無料SSL/TLS証明書 Let's Encrypt Part2

1名無しさん@お腹いっぱい。2017/10/18(水) 10:46:04.560
無料の SSL/TLS 証明書Let's Encryptのスレです

【Let's Encrypt 公式サイト】(英語)
https://letsencrypt.org/

【Let's Encrypt 公式Twitter】(英語による最新情報)
https://twitter.com/letsencrypt

【Let's Encrypt 総合ポータル】(日本語)
https://letsencrypt.jp/

【Let's Encrypt 導入方法】(日本語)
https://letsencrypt.jp/usage/

前スレ
【全ブラウザ対応】 無料SSL/TLS Let's Encrypt
http://mevius.2ch.net/test/read.cgi/hosting/1448874075/

119名無しさん@お腹いっぱい。2018/01/31(水) 14:21:47.500
ワイルドカード対応マダー?

120名無しさん@お腹いっぱい。2018/02/01(木) 11:32:22.560
2月27日まで待て

121名無しさん@お腹いっぱい。2018/02/19(月) 18:14:39.060
☆ 日本の、改憲を行いましょう。現在、衆議員と参議院の
両院で、改憲議員が3分の2を超えております。
『憲法改正国民投票法』、でググってみてください。国会の発議は
すでに可能です。平和は勝ち取るものです。お願い致します。☆☆
――――――――

122名無しさん@お腹いっぱい。2018/02/26(月) 01:04:07.530
ttps://community.letsencrypt.org/t/acmev2-and-wildcard-launch-delay/53654
ワイルドカード証明書発行開始が延期されたらしいね。
いつまで待てばよいのやら。。

123名無しさん@お腹いっぱい。2018/02/26(月) 08:39:37.420
出資でもしたら?

124名無しさん@お腹いっぱい。2018/02/26(月) 21:30:12.540
金銭的な理由なの?

125名無しさん@お腹いっぱい。2018/02/26(月) 21:41:15.210
使ってる基礎技術の仕様変更への対応のために想像以上に人が割かれていて品質チェックがまだ不充分という理由って書いてあるから間接的にはそう

126名無しさん@お腹いっぱい。2018/03/02(金) 20:55:28.150
letencrypt.logを見るとこんなエラーになってしまい、新規取得ができないんだけどどうすればいいの?
certbotのバージョンは0.21.1(pip installで入れた最新)

2018-03-02 11:47:01,088:DEBUG:urllib3.connectionpool:https://acme-v01.api.letsen
crypt.org:443 "HEAD /acme/new-reg HTTP/1.1" 405 0
2018-03-02 11:47:01,088:DEBUG:acme.client:Received response:
HTTP 405
Server: nginx
Content-Type: application/problem+json
Content-Length: 91
Allow: POST
Replay-Nonce: 5gByegzjaxNoI_zmhLonjjca_p88KsDH-SH-2RepCqA
Expires: Fri, 02 Mar 2018 11:47:01 GMT
Cache-Control: max-age=0, no-cache, no-store
Pragma: no-cache
Date: Fri, 02 Mar 2018 11:47:01 GMT
Connection: keep-alive

127名無しさん@お腹いっぱい。2018/03/02(金) 21:02:33.860
>>126
405 エラーはいてんだからサーバー側でキチンと設定してあげなよ

128名無しさん@お腹いっぱい。2018/03/02(金) 21:15:20.060
>>127
サーバー側って?こっちのせいなの?

129名無しさん@お腹いっぱい。2018/03/02(金) 21:22:37.470
ターミナル上では

An unexpected error occurred:
ReadTimeout: HTTPSConnectionPool(host='acme-v01.api.letsencrypt.org', port=443): Read timed out. (read timeout=45)

って出てるので、acme-v01.api.letsencrypt.orgにアクセスできないっぽいけど、

$ curl -I https://acme-v01.api.letsencrypt.org
HTTP/1.1 200 OK
Server: nginx
Content-Type: text/html
Content-Length: 2174
Last-Modified: Fri, 02 Feb 2018 23:46:37 GMT
ETag: "5a74f85d-87e"
X-Frame-Options: DENY
Strict-Transport-Security: max-age=604800
Accept-Ranges: bytes
Expires: Fri, 02 Mar 2018 12:22:05 GMT
Cache-Control: max-age=0, no-cache, no-store
Pragma: no-cache
Date: Fri, 02 Mar 2018 12:22:05 GMT
Connection: keep-alive
となるけどなあ・・・

130名無しさん@お腹いっぱい。2018/03/02(金) 21:46:11.770
>>126
何てコマンドやったログ?

131名無しさん@お腹いっぱい。2018/03/02(金) 22:01:01.300
HEADは受け付けないと言ってるわけだが

132名無しさん@お腹いっぱい。2018/03/05(月) 17:59:54.690
limit_except 入れてるんじゃないの

133名無しさん@お腹いっぱい。2018/03/14(水) 11:18:59.730
ワイルドカードきたぞ

134名無しさん@お腹いっぱい。2018/03/14(水) 12:02:02.610
ワイルドだろ〜?

135名無しさん@お腹いっぱい。2018/03/14(水) 13:06:58.830
ACMEv2とTXTレコードの設定でいけるのか。朗報

136名無しさん@お腹いっぱい。2018/03/14(水) 13:22:04.150
見つかるのは--manualで作成する方法ばかりだが、
それの自動更新の方法がどこも説明されてないな コピペされてるだけか?

137名無しさん@お腹いっぱい。2018/03/14(水) 14:32:26.090
CAAでエラーでちゃうな

138名無しさん@お腹いっぱい。2018/03/14(水) 23:07:39.760
>>136
これじゃいかんのか?
sudo certbot -a dns-cloudflare -i nginx -d "*.example.com" -d example.com --server https://acme-v02.api.letsencrypt.org/directory

139名無しさん@お腹いっぱい。2018/03/18(日) 17:58:45.020
お尋ねします、証明書を手に入れるときに入力したメールアドレスは、取得した証明書に身分を示す情報として書かれてしまいますか
そしたら捨てアドを作らないといけない...
教えてください

140名無しさん@お腹いっぱい。2018/03/18(日) 18:15:53.170
入力したメアドってのはアカウントのコンタクト用でしょ。捨てアド入れてどうすんの。

141名無しさん@お腹いっぱい。2018/03/18(日) 18:33:10.050
ああよかった
作った証明書にメアドが載ってるのかと思いました...ありがとうございます

142名無しさん@お腹いっぱい。2018/03/18(日) 18:50:20.050
気になるなら
openssl x509 -in cert.pem -text
して自分で確認。

143名無しさん@お腹いっぱい。2018/03/19(月) 15:46:52.850
アスカレンタルサーバー終了とサーバー移行のお願い
長きに渡りご愛顧いただきましたアスカレンタルサーバーですが、
誠に残念ながら 2018年10月31日を持ちましてサービスを終了する運びとなりました。
http://asuka.jp

144名無しさん@お腹いっぱい。2018/03/19(月) 16:27:07.590
>>143
そうですか
アスカレンタルサーバ? なんて聞いたこともないのでどうでもいいです

すれ違いな書き込みやめてくださいね
だれ一人そんな書き込み求めていないんで

145名無しさん@お腹いっぱい。2018/03/19(月) 19:15:53.630
そこまで言う必要ないと思います

146名無しさん@お腹いっぱい。2018/03/19(月) 20:02:33.270
>>145
確かに言い過ぎでしたね><
ごめんなさいm(__)m

147名無しさん@お腹いっぱい。2018/03/20(火) 19:00:51.700
letsencrypt.exe だけど、以前は80ポートもその鯖に通さないとだめだったと記憶しているが、
今日やったら 443だけでokになってた。 前からだった??

148名無しさん@お腹いっぱい。2018/03/20(火) 19:07:14.680
更新の時に80開けるのめんどくせーなって思ったからダメだったのでは?
俺が使ってたやつはwin-simpleとか付いてた気がする

149名無しさん@お腹いっぱい。2018/03/21(水) 14:36:04.720
ワイルドカードいいな
バーチャルサーバ作るのが楽になった

150名無しさん@お腹いっぱい。2018/03/25(日) 05:52:13.920
TCPセッション後のTLSセッションでClient HelloにはいってるSNIはどこから引っ張ってきてるんですか?
サーバー証明書インストールされる前のクライアントが、サーバー名なんて知る由もないと思うんですが

151名無しさん@お腹いっぱい。2018/03/25(日) 10:40:34.860
はい?

152名無しさん@お腹いっぱい。2018/03/25(日) 17:35:56.890
>>150
SNI の基礎から勉強しなおしてくださいね
結論言いますと、SNI 対応のブラウザ(10年前のブラウザとかじゃないかぎり基本対応)だとですね
FQDN の subdomain.example.com みたいなのが平文で送信されるんですよ
で、それに合わせた証明書をサーバが送るわけです

え、プライバシーの侵害だって?
それはそうなんですが、IPv4のIPアドレスの枯渇があるんで1証明書=1IPアドレスだとhttpsが普及しないからそっちの方が問題、
どうせ今主流のDNSはFQDNが平文で送られるんだからホスト名を平文で送るのは今のところたいしてリスク増えないんだしやむを得ないのでは?
ということでまぁSNI導入賛成派の論理がとりあえず受け入れられてそういう規格・実装になったわけですよ

無論、ホスト名だけでもプライバシー上の問題がありますから、DNSの通信の暗号化も含めて今後は改善されていくとは思いますが時間がかかりますね

1531502018/03/26(月) 06:03:14.440
少なくとも最初のclient helloに入ってるSNIは、ブラウザに入れられたhttpsアドレスのFQDNと理解していいですか?

1541502018/03/26(月) 06:08:48.990
私が知りたかったのは、そのsubdomain.example.comを「クライアントがどうやって知り得たか」だったんですが、httpsサイトのFQDNとイコールならそれでよくて、もし違うならどっからその値持ってきてんのかっていう質問です。

155名無しさん@お腹いっぱい。2018/03/26(月) 07:11:09.140
イコールですよ。

https://tools.ietf.org/html/rfc6066#section-3
Currently, the only server names supported are DNS hostnames;

156名無しさん@お腹いっぱい。2018/03/26(月) 10:12:17.690
tcpdumpしてパケット見てみればいいじゃん?

1571502018/03/26(月) 14:59:07.320
ありがとうございます!

158名無しさん@お腹いっぱい。2018/03/26(月) 18:31:33.300
>>154
> そのsubdomain.example.comを「クライアントがどうやって知り得たか」だったんですが、
知り得たも何も、例えばユーザーがブラウザのアドレスバーにURLを入れてアクセスした場合、
そのURLに含まれるFQDNがそのまま使われます
リンククリックならa要素のhref属性に含まれるFQDNね
サーバのIPアドレスはDNSで調べた結果が用いられ、そのIPアドレスへFQDNがそのまま送られる、以上

159名無しさん@お腹いっぱい。2018/03/27(火) 01:06:06.100
150はSNIにFQDNの値がそのまま使われてると思ってなくて、じゃあSNIの値はどこを参照してるのか?と質問した。答えはFQDNとSNIは同じ値。150は納得して巣に帰った。以上。

160名無しさん@お腹いっぱい。2018/04/12(木) 17:40:55.430
postfix でワイルドカード証明書利用するとワーニング出ませんか?
マルチドメイン証明書なら大丈夫みたいなんですが。

161名無しさん@お腹いっぱい。2018/04/13(金) 16:28:02.310
もうすぐ初めての自動更新の季節だが、本当に自動で更新してくれるのか不安

162名無しさん@お腹いっぱい。2018/04/13(金) 16:49:43.590
強制実行するオプションでテストしてないのか?

163名無しさん@お腹いっぱい。2018/04/15(日) 01:45:30.310
最近のcertbotは進化しててええな

164名無しさん@お腹いっぱい。2018/04/15(日) 04:33:52.920
>>163
使い勝手か何か変わった?
手動ではまったく弄ってないから気付いてない

165名無しさん@お腹いっぱい。2018/04/15(日) 06:30:33.290
オプションがかなり増えてる

状態の確認、削除や無効化の手間(以前は個別に手作業)の削減やら、
証明書の上書き変更やら、プラグイン頼りだった認証方法やオプションの導入

取得コマンドと更新コマンドcronに仕込む以外必要ない人には無縁の世界

166名無しさん@お腹いっぱい。2018/04/16(月) 12:38:20.530
なるほど
そりゃ確かに縁がないな

167名無しさん@お腹いっぱい。2018/04/16(月) 21:26:58.080
python依存なくなったらもっといいのに

168名無しさん@お腹いっぱい。2018/04/16(月) 22:04:31.820
何か問題でも?

169名無しさん@お腹いっぱい。2018/04/17(火) 02:03:09.840
色んなOS色んな言語で同じ機能のツール作られてるから好きなの使え

新着レスの表示
レスを投稿する