X



無料SSL/TLS証明書 Let's Encrypt Part3
0001名無しさん@お腹いっぱい。2019/09/26(木) 03:40:34.580
無料の SSL/TLS 証明書Let's Encryptのスレです

【Let's Encrypt 公式サイト】(英語)
https://letsencrypt.org/

【Let's Encrypt 公式Twitter】(英語による最新情報)
https://twitter.com/letsencrypt

【Let's Encrypt 総合ポータル】(日本語)
https://free-ssl.jp/

【Let's Encrypt 導入方法】(日本語)
https://free-ssl.jp/usage/

前スレ
無料SSL/TLS証明書 Let's Encrypt Part2
http://mevius.5ch.net/test/read.cgi/hosting/1508291164/
https://twitter.com/5chan_nel (5ch newer account)
0037名無しさん@お腹いっぱい。2019/11/24(日) 17:34:22.470
更新できた
0039名無しさん@お腹いっぱい。2019/11/27(水) 09:51:15.760
×難しい
○知識つけてものになるレベルまで持っていくのが時間がかかり面倒くさい=働いてるとそんな余分の時間はない
0043名無しさん@お腹いっぱい。2020/01/08(水) 22:58:03.480
あがってねーよ
0044名無しさん@お腹いっぱい。2020/01/21(火) 03:01:05.850
通信が暗号化される点ではいいものの、なんの本人確認もないとなるとなんのための証明書なのかわからなくなってくる
せめて証明書の二枚目からはメール認証をするとかなんかしないとあかんのではないんかな
0046名無しさん@お腹いっぱい。2020/01/21(火) 14:45:06.180
>>44
配布してるWindowsのソフトウェアなんかで使ってる証明書と通信経路の暗号化の証明書は役割が違うでしょ
未だにこんなアホみたいなこと言ってるやついるん?
0049名無しさん@お腹いっぱい。2020/01/30(木) 09:51:06.580
この板のドメインはSSL取れてるけど、5chでも板によって取れてないドメインあるよな
それなりに儲かってる企業のくせにさ
0051名無しさん@お腹いっぱい。2020/02/02(日) 14:29:30.100
ぶっちゃけただのブログとかSSL関係ないのに
ブラウザに危険サイトみたく出るからよく分かってない人ほど騒いでるな
そのお陰でどうでもいいサイトまでSSL化が必須みたくなってしまっている
0053名無しさん@お腹いっぱい。2020/02/02(日) 20:53:30.530
>>51
https化すると暗号化だけでなく高速プロトコルHTTP/2使えたり検索サイト順位優遇されたりメリットしかないんだが?
むしろ平文httpが最新技術に適応できない老害みたいな扱いなんだが?

51は「よく分かってない人ほど騒いでる」典型的な例だな
0057名無しさん@お腹いっぱい。2020/02/03(月) 00:09:06.980
コメント欄があるページでフォーカス当てるとブラウザに怖いメッセージ表示されるので

あのタイミングでアラート出るのはズルいというか・・・

一時期の非SSLサイト全部警告してたのはやり過ぎだったけど
0058名無しさん@お腹いっぱい。2020/02/10(月) 16:36:36.950
>>51
どうでもいいサイトが無料でSSL化してもデメリットはないんだから別に






あ、1つデメリットがあった
プロバイダのホームページスペースでサイト開設しているユーザーが困る
今だにSSL化してくれないとこ多過ぎ
0059名無しさん@お腹いっぱい。2020/02/10(月) 16:39:49.600
>>56
ドメイン取ってレンタルサーバー引っ越す時機を逃したプロバイダホームページスペースのサイトユーザーにとっては大問題かも
今更引っ越すとアクセス分散でPV減るだろうし
0060名無しさん@お腹いっぱい。2020/02/10(月) 18:45:44.560
実際やってみると分かるが、ドメイン取っていても移転はリスクあるよ
ドメインや管理会社によっても変わるが、サーバー移転すると
しばらくドメインにアクセスできなくなる
俺の場合は3日くらいだったが、長いと2〜3週間かかる事もあるという説明だ
3日でも毎日なんらかのサービス提供してるサイトならアウトだろ
むしろ、ドメインなんか取らず、旧サイトに移転しました告知出す方がまだマシな事もある
ドメイン取ってるとこの単純な手法が使えないんだよな
ネームサーバーを新アドレスに変えた瞬間にアクセス不能状態が始まるから
どうしても空白期間が出来る
これから移転するので数日アクセス出来ません的な告知なら可能だけど
0061名無しさん@お腹いっぱい。2020/02/10(月) 19:07:41.500
>>60
無能自慢は恥ずかしい
事前にTTL短くしたり、移転時に旧DNSでも新鯖のAレコードを持たせたり、そういうことをちゃんとやれば空白期間なんかできないよ
0069名無しさん@お腹いっぱい。2020/02/11(火) 18:51:35.310
引越し先のサイトを準備して、TTLも短くしておく
引越し前のNSのAレコードを引越し先に変更
NSを引越し先に変更
浸透するのを待つ

これで途切れなく行ける、、よね?
0073名無しさん@お腹いっぱい。2020/03/04(水) 07:00:15.150
なんかバグがあったから3/4に証明書無効にするので強制更新してくれってメール来た
今日じゃねーか
0082名無しさん@お腹いっぱい。2020/04/10(金) 15:14:44.360
SSLの設定中に証明書取得するのやめたらサイトの内容にエラーとか発生する?
0084名無しさん@お腹いっぱい。2020/04/10(金) 18:17:27.820
>>82
HTTP→HTTPSリダイレクトをかけたりしてなければ
HTTPでのアクセスには支障を来さないと思われる
ACMEの実行中に中断ならHTTP-01の場合ゴミが残るかも知れない
0085名無しさん@お腹いっぱい。2020/04/11(土) 12:34:54.510
>>83
普通にレンサバで設定完了してまだ反映されてない状態だったからそれ以上もそれ以下もないなぁ…
>>84
なるほど、サンガツ
一応設定しなおしたわ
0086名無しさん@お腹いっぱい。2020/04/11(土) 13:29:38.980
そのレン鯖の実装によるからどうともいえない

たとえば証明書取得済みでhttpd再読込待ち中に取り消し操作→「設定」操作やり直しなら、証明書を再取得する場合としない場合が考えられる
再取得する場合だと、繰り返せばリミットで発行拒否が起こり得る

普通HTTPS化は片道でしか行わないから
「設定」時にHTTPSへのリダイレクトが自動的に設定される仕様になっている場合は、取り消し時にリダイレクト削除が自動化されていない状況も想定できる
WordPress使ってて「設定」時にWordPressのURLも変更するような仕様になっている場合も同様

質問者があまり詳しくない場合、このようにしらみつぶしで考えるか、あるいはエスパーするしかない
具体的に業者やプランなど示さないと本当に的確な回答は得られない
0087名無しさん@お腹いっぱい。2020/08/04(火) 15:06:32.580
証明書が変わったら httpd を再起動していたけど
dovecot も再起動しないとメールがエラーすんだな
考えてみりゃ当たり前だが
0091名無しさん@お腹いっぱい。2020/08/05(水) 22:08:55.810
これでええがな
cat << EOF | sudo tee /etc/letsencrypt/renewal-hooks/deploy/dovecot; chmod 755 /etc/letsencrypt/renewal-hooks/deploy/dovecot
#!/bin/sh
/sbin/systemctl restart dovecot
EOF
0097名無しさん@お腹いっぱい。2020/08/10(月) 04:54:28.360
見れないぞってクレーム来たらfirefox使えで終了?
0098名無しさん@お腹いっぱい。2020/08/10(月) 08:38:26.200
新しいCAを追加すればいいのだろうけど、手順が複雑すぎて来客者に頼むのは不可能?
こういうのがあると金出して買うしかないかな
0100名無しさん@お腹いっぱい。2020/10/25(日) 18:27:47.550
>>60
これは恥ずかしい
0101名無しさん@お腹いっぱい。2020/11/06(金) 19:02:38.920
自宅にAndroid 6なタブレットがあるんだけど、それにISRG Root X1とISRG Root X2をインストールしてみた
ただ、これをやると画面ロックの設定をPINやパスワードにしなければならないのが玉に瑕
一人暮らしの自宅でしか使わないタブレットなので、いちいちPINやパスワードを入力するのが面倒
0102名無しさん@お腹いっぱい。2020/11/12(木) 13:24:54.200
>>92
自分のしがない閑古鳥WEBサイトは、PCからのアクセスが大部分で後はiPhone少々だから無問題

それより、GoogleクローラーがAndroid6らしいが、こっちは大丈夫なのか
0103名無しさん@お腹いっぱい。2020/11/12(木) 22:30:08.640
通信の暗号化自体に大きな必要性がないサイトであれば、古いAndroid用にSSLなしでもアクセスできるようにしとけばいいんじゃないの?
0105名無しさん@お腹いっぱい。2020/11/14(土) 13:31:10.050
>>103
それ設定難しくない?
0106名無しさん@お腹いっぱい。2020/11/14(土) 13:57:09.730
ChromeもiOS版以外で独自の証明書ストアを持つ予定
ttps://www.chromium.org/Home/chromium-security/root-ca-policy
Firefoxに続いてChromeも対応なら大半が解決じゃね
0107名無しさん@お腹いっぱい。2020/11/14(土) 13:57:54.950
>>105
HTTPとHTTPS両方通るようにするってだけの話じゃない?
古いAndroidだけHTTPに誘導するってのは難しいだろうけど。
0108名無しさん@お腹いっぱい。2020/11/14(土) 14:03:31.390
>>107
そう、その後者が難しい
Encryptをレンタルサーバーから設定して使ってるレベルの人間からすると
0109名無しさん@お腹いっぱい。2020/11/14(土) 15:03:49.080
>>60

> 実際やってみると分かるが、ドメイン取っていても移転はリスクあるよ
> ドメインや管理会社によっても変わるが、サーバー移転すると
> しばらくドメインにアクセスできなくなる
> 俺の場合は3日くらいだったが、長いと2〜3週間かかる事もあるという説明だ
> 3日でも毎日なんらかのサービス提供してるサイトならアウトだろ
> むしろ、ドメインなんか取らず、旧サイトに移転しました告知出す方がまだマシな事もある
> ドメイン取ってるとこの単純な手法が使えないんだよな
> ネームサーバーを新アドレスに変えた瞬間にアクセス不能状態が始まるから
> どうしても空白期間が出来る
> これから移転するので数日アクセス出来ません的な告知なら可能だけど
0110名無しさん@お腹いっぱい。2020/11/14(土) 15:52:52.430
>>108
というか、HTTPSでリクエスト送られてきてる時点でHTTPにリダイレクトさせるのは無理。
というか、レスポンスを受け取った時点で(端末からみて)無効なルート証明書で署名されたデータが送られてくるから何らかエラーは表示されるだろうね。

あとHTTPSからHTTPにダウングレードリダイレクトなんて飛んできたら、ブラウザ側もなんらか警告出してくる可能性ありそう。
0113名無しさん@お腹いっぱい。2020/12/23(水) 18:37:46.670
>>112
読んでみたけど、Androidは認証局の証明書の有効期限を無視するから、IdenTrust DST Root CA X3の
有効期限が過ぎた後もクロス証明を続けることによって問題を回避できる、って理解でいいのかな
でもAndroidでは良くてもWindowsとかそれ以外のプラットフォームで問題が発生しそうな気が
0114名無しさん@お腹いっぱい。2020/12/24(木) 13:36:54.140
クロスルートは複数のルートのうちどれかが信頼されている認証局に辿り着ければいいので
0116名無しさん@お腹いっぱい。2021/03/01(月) 16:27:06.360
何の?
0121名無しさん@お腹いっぱい。2021/05/06(木) 13:16:46.210
質問

Let's Encrypt採用WEBサイトは、今年夏以降?はAndroidOS Ver.7.1以下だとChromeでは表示されなくなるそうですが、
今巡回しているGoogleクローラー(AndroidOS)のVer.が「6」です
夏以降はGoogleクローラーが「モバイル版で表示できない」という理由で、該当WEBサイトはGoogleインデックスから削除されてしまうのでしょうか?
0122名無しさん@お腹いっぱい。2021/05/06(木) 14:48:27.310
Googleクローラーのバージョン:

AGENT = [ Mozilla/5.0 (Linux; Android 6.0.1; Nexus 5X Build/MMB29P) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/90.0.4430.84 Mobile Safari/537.36 (compatible; Googlebot/2.1; +http://www.google.com/bot.html) ]
0125名無しさん@お腹いっぱい。2021/05/07(金) 10:40:50.980
元々ssl必須にしたいくて、受け皿になってんだから、そんな事するわけない
やったらバカ扱いされるもん
0126名無しさん@お腹いっぱい。2021/05/07(金) 13:13:58.800
そんな事するというか、無能で何もしないからそのままエラー扱いになっちゃうんじゃないの
0127名無しさん@お腹いっぱい。2021/05/07(金) 13:54:13.740
つーか、ChromeがFirefoxみたいに独自のルート証明書取る予定だと去年ニュース記事になってたが、その後どうなった?
0129名無しさん@お腹いっぱい。2021/05/07(金) 14:25:01.650
ほんと、Googleどうするんだろう
原則WEBサイトインデックス登録を軒並みモバイル版に移行するという計画は棚上げにするのかな
Let's Encryptって、下手するとhttpsに変えたユーザーの半数が使っていそう、無料だし
0131名無しさん@お腹いっぱい。2021/05/07(金) 14:43:50.000
単にクローラーのUAがそうなってるだけでクローラー自体が表示できないわけじゃないんでは
0132名無しさん@お腹いっぱい。2021/05/08(土) 22:36:14.060
>>121
>>131の言う通り、GoogleのクローラーのUAがそういう文字列になっているだけで、
クローラー自体がAndroidOSで動作しているわけではないので無関係。

あとAndroid7.1以下がLet's Encryptの証明書に対応できなくなるのは今年ではなく2024年7月頃。
0137名無しさん@お腹いっぱい。2021/05/09(日) 23:27:35.030
Let's Encrypt自体はずっと無料だけど…。

3年も経てばAndroid7.1以下のシェアなんて無視できるくらい少なくなってるから無問題。
むしろそれでも使ってるセキュリティ意識の低いユーザーは切り捨ててスマホ買い換えを促した方が本人のため。
※ちなみに7.1以下が対応できなくなると言ってもSSLのセキュリティ警告が出るだけで閲覧するを選択すればサイトが見れないわけではない。

ちなみに。別の話題でGoogleがChromeにルート証明書を持たせるようにするかも、という話があって、
もしそうなったら古いスマホでもChromeアップデートすればLet's Encryptのルート証明書が
認識できるようになるはずだから3年後以降も大丈夫かもね。アップデートが提供されれば、だけど。
0139名無しさん@お腹いっぱい。2021/05/10(月) 08:57:39.600
>>137
古いガラケー使ってる人も居るし
Android4.0から[テキストコピー/編集]時のUIがガラケー型デバイスで扱うには改悪されちったから切り捨ては不便






     ――
古いガラケー使っている人 5代目
http://lavender.5ch.net/test/read.cgi/keitai/1610190259/

終了予定、終了したガラケーサイト Part13
http://lavender.5ch.net/test/read.cgi/chakumelo/1608776649/
 
0144名無しさん@お腹いっぱい。2021/05/10(月) 23:31:51.110
>>139
ガラケー使いがいるのも分かるしUIが改悪されて使いにくいのも同意だけど2024年にもなってAndroid4系はLet's Encryptとか関係なくリスクしかないからさすがにやめた方がいい
0145名無しさん@お腹いっぱい。2021/05/11(火) 00:40:45.140
amazonのKindle Fireタブレットの2019年末まで売られてた世代は
FireOSがAndroid 5 (Lollipop) ベースなんで割と引っ掛かりそう
0146名無しさん@お腹いっぱい。2021/05/11(火) 04:42:16.430
2018年夏購入の機種のバージョンが気になって調べてみたら、ギリギリ7.11
7.1以下がアウトだから引っかかる機種は割と多いのでは
0147名無しさん@お腹いっぱい。2021/05/11(火) 18:27:56.010
3年でどれくらい買い換えるかだな。大手キャリア2年縛り組とかは結構入れ替わるんじゃね。知らんけど。
あとは上の方で書かれてたChromeの証明書ストア対応が入ればAndroid5までは救われる。
それが来なかったらみんなFirefox使えばおk。
0151名無しさん@お腹いっぱい。2021/05/12(水) 01:17:06.020
マジレスするとFireタブレットはAmazonが開発してる専用ブラウザだからAmazonに見捨てられない限りアップデートは提供されるよ
Chromiumベースだから本家Chromeがルート証明書持つようになったらAmazonも対応するっしょ

と言うかFireタブレットにこだわりすぎだろww
Fireタブレット専用コンテンツでも流してるのかよwww
0159名無しさん@お腹いっぱい。2021/05/29(土) 16:49:26.250
その裏技おしえて欲しい
0160名無しさん@お腹いっぱい。2021/05/29(土) 19:14:27.810
裏技とかではないけどsynology nasの取ってきてるやつをコピーして別マシンで使ってたんだけど半年ほどコピーし直さないまま使って支障なかったんだよね
0161名無しさん@お腹いっぱい。2021/05/30(日) 17:14:04.630
それはLet'sEncryptではない別の認証局だと思う
0163名無しさん@お腹いっぱい。2021/06/03(木) 12:15:06.040
それはマイナーどころのレン鯖も含めて今や当たり前のサービスでは?
0164名無しさん@お腹いっぱい。2021/07/23(金) 23:05:57.510
そうそう
0169名無しさん@お腹いっぱい。2021/08/04(水) 20:33:48.800
げんとく
0171名無しさん@お腹いっぱい。2021/08/11(水) 17:26:55.140
>>170
ワレあほケ
0175名無しさん@お腹いっぱい。2021/08/15(日) 23:32:36.210
>>173
あっ?
何ぬかしとんじゃコラッ
チンカスが
0176名無しさん@お腹いっぱい。2021/08/16(月) 16:46:07.740
>>173
今どきアンカーつけてそれはまずいですね
某女子プロレスラーの事件の後厳しくなってますから
私も今から通報しておきますね
0178名無しさん@お腹いっぱい。2021/08/17(火) 08:42:05.540
Your system is not supported by certbot-auto anymore. って毎回出るんだけど何故かずっと使えてるな
このままでいいのか?
0180名無しさん@お腹いっぱい。2021/08/19(木) 20:22:44.680
サイトをいくら常時SSLにしても
問い合わせフォームある時点でアウト
0183名無しさん@お腹いっぱい。2021/08/19(木) 23:18:16.010
問い合わせフォームで自動返信や、管理者にメールが届くパターンだと危険
かと行ってサーバーにデータためてイチイチ見に行くのも手間
0184名無しさん@お腹いっぱい。2021/08/20(金) 01:45:08.110
意味不明すぎてw
0189名無しさん@お腹いっぱい。2021/08/20(金) 17:22:29.860
そのメールには暗号化しなければならない
どういう秘匿情報が書かれてるんだ?
0191名無しさん@お腹いっぱい。2021/08/20(金) 19:56:53.430
自動返信あるパターン多いから
ないとちゃんと問い合わせ出来たかどうか不安になる
0192名無しさん@お腹いっぱい。2021/08/20(金) 20:11:03.810
イマドキは個人情報は名前程度だけしか記載せず
認証関連はワンタイムにするだけでいいんじゃね?
0196名無しさん@お腹いっぱい。2021/08/21(土) 00:29:09.940
意外と多い?問い合わせフォームの不完全な暗号化
https://masuipeo.com/tech/form.html
0197名無しさん@お腹いっぱい。2021/08/21(土) 01:36:20.590
その問い合わせへの返信メールがすべての経路で暗号化されているか
メールは危険絶対使うな
0199名無しさん@お腹いっぱい。2021/08/22(日) 02:35:06.310
>>186
詳しくお願いします
0202名無しさん@お腹いっぱい。2021/08/22(日) 16:09:25.480
>>201
やめたれwww
0205名無しさん@お腹いっぱい。2021/08/23(月) 02:31:53.850
   _, ._
  (・ω・) ・・・。
  ○={=}〇
   |:::::::::\
._____U___U__(@)_________________
0206名無しさん@お腹いっぱい。2021/08/23(月) 04:04:51.420
「詳しくお願いします」と言ったら教えてくれると思っているバカがいると聞いて飛んできました!
0208名無しさん@お腹いっぱい。2021/08/24(火) 15:19:58.720
中途半端な知識やデマを披露すると総ツッコミ入るから大丈夫かと
例えば >>180 とか >>183 とか
0209名無しさん@お腹いっぱい。2021/09/24(金) 06:37:15.590
社内でjitsiを立ち上げてオレオレ証明でローカルipアクセス(イントラネットでのみ使用)しています。androidアプリでjitsiを使用するためにはオレオレではだめなのでlet'sを考えています。ここで無料でhttps化するにはmydnsでドメインをとるでいいのでしょうか?他によい方法があるでしょうか?softetherで取得してるsoftether.netのドメインは使えない?
0210名無しさん@お腹いっぱい。2021/09/24(金) 12:49:43.940
LetsEncryptの認証が通せて
使うときのエンドポイントに使えるFQDNなら
なんでも使えると思うよ

特殊な事例をやろうとすると、どちらかが引っかかるのがよくあるが
0211名無しさん@お腹いっぱい。2021/09/24(金) 13:20:17.280
>>209
mydnsで取ったドメインをローカルアドレスにできれば大丈夫でしょう
Let'sを更新する時はグローバルアドレスへ切り替える。
0216名無しさん@お腹いっぱい。2021/10/02(土) 08:15:18.750
CENTOS7は UPdate が必要だ。使っている台数が半端ないから
証明書をLETS辞めるほうが早いな。安い所探そう
0218名無しさん@お腹いっぱい。2021/10/12(火) 18:08:41.520
Your system is not supported by certbot-auto anymore.
って毎回メールが来るけど普通に自動更新できてるな。こういうもん?
0219名無しさん@お腹いっぱい。2021/10/12(火) 18:50:00.180
>>218
certbot-autoはサポート終了(no longer supported)で非推奨(deprecated)です
ttps://community.letsencrypt.org/t/certbot-auto-no-longer-works-on-debian-based-systems/139702/7
0220名無しさん@お腹いっぱい。2022/01/16(日) 10:51:53.810
暗号方式を rsa から ecdsa に変えてみようと思うのだが
letsencrypt を

nginx
postfix
dovecot
stunnel

などでつかっているのでとらぶるが起きないか結構不安
注意点などありましたらご教示ください。
>偉い人
0222名無しさん@お腹いっぱい。2022/01/17(月) 23:14:46.060
>>220
うちはletsencryptでrsaとecdsaの両方取得して、
apacheで両方指定、
postfixとdovecotはrsaのみ、
という運用をしてます。

stunnelは使っていないので分からないすまん。
0223名無しさん@お腹いっぱい。2022/02/09(水) 19:05:17.660
letsencryptに切り替えたいのだが、80番のポートはファイアウォールで広範囲に
規制をかけてる。試験用のサーバーを立ち上げて色々テストしてみた結果、
認証サーバーのアクセスは443番には規制がかけられていても80番さえアクセス
できれば、再認証は通ることが分かった。

80番を全開放してしまうのはちょっと不安なのですが、ファイアウォールで
アクセス規制をかけてる人は他にどんな対処方法を取ってるのでしょうか?
0225名無しさん@お腹いっぱい。2022/02/09(水) 19:40:41.800
>>223
結局HTTP-01チャレンジが一番簡単だよ。ありもので全自動にできるし
/.well-known/acme-challenge/* だけ通せばいい

TLS-ALPN-01チャレンジは一斉失効が先月あったばかり
0226名無しさん@お腹いっぱい。2022/02/09(水) 21:57:56.400
80と443のアクセスログを分離して、certbot renewの挙動を確認してみました。
結局の話、443へのアクセスを規制していてもcertbotは、ドットで始まるディレクトリ
を作ってるから、80から443へのmodrewriteの自動転送ルールは効かず、
certbotは80だけを見てるってことなのか
参考になりました
0228名無しさん@お腹いっぱい。2022/02/12(土) 22:44:33.940
最初にcertbotするときメールID聞いてきますよね。
これって有効期限が60日以上が経過するとメールで連絡してくるんですか?
0229名無しさん@お腹いっぱい。2022/02/12(土) 23:17:13.110
>>228
Let's Encrypt certificate expiration notice for domain "example.com"
みたいな件名でメール来るよ
期限切れ(90日)の確か20日前、10日前、1日前あたりだったはず
0233名無しさん@お腹いっぱい。2022/02/15(火) 20:43:23.990
手動で更新するならHTTP-01でもDNS-01でも変わんない気がするんだが、
HTTP-01の利点ってcrontabで自動更新できるって点だけ?
0238名無しさん@お腹いっぱい。2022/02/15(火) 23:29:50.480
>>233
DNS-01チャレンジでも環境によってはAPIで自動更新を構成することはできるけど
HTTP-01チャレンジ最大の利点はファイルを配置するだけで済むから対応環境が非常に広いところ

>>236
だよね。手動でやるなら有効期間が1年でも面倒
Let's Encryptは90日だけど、60日での更新が推奨だし
0239名無しさん@お腹いっぱい。2022/02/16(水) 11:25:29.750
自動更新にしてどや顔で安心しきってて、ところが自動更新でエラーがでて証明書が失効してサイトが通じなくなったって人いる?
0240名無しさん@お腹いっぱい。2022/02/16(水) 11:37:58.990
そういう場合はアラート来るように仕込むまでが自動だろ常考…
0254名無しさん@お腹いっぱい。2022/02/19(土) 18:28:35.820
使わなくなった証明書がexpireのカウントダウンが来るんだけど、
使わないというcertbotのコマンドとかあるの?
0259名無しさん@お腹いっぱい。2022/04/08(金) 20:34:19.790
新たにサーバ構築してて、公式サイトにcertbotはsnapからインストール推奨と
書かれてたからその通りにやったらsnapでかすぎてビビった。
一度設定まで済ませたけど、acme.shで再構築した。
0261名無しさん@お腹いっぱい。2022/04/15(金) 19:22:02.470
IPv4のポート80/443を開放できない環境(v6プラス)のおうちサーバーでもIPv6の方でポート開放(パケットフィルタ登録)して証明書もらえばあとは好き勝手使えるじゃん!
って思ってv4/v6両方登録できるsoftetherのDDNS使ってLet's Encryptの証明書取得したんだけど
SSLってhttps://hogehoge.net:10000みたいな標準じゃないポートでやろうとするとブラウザ側がエラー吐く感じですかねもしかして…
0263名無しさん@お腹いっぱい。2022/04/15(金) 22:36:22.970
>>262
ごめんブラウザの履歴やらキャッシュとリダイレクトが変な挙動してただけかも

普通にルーターで利用可能ポートを80/443に変換→URLにポート指定でアクセスできたわ
http→httpsのリダイレクト入れるとダメっぽいけど
0264名無しさん@お腹いっぱい。2022/04/16(土) 00:46:58.790
>>261
そういうのはCloudflareをリバースプロキシにするとIPv6アドレスだけで運用できる
ドメインは持ってる必要があるけどね
0265名無しさん@お腹いっぱい。2022/04/17(日) 20:16:46.650
俺用メモ
apacheのmod_mdでLet's Encryptの証明書を取得・自動更新する方法

じゅんび:
・おもむろにmod_mdでググって出てくる日本語で解説してるページで基本操作を覚える

やったこと:
サーバーコンフィグに以下を突っ込む
コメントアウト行はapache 2.4.53現在デフォ値なので書かなくてもそのまま機能するやつ

## onでサーバー全体をmod_mdで管理、offでVirtualHost内のみ管理
## ドキュメント曰く「offにして全部VirtualHostで管理する事を勧める」
#MDBaseServer off

#MDCertificateProtocol ACME
MDCAChallenges http-01

## 廃止されたACMEv1のアドレスを紹介してるサイトがあるけのでv2のアドレスにする
## テスト環境用はhttps://acme-staging-v02.api.letsencrypt.org/directory
#MDCertificateAuthority https://acme-v02.api.letsencrypt.org/directory

## 利用規約のURLを貼らないとダメな時期があったみたいだけど今はacceptedでよい
MDCertificateAgreement accepted

## ServerAdminに有効なメールアドレスを入力してないならここで入力
MDContactEmail admin@example.com

つづく
0266名無しさん@お腹いっぱい。2022/04/17(日) 20:18:21.330
>>265
つづき

## 一つは必須、複数ドメインが必要な場合は半角スペースを挟んでここで入力しても良いししなくてもよい
## ここに複数のドメインの記載をしない場合でも、VirtualHostのServerNameとServerAliasに記載したドメインが自動的に追加される(らくちん)
MDomain example.com

## 「RSA ビット数」で1個指定する場合と「暗号名 暗号名」で複数指定するパターンのどちらか(デフォはRSA 2048)
## mod_mdのドキュメントとLet's EncryptのドキュメントとOpenSSLの全てでECDSAの曲線名が違ってて発狂し死に至る危険性があるけど
## secp256r1=P-256=prime256v1(RFC 8422 付録Aを参照)なのでmod_mdのドキュメント表記に従いsecp256r1記載で生成
## RSAしか対応してないかつLet's Encryptのルート証明に対応してるデバイスがあるならrsa2048も追加
MDPrivateKeys secp256r1

## MDDriveModeはMDRenewModeに置き換えられた(互換性のため残ってる)
## デフォで自動的に残り日数33%=Let's Encryptの推奨である60日毎(残り30日)で更新してくれる
#MDRenewMode auto
#MDRenewWindow 33%

終わり
0267名無しさん@お腹いっぱい。2022/06/05(日) 15:31:26.460
acme.shで更新するとどうしてもFirefoxで閲覧できなくなるの改善してほしいわ
デフォルトのルート証明書が古いまま
0269名無しさん@お腹いっぱい。2022/06/09(木) 23:37:33.600
>>267
DV証明書と中間証明書のどちらも期限が同じ日付になってて悩んだことがあったけど

Apache 2.4.8以前
SSLCertificateChainFile 中間CA証明書ファイル
Apache 2.4.8以降
SSLCertificateFile 中間CA証明書、およびクロスルート証明書(オプション)はサーバ証明書と一つの証明書ファイル
のこととか?
0270名無しさん@お腹いっぱい。2022/09/10(土) 05:27:17.250
現在、example.com www.example.com で証明書を作成して使っています。
ワイルドカードに変えようと思うのですが、
現在のを revoke かdelete してから取るのが正しい手順でしょうか?
また、何か注意点がありましたらご教示ください。
教えて下さい、偉い人
0272名無しさん@お腹いっぱい。2022/09/10(土) 13:38:08.870
偉くないから答えられない身分ですが
新しいのを発行、運用開始してからrevokeしないとダウンタイムがあると思います
0273名無しさん@お腹いっぱい。2022/09/10(土) 19:48:34.710
いわゆる作法やな
0274名無しさん@お腹いっぱい。2022/09/11(日) 15:52:13.810
>>270 です。
実は example.com example.org の複数ドメインを一つにした証明書を
使っておりまして、let's のディレクトリには example.com の名称で
登録されていました。
ここで、ワイルドカードを取りに行くと、多分現在の example.com に
上書きされちゃって面倒になると思っていましたがどうなのかな?
ほんで、まずは example.org のワイルドカードを取ってみました。
で、取れたんですが何故か3ヶ月より短い。どうも現在 example.com 名義の
期限がそのまま受け継がれたようです。そういうものなんですかね?
で、example.com をrevoke して、example.com のワイルドカードを
取ったら、ちゃんと今日から3ヶ月でした。
あらかじめ dry-run でテストして多分大丈夫だろうと目星がついたところで
一気にrevoke ワイルドカード取得、各種の reload をやり、ダウンタイムは5分以下だったと
思います。
そのうち、force renew してどちらの期限も同じにしようと思います。
ではでは
0275名無しさん@お腹いっぱい。2022/09/11(日) 16:57:02.530
crt.sh って初めて知った。
おもしれー
0277名無しさん@お腹いっぱい。2022/09/12(月) 08:27:00.640
アクセスしてみれば分かる、かもw
0278名無しさん@お腹いっぱい。2022/09/28(水) 13:15:04.720
自宅サーバで引っ越ししたら証明書更新が出来なくなったんだけどなんで?
0279名無しさん@お腹いっぱい。2022/09/28(水) 13:21:06.830
エラーメッセージは?
0280名無しさん@お腹いっぱい。2022/09/28(水) 13:22:13.440
Challenge failed for domain hogehoge.com
みたいになりました。
0281名無しさん@お腹いっぱい。2022/09/28(水) 14:10:01.840
Waiting for verification...
Challenge failed for domain hogehoge.com
http-01 challenge for hogehoge.com
Cleaning up challenges
Attempting to renew cert (hogehoge.com) from /etc/letsencrypt/renewal/hogehoge.com.conf produced an unexpected error: Some challenges have failed.. Skipping.
All renewal attempts failed. The following certs could not be renewed:
/etc/letsencrypt/live/hogehoge.com/fullchain.pem (failure)

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

All renewal attempts failed. The following certs could not be renewed:
/etc/letsencrypt/live/hogehoge.com/fullchain.pem (failure)
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
1 renew failure(s), 0 parse failure(s)

IMPORTANT NOTES:
- The following errors were reported by the server:

Domain: hogehoge.com
0282名無しさん@お腹いっぱい。2022/09/28(水) 16:32:43.390
>>278
取り敢えず
* OS
* ACMEクライアント(certbot?)
* 認証方式 (http-01)
に関する情報を提供するべし
それと

> 自宅サーバで引っ越ししたら

この「引っ越し」って具体的に何をしたの?
ハードの更新?
ハードの物理的orネットワーク的な移動?
0283名無しさん@お腹いっぱい。2022/09/28(水) 22:42:56.490
http-01のacmeに失敗してるっぽいから
DNSが新しい方に向いてないとか、NAT(ポート開放)がされてないとか

renew用の情報が入ってる hogehoge.com.conf の設定では出来なかった
というニュアンスなのでこのファイルの中を眺めて、何か気付くことがあるかないか
0285名無しさん@お腹いっぱい。2022/10/19(水) 08:31:30.080
acme に対応している国内レジストラ一覧みたいなのどこかに無いかな。
ググったんだけど見つからなかった。
0286名無しさん@お腹いっぱい。2022/10/19(水) 09:33:05.920
acme に対応しているレジストラ

って何? 海外ならあるの?
そんな概念が存在してないから検索にヒットしないだけでは・・・
0287名無しさん@お腹いっぱい。2022/10/19(水) 10:18:35.930
認証局のことじゃないかと深読み。
もしそうならあるよ。SSL.com とか。企業向けならサイバートラストとか悪名高き GMO、グローバルサインも対応してる。
0288名無しさん@お腹いっぱい。2022/10/19(水) 15:07:39.170
ごめんなさい、ワイルドカードを取る時の dns-01 や http-01 チャレンジ対応と書いたつもりだった。。。ぺこぺこ
0289名無しさん@お腹いっぱい。2022/10/19(水) 15:53:36.160
おそらく 「無料の」 って言葉は隠れてる (文脈で理解しろ 的な
0291名無しさん@お腹いっぱい。2022/10/19(水) 23:12:11.190
acmeツール次第だけどAPI出してるところは誰かがプラグイン作ってるだろ
API無くてもログインフォームとTXTレコード変更のPOST2回でいける程度の内容だし
0294名無しさん@お腹いっぱい。2022/11/04(金) 23:04:33.770
DNS Provider のリストなら lgeo や acme.sh のドキュメントに載ってる
ttps://go-acme.github.io/lego/dns/
ttps://github.com/acmesh-official/acme.sh/wiki/dnsapi
0295名無しさん@お腹いっぱい。2022/11/15(火) 18:41:49.440
Let’s 証明書、

1 Web Server
2 Mail Server
3 pop/imap Server
4 stunnel

に使っています。
他にこんなのに使えるってあればご教示下さい。
0296名無しさん@お腹いっぱい。2022/11/25(金) 12:28:47.080
うちはウェブ(apache)とメール(postfix/dovecot)だけだなあ。
と言うか上の方でも同じ質問してなかったか?ECDSAには変えたのけ?
0297名無しさん@お腹いっぱい。2022/11/26(土) 10:13:34.280
これで作った証明書メールサーバーで使ってるとiOS系から弾かれるとかある?
iPadのメーラーで「サーバの識別情報を検証できません」と出て受信できず、ぐぐったけど解決しない
0299名無しさん@お腹いっぱい。2022/11/26(土) 12:21:29.660
リバースプロキシ使った時に
Apple 端末だけ全滅したことあるけど
あれ何が原因だったんだか
0300名無しさん@お腹いっぱい。2022/11/26(土) 15:42:54.570
同じ機体でもなる時とならない時あるしよーわからん
0301名無しさん@お腹いっぱい。2022/11/26(土) 17:30:15.150
Chain of Trust(https://letsencrypt.org/certificates/)のページを見ると、ECDSAな認証局証明書であるISRG Root X2とLet’s Encrypt E1はどちらも「Active, limited availability」ということらしいけど、後者で署名されたサーバ証明書って今現在入手できるんだろうか
0303名無しさん@お腹いっぱい。2022/12/11(日) 07:26:16.450
ecdsa にするか悩んでいます。特にデメリットがない様に思うのですが、ecdsa にして困った事があった方ご教示いただけませんか?
0304名無しさん@お腹いっぱい。2022/12/16(金) 23:21:20.330
>>303
webブラウザだけなら困らないけど
メール関係で ecdsa より rsa のほうが困らない印象
postfix dovecot openvpn とか
0305名無しさん@お腹いっぱい。2023/07/14(金) 13:54:02.960
無料のとこなんてどこにもないんですけどなにか
0306名無しさん@お腹いっぱい。2023/07/16(日) 18:16:23.370
無料SLL(ただし有料ドメインが必要です)
と、ちゃんと記載するべきだと思います
景品表示法違反です
0307名無しさん@お腹いっぱい。2023/07/16(日) 21:50:32.210
FreeNOMで取得できる無料ドメイン
DDNSサービスで取れるバリエーション豊かなサブドメイン
でも完全無料SSLを活用させて貰ってるで
0309名無しさん@お腹いっぱい。2023/09/09(土) 21:07:17.840
>>60
ワレあほけ
0311名無しさん@お腹いっぱい。2023/11/23(木) 13:12:24.450
デフォルトでクロス署名が無い方で証明書が発行されるようになるのが2024/2/8から、
alternate chainでもクロス署名版が取れなくなるのが2024/6/6から、
クロス署名版の期限が切れるのが2024/9/30。

前回騒いでからの間にChromeも独自証明書ストアを持つようになったし、古いAndroidのシェアもこの3年でかなり減ったみたいだから大きな問題は無いのかな?
ちなみに手元で試した限りではAndroid7はサポート切れる直前のChromeなら独自証明書ストア対応、
Android6は同じバージョンのChromeでも対応してなかった。
0312名無しさん@お腹いっぱい。2023/11/23(木) 13:53:01.200
当時はサポート切れでも現役が多かった泥5がさすがにほぼ消えた
(アップデートできなかったり使えなくなったアプリがかなり増えてきた)
から、ブラウザで〇〇で見れなくなって困る 以前の状況になってる
0313名無しさん@お腹いっぱい。2024/01/03(水) 00:55:38.060
Android 7は 証明書が切れるまでにFirefox Browser入れとけっていうのを見た気がする
0314名無しさん@お腹いっぱい。2024/02/02(金) 08:20:36.330
それはAndroid 7に限らず6とかでも使える手だね。

>311にもあるけど、普通にChromeをアップデートしてれば、Android 7サポート切れ前のバージョンでも
独自証明書ストア対応版なのでIdenTrust DST Root CA X3の有効期限が切れた後でも問題ないはず。

まあ、サポート切れてるChromeを使い続けるのはセキュリティが心配だからFirefox使っとけってのが正しい気はするけど。
と言うか、さすがにそろそろAndroid 7は捨てた方が良い。
レスを投稿する


ニューススポーツなんでも実況