腹いっぱい。2017/11/23(木) 11:44:28.880
通信がmitmされたりサイトが偽物に差し替わってないことの証明にはなる
銀行とか重要なところはEV使うだろうし

47名無しさん@お腹いっぱい。2017/11/23(木) 12:01:00.520
>45
EVマークとサイトシールを目立たせるようになるだけかと

48名無しさん@お腹いっぱい。2017/11/23(木) 12:17:28.470
需要が大幅に減るということだよ。
生き残れる企業は少ないように思う。

49名無しさん@お腹いっぱい。2017/11/23(木) 12:53:23.540
根拠がよくわからん

50名無しさん@お腹いっぱい。2017/11/23(木) 15:59:45.550
フォームが暗号化されてないと客に不安感を与えるから、ぐらいの理由でSSL導入してるだけのところが
Let's Encryptに流れて有料証明書使わなくなると言いたいんじゃね
まあ、DVのくせに高いところは潰れてくれていい
高い金取るならせめてOV以上にしろと

でも現実は、無料証明書では怪しまれますよ、とDVも売るんだろうなぁ

51名無しさん@お腹いっぱい。2017/11/23(木) 19:58:10.060
chromeのシマンテック系SSL警告始まったな

52名無しさん@お腹いっぱい。2017/11/23(木) 21:24:14.810
今レンタルサーバーでlet's encryptのSSL使っていてサーバー移転する予定です

移転先サーバーでlet's encryptの証明書をインストールしてたら、ダウンタイムなしで移れますか?

53名無しさん@お腹いっぱい。2017/11/23(木) 21:48:03.360
DV だからドメイン変わらないなら問題無い。
ダウンタイム云々は移転するタイミングとスケジュール次第。
自分は移転完了したつもりで旧サーバーからコンテンツ削除したら
"ダウンしている" と見える人もいれば移転に気付かない人も要るだろうね。

54名無しさん@お腹いっぱい。2017/11/23(木) 22:02:20.780
移転先にDNSが向くまでLEの証明書は作れないのに
ダウンタイムなしとか無理すぎ

55名無しさん@お腹いっぱい。2017/11/23(木) 22:25:00.100
普通に作れるだろ

サーバ設定まで全自動しかないと思ってるのかな?

指定されるファイルひとつ指定の場所におけばそれで認証されて、pem 生成されるから
それを好きな場所にコピーしてウェブサーバに読ませるだけやで?

だからSNI対応レンタルサーバであれば、まだ設定前のサーバの管理画面から手動で証明書登録することもできる

56名無しさん@お腹いっぱい。2017/11/23(木) 23:03:23.650
ありがとうございます
DNS変更前に証明書つくれるなダウンタイムなしでいけるんですね

57名無しさん@お腹いっぱい。2017/11/24(金) 17:51:04.090
vps契約して使っているのだが、ssl化したいんだが
最も安いのはどこの証明書?
教えけろ

58名無しさん@お腹いっぱい。2017/11/24(金) 17:59:42.440
>>57
スレタイ嫁

59名無しさん@お腹いっぱい。2017/11/24(金) 18:03:08.520
>>58
Let's Encrypt を入れたら無料で
SSL化出来るのか?

60名無しさん@お腹いっぱい。2017/11/24(金) 18:20:14.610
スレ違い

61名無しさん@お腹いっぱい。2017/11/24(金) 19:47:50.100
>>59
何も面倒なことせず無料でコマンド一発で近代的なブラウザに対応した証明書が生成される神サービスだよ

価格抜きでも発行の手軽さという点で従来のDV証明書に勝ってると思う
オレオレ証明書よりも手軽だし

62名無しさん@お腹いっぱい。2017/11/24(金) 20:13:28.890
>>61
本当か!
世の中進んでいるんだな。
インストールするわ。
サンキュウ

63名無しさん@お腹いっぱい。2017/11/24(金) 20:57:13.840
お前も進もうぜ

64名無しさん@お腹いっぱい。2017/11/24(金) 22:29:43.210
certbotとは誰も呼ばないのか

65名無しさん@お腹いっぱい。2017/11/24(金) 22:34:59.590
サービス名やプロトコル名と実装してるコマンド名やプログラム名が別物というのはよくある

66名無しさん@お腹いっぱい。2017/11/26(日) 09:53:01.440
Let's Encrypt で証明書を発行して

1. Web サーバー
2. メールサーバー
3. Pop サーバー

で使っているんですが、他にこれも出来るよってのありましたらご教示お願いします。

67名無しさん@お腹いっぱい。2017/11/26(日) 11:33:59.790
FTP
IPsec
OpenVPN

68名無しさん@お腹いっぱい。2017/11/26(日) 18:35:02.900
FTPはFTPSの設定として使えるから間違ってないけど
IPsecは上位レイヤー(トランスポート層ではなくネットワーク層)でSSLではない別の暗号化してくれる方式で
OpenVPNはそれ自体で毎回独自のTLSレイヤーを構成してるから証明書使わなくね? エンドポイント認証用に使える?

69名無しさん@お腹いっぱい。2017/11/26(日) 18:41:18.500
SSL-VPN

70名無しさん@お腹いっぱい。2017/11/26(日) 19:09:00.620
SSL-VPN ってまともな実装やアプリあるの?
ブラウザVNCクライアントでPC側の証明書として使うのは充分ありかと思う

71名無しさん@お腹いっぱい。2017/11/26(日) 19:35:38.240
softetherとか

72名無しさん@お腹いっぱい。2017/11/27(月) 03:23:57.430
softetherってファイアウォールかけてない443番ポートをHTTPSではない別の用途で悪用する
ファイアウォールを騙すためにopensslと通信を使うってだけで証明書使わなくね?
そして所謂SSL VPSでもなくね?

73名無しさん@お腹いっぱい。2017/11/27(月) 08:28:27.460
もっと勉強しような

74名無しさん@お腹いっぱい。2017/11/29(水) 10:39:32.830
独自ドメインが何個でも無料で取得可能。
四文字ドメイン、レアドメイン多数。
SSL対応、サーバー、ワードプレスのインストールも無料。
詳しくはこちら https://ryoma.space/

75名無しさん@お腹いっぱい。2017/11/29(水) 11:34:37.140
ワードプレス(笑。

76名無しさん@お腹いっぱい。2017/11/29(水) 12:24:48.650
すげー頭悪そうな紹介文だな

77名無しさん@お腹いっぱい。2017/11/29(水) 12:53:53.650
まてよ、ドメインが無料で、SSL対応も無料で、サーバも無料、
そしてワードプレスのインストール(笑)も無料ってこと?
一体どこで儲けてるんだよ。

78名無しさん@お腹いっぱい。2017/11/29(水) 13:04:57.810
コンサルティングは有料だろw
全部他社のサービスだしググればいくらでも情報あるのにな

79名無しさん@お腹いっぱい。2017/11/29(水) 13:08:53.870
ドメインは元々提供している国の宣伝が目的
SSLは寄付と企業からの支援で成り立ってる
ホームページは広告が出る

80名無しさん@お腹いっぱい。2017/11/29(水) 13:41:31.750
1サーバーで複数ドメインの運用をしているんだけど、
Let's Encrypt では一つの証明書に複数ドメインを登録出来るのでこりゃ、便利と
使っています。(設定がらくちん)

これのセキュリティリスクってどれくらいのもんなのでしょうか?

81名無しさん@お腹いっぱい。2017/11/29(水) 13:46:29.630
他のドメインがバレる
秘密鍵一つが流出したときに全ての通信内容が解読されてしまう

82名無しさん@お腹いっぱい。2017/11/29(水) 14:35:00.280
>>78
これ、コンサルなのか…(震え声
覗いてみたけどこんなダサい「ホームページ」のコンサルに依頼するくらいなら、
どんなに初心者でもわからないなりに自分で調べてやった方がいいと思った。

83名無しさん@お腹いっぱい。2017/12/10(日) 08:38:33.100
IIS鯖がクラッシュしたので古いイメージ取り出して復活させようとしてじたばた
ディレクトリが違ったりして数回失敗したらこれでて終わってしまった。
Too many failed authorizations recently. status:429

どれくらい待てば再受付してくれるですかね?
コマンドは↓
letsencrypt.exe --accepttos --manualhost host.example.com --webroot C:\wwwroot

84名無しさん@お腹いっぱい。2017/12/10(日) 12:59:32.370
数の制限なんかな?
https://letsencrypt.org/docs/rate-limits/
ここ見ると週20個だな、最初に取得してから1週間でいけるかな

85名無しさん@お腹いっぱい。2017/12/10(日) 13:18:39.410
証明書取れてるのか確認してみたら

86名無しさん@お腹いっぱい。2017/12/24(日) 17:35:19.330
>>83 10日くらい開けて再試行したら、今度はあっさりできましたわ

87名無しさん@お腹いっぱい。2017/12/24(日) 17:39:38.520
ちなみに↓に引っかかったのだと思う。
「We also have a Duplicate Certificate limit of 5 certificates per week. 」

88名無しさん@お腹いっぱい。2017/12/25(月) 09:04:30.280
winクライアントはletsencrypt-win-simpleがベター?
他におすすめあれば教えて下さい

89名無しさん@お腹いっぱい。2017/12/25(月) 11:55:46.300
もうWindowsでサーバ立ててないからワカラン。

90名無しさん@お腹いっぱい。2017/12/25(月) 13:58:08.200
やっぱ時代はNginxなのか

91名無しさん@お腹いっぱい。2017/12/25(月) 14:10:50.190
NGINXでもApacheでもいいと思うけど、
OSにWindowsってのは考えないなぁ。

92名無しさん@お腹いっぱい。2017/12/25(月) 19:10:57.990
>>88
レンタル鯖が対応するまではそれ使って手動で作ってたよ

93名無しさん@お腹いっぱい。2017/12/26(火) 06:21:11.380
普通はIISは金かかるし、使わないのだろうけど、20年間こればっかりで変える気が起きず
Win鯖を使い続けている
このままでいかんと思って数年前にCentOSをインストールしてみたが挫折した

94名無しさん@お腹いっぱい。2017/12/26(火) 09:56:01.090
>>93
CentOSつかいにくいからーな。(※Debianユーザの個人の感想です。)
ADSL全盛期に作ったWin2k上のanhttpd+Pmailserverをマシンごと仮想化して後生大事に使ってたけど、
いいかげんヤバいと思って何年か前にDebian上のNGINX+Postfix/Dovecotに移行したよ。

95名無しさん@お腹いっぱい。2017/12/26(火) 14:28:28.060
Nginxじゃあかんのか?xamppじゃあかんのか?

96名無しさん@お腹いっぱい。2017/12/26(火) 14:58:30.710
NGINXだよ。
apt-getで簡単に一式入るからxmappを使う必要は無い。

97名無しさん@お腹いっぱい。2017/12/26(火) 15:33:05.470
Ubuntu,Debianは使いづらい

98名無しさん@お腹いっぱい。2017/12/27(水) 11:27:42.060
>>88
ウェブサーバーのCaddyの内蔵クライアントが便利だった。ユーザーディレクトリ¥.caddyから探せば証明書が取り出せる。

99名無しさん@お腹いっぱい。2017/12/27(水) 12:49:19.650
>>98
開発用途なら便利そう

100名無しさん@お腹いっぱい。2017/12/28(木) 14:19:16.540
サポートが年末年始休暇なんで教えて下さい。

共用レンタルサーバーロリポップで、
Let’s Encryptが使えます。
元々GMOグローバルサインの証明書もあり、
www.ドメイン.comで登録してます。
ドメイン.comはSSL証明書非対応。

この時、
Let’s Encryptでドメイン.comや
サブ.ドメイン.comを割り当てると、
重なり合って不具合が起きたりするのでしょうか?

新着レスの表示
レスを投稿する