2015年12月3日 に 公開ベータ(Public Beta)が開始される予定の Let's Encrypt のスレです。
これは、いわゆる無料の SSL/TLS 証明書なわけですが、ブラウザ Mozilla Firefox を作っているモジラ財団とか、
ネットワーク機器大手のシスコとか、ネットワークインフラ大手のAkamaiとかが出資している大規模なプロジェクトなので、
途中で有料化したり、サービス停止になったりする心配もありません。
さらに、全ブラウザにルート認証局として入っているアメリカの最大手CA IdenTrust の傘下の証明書という扱い(クロスルート)になったので、
クローズベータをやっている現時点でも、全ブラウザに対応しているという神証明書です。
はっきりいって、IdenTrust の証明書をけっているブラウザなんて考えられないので、ジオトラストとかのドメイン認証証明書と同格以上の証明書が
無料で手に入ることになります。
明々後日からは、専用クライアントをダウンロードして、コマンドを実行するだけで、VPS など root 権限があるサーバとドメインがあれば証明書が入手可能なので、
期待しておきましょう。
もう、SSL/TLS の証明書にお金をかける時代はおわったのです(ただし、実在証明を含むEV証明書を除く)
【Let's Encrypt 公式サイト】(英語)
https://letsencrypt.org/
【Let's Encrypt 公式Twitter】(英語による最新情報)
https://twitter.com/letsencrypt
【Let's Encrypt 総合ポータル】(日本語)
https://letsencrypt.jp/
【Let's Encrypt 導入方法】(日本語)
https://letsencrypt.jp/usage/
探検
【全ブラウザ対応】 無料SSL/TLS Let's Encrypt [転載禁止]©2ch.net
■ このスレッドは過去ログ倉庫に格納されています
1名無しさん@お腹いっぱい。
2015/11/30(月) 18:01:15.6902名無しさん@お腹いっぱい。
2015/11/30(月) 18:04:13.870 【Let's Encrypt 最新情報】
Let's Encrypt のローンチスケジュールは延期されてきましたが、
2015年12月3日 に Let's Encrypt 公開ベータプログラム(Public Beta Program)が開始される予定です。
公開ベータプログラム開始後は、独自ドメインとWebサーバがあれば、誰でも簡単に Let's Encrypt の SSL/TLS 証明書を取得することができます。
【対応ブラウザとOS】
Let's Encrypt の「SSL/TLSサーバ証明書」は、アメリカ合衆国大手認証局(CA)である IdenTrust 社のルート証明書から
チェーンできるクロスルート (クロスサート) 証明書です。IdenTrust 社の証明書によって、
中間証明書「Let's Encrypt Authority X1」および「Let's Encrypt Authority X2」に対するクロス署名が行われています。
そのため、Let's Encrypt 発行の証明書は、大手認証局(CA)が有償で販売している証明書と同様に、ほとんどのWebブラウザやOSが標準で対応しています。
・Microsoft Internet Explorer (Windows)
・Google Chrome (Windows、Mac OS X、Linux、Android、iOS)
・Mozilla Firefox (Windows、Mac OS X、Linux、Android、iOS)
・Apple Safari (Mac OS X、iOS) など
(https://letsencrypt.jp/より引用)
Let's Encrypt のローンチスケジュールは延期されてきましたが、
2015年12月3日 に Let's Encrypt 公開ベータプログラム(Public Beta Program)が開始される予定です。
公開ベータプログラム開始後は、独自ドメインとWebサーバがあれば、誰でも簡単に Let's Encrypt の SSL/TLS 証明書を取得することができます。
【対応ブラウザとOS】
Let's Encrypt の「SSL/TLSサーバ証明書」は、アメリカ合衆国大手認証局(CA)である IdenTrust 社のルート証明書から
チェーンできるクロスルート (クロスサート) 証明書です。IdenTrust 社の証明書によって、
中間証明書「Let's Encrypt Authority X1」および「Let's Encrypt Authority X2」に対するクロス署名が行われています。
そのため、Let's Encrypt 発行の証明書は、大手認証局(CA)が有償で販売している証明書と同様に、ほとんどのWebブラウザやOSが標準で対応しています。
・Microsoft Internet Explorer (Windows)
・Google Chrome (Windows、Mac OS X、Linux、Android、iOS)
・Mozilla Firefox (Windows、Mac OS X、Linux、Android、iOS)
・Apple Safari (Mac OS X、iOS) など
(https://letsencrypt.jp/より引用)
3名無しさん@お腹いっぱい。
2015/11/30(月) 18:11:57.940 〜〜〜 共有サーバ (VALUE SERVER とか COREサーバーとか、さくらのレンタルサーバ) での使い方 〜
root権限のあるサーバならば、https://letsencrypt.jp/usage/ (日本語)にある手順の通りに、
クライアントをダウンロードしてコマンドをうつだけで導入可能
しかし、SNI 対応のレンタルサーバ(VALUE SERVER とか COREサーバーとか、さくらのレンタルサーバ)とかに居れる場合、
root権限必須の専用クライアントが動作しないため、証明書の発行作業を仮想環境でやる必要がある
なので、ローカルの Windows パソコンとかで VirtualBox などの仮想環境構築ツールに CentOS などのOSをインストールして
そこで Let's Encrypt のクライアントを動かす必要あり
自動認証ではなく、手動認証のオプションを指定することで、サーバのドキュメントルートに、Let's Encryptクライアントが指示した
JSON ファイルを設置することで、ドメイン所有者の認証プロセスが完了するので、レンタルサーバでも SNI 対応なら使える模様
手動認証のオプションコマンドについては、下記ドキュメントを参照
【Let’s Encrypt クライアントのドキュメント】(英語)
https://letsencrypt.readthedocs.org/en/latest/
専用サーバ、VPS などのroot有りのサーバならコマンド一発で使えるけど、
共有サーバだと Linux アプリ(root)を実行できる環境がないと、多少面倒です
root権限のあるサーバならば、https://letsencrypt.jp/usage/ (日本語)にある手順の通りに、
クライアントをダウンロードしてコマンドをうつだけで導入可能
しかし、SNI 対応のレンタルサーバ(VALUE SERVER とか COREサーバーとか、さくらのレンタルサーバ)とかに居れる場合、
root権限必須の専用クライアントが動作しないため、証明書の発行作業を仮想環境でやる必要がある
なので、ローカルの Windows パソコンとかで VirtualBox などの仮想環境構築ツールに CentOS などのOSをインストールして
そこで Let's Encrypt のクライアントを動かす必要あり
自動認証ではなく、手動認証のオプションを指定することで、サーバのドキュメントルートに、Let's Encryptクライアントが指示した
JSON ファイルを設置することで、ドメイン所有者の認証プロセスが完了するので、レンタルサーバでも SNI 対応なら使える模様
手動認証のオプションコマンドについては、下記ドキュメントを参照
【Let’s Encrypt クライアントのドキュメント】(英語)
https://letsencrypt.readthedocs.org/en/latest/
専用サーバ、VPS などのroot有りのサーバならコマンド一発で使えるけど、
共有サーバだと Linux アプリ(root)を実行できる環境がないと、多少面倒です
2015/11/30(月) 18:20:01.020
SSL無料になったらベリサリンとかセコムトラストとかどうなっちゃうの???
やっぱ潰れちゃう?
やっぱ潰れちゃう?
2015/11/30(月) 18:25:35.860
これは個人や団体を証明する手段じゃないから潰れないよ
2015/11/30(月) 18:26:13.090
VeriSignとかよりRapidSSLとかの格安系がやばいだろうな
ドメイン名認証しているだけだからLet's Encryptより優れている点が1つもないし
ドメイン名認証しているだけだからLet's Encryptより優れている点が1つもないし
2015/11/30(月) 18:29:39.870
Let's Encrypt はオレオレ証明書じゃなくて
IE でも Firefox でも Opera でも Google Chrome でも Safari でも正規証明書扱い
あげくためしてみたら、Lynx とか wget とかそういったテキスト系ブラウザでも正規証明書と認証
SHA-2証明書だからガラケー対応は怪しいけど、VeriSignとかもSHA-2に移行したから同じことだし
これは認証局あちこち潰れる予感
これからは認証局はアドレスバーが緑になる EV SSL 売っていくしか存続手段が無いだろう
IE でも Firefox でも Opera でも Google Chrome でも Safari でも正規証明書扱い
あげくためしてみたら、Lynx とか wget とかそういったテキスト系ブラウザでも正規証明書と認証
SHA-2証明書だからガラケー対応は怪しいけど、VeriSignとかもSHA-2に移行したから同じことだし
これは認証局あちこち潰れる予感
これからは認証局はアドレスバーが緑になる EV SSL 売っていくしか存続手段が無いだろう
8名無しさん@お腹いっぱい。
2015/11/30(月) 18:38:47.260 あと3日で俺のサイトもフルSSLにできるとか、スゲーわくわくするわ
大手企業のサイト運営している気分になれそう
興奮して夜も眠れなさそうだ
だって、プライバシーマークの協会だって、HTTPなんだぜ?
http://privacymark.jp/
それなのに個人がSSL使えるとか、すごくね?
大手企業のサイト運営している気分になれそう
興奮して夜も眠れなさそうだ
だって、プライバシーマークの協会だって、HTTPなんだぜ?
http://privacymark.jp/
それなのに個人がSSL使えるとか、すごくね?
2015/11/30(月) 18:41:03.740
暗号化の手段として必要だから、正規サイトの証明はいらないんで
使う分にはいいんだけど、悪用する人への対策はどうなるのかな
使う分にはいいんだけど、悪用する人への対策はどうなるのかな
2015/11/30(月) 18:49:12.850
これの有効期間ってどれくらいあるの?
2015/11/30(月) 18:56:42.400
>>10
90日間固定
90日な理由は https://letsencrypt.jp/blog/2015-11-09.html に書かれてる
Let's Encrypt は、
$ ./letsencrypt-auto certonly -a standalone \
-d example.com -d www.example.com \
--server https://acme-v01.api.letsencrypt.org/directory --agree-dev-preview
みたいなコマンド一発で証明書を取得・更新できるので、2ヶ月に一回ぐらいコマンドを手動で実行するか、cron で回してください、ってことらしい
90日間固定
90日な理由は https://letsencrypt.jp/blog/2015-11-09.html に書かれてる
Let's Encrypt は、
$ ./letsencrypt-auto certonly -a standalone \
-d example.com -d www.example.com \
--server https://acme-v01.api.letsencrypt.org/directory --agree-dev-preview
みたいなコマンド一発で証明書を取得・更新できるので、2ヶ月に一回ぐらいコマンドを手動で実行するか、cron で回してください、ってことらしい
2015/11/30(月) 19:05:44.350
>>11
なるほど。自動化できるんなら運用で躓くことは少なそうだな。
なるほど。自動化できるんなら運用で躓くことは少なそうだな。
2015/11/30(月) 19:46:53.000
コマンド一発と言っても80番ポート止めなきゃダメなんでしょ?
STGとかなら良いけど、一般公開しているサイトでは二ヶ月に一回もやりたくない
STGとかなら良いけど、一般公開しているサイトでは二ヶ月に一回もやりたくない
14名無しさん@お腹いっぱい。
2015/11/30(月) 20:05:58.600 >>13
初心者向けモード(オプション無し)だとポート80のweb鯖を止める必要あるけど、
コマンドラインオプションで apacheとか既に動いてるweb鯖のdocument root 指定すれば止めなくてすむ
(そのdocument root 以下に認証用ファイルを設置して認証してくれる)
ただ、証明書はメモリに読み込まれてるだろうから
service httpd restert はいるだろうけど、
ダウンタイムは1〜2秒だろう
初心者向けモード(オプション無し)だとポート80のweb鯖を止める必要あるけど、
コマンドラインオプションで apacheとか既に動いてるweb鯖のdocument root 指定すれば止めなくてすむ
(そのdocument root 以下に認証用ファイルを設置して認証してくれる)
ただ、証明書はメモリに読み込まれてるだろうから
service httpd restert はいるだろうけど、
ダウンタイムは1〜2秒だろう
15名無しさん@お腹いっぱい。
2015/11/30(月) 20:18:56.910 >>13
漏れはクローズベータの初期からやってるけど
httpd stop → 証明書更新 → httpd start で1秒足らずだよ
でも漏れは小心者で万が一httpdの起動に失敗したら怖いので月1ぐらいで手動でやるわw
同じ理由でyum update とか、geo ip の更新とかも手動でやってるから
日常鯖メンテのプロセスに1分以内の作業が加わるだけだから
手動でも特に気にならん
サーバーって放置で運営するもんでもないし
漏れはクローズベータの初期からやってるけど
httpd stop → 証明書更新 → httpd start で1秒足らずだよ
でも漏れは小心者で万が一httpdの起動に失敗したら怖いので月1ぐらいで手動でやるわw
同じ理由でyum update とか、geo ip の更新とかも手動でやってるから
日常鯖メンテのプロセスに1分以内の作業が加わるだけだから
手動でも特に気にならん
サーバーって放置で運営するもんでもないし
16名無しさん@お腹いっぱい。
2015/11/30(月) 20:24:45.180 数年前に年何万も払って証明書買ってたのが馬鹿みたいだ
今や同じのが無料だもんな
やっぱり認証局はボロ儲けだったんだな
今や同じのが無料だもんな
やっぱり認証局はボロ儲けだったんだな
2015/11/30(月) 20:34:17.850
18名無しさん@お腹いっぱい。
2015/11/30(月) 23:07:18.8002015/11/30(月) 23:24:19.990
しかし、HTTPS化したら
はてブのブックマーク数とかツイート数とかがリセットされるよね
googleのランクは301リダイレクトで完全に引き継げるらしいけどね
httpへのリンクのまでも、httpsの方にリンクしているとみなしてくれるので
リンク効果も引き継げる模様
Googleはフルssl推進派だし、sslサイトのランクを上げる対応をしているので当然とも言えるが
はてブのブックマーク数とかツイート数とかがリセットされるよね
googleのランクは301リダイレクトで完全に引き継げるらしいけどね
httpへのリンクのまでも、httpsの方にリンクしているとみなしてくれるので
リンク効果も引き継げる模様
Googleはフルssl推進派だし、sslサイトのランクを上げる対応をしているので当然とも言えるが
20名無しさん@お腹いっぱい。
2015/12/01(火) 00:14:44.070 いよいよ、あさってか!
楽しみだわ
楽しみだわ
2015/12/01(火) 00:25:46.660
o(^-^)oワクワクテカテカ
早く証明書が欲しいニャン
早く証明書が欲しいニャン
2015/12/01(火) 00:28:53.840
これってワイルドカード証明書とれる?
23名無しさん@お腹いっぱい。
2015/12/01(火) 01:01:15.480 >>22
www無しで取ると、www付きが Subject Alternative Names(サブジェクトの別名)に入るけど、
それ以外はワイルドカードもサブジェクトの代替も無理だったと思う
サブドメインでも取れるし、常識的な範囲なら枚数制限もないから
サブドメインごとに証明書とって、SNIで振り分ければOK
www無しで取ると、www付きが Subject Alternative Names(サブジェクトの別名)に入るけど、
それ以外はワイルドカードもサブジェクトの代替も無理だったと思う
サブドメインでも取れるし、常識的な範囲なら枚数制限もないから
サブドメインごとに証明書とって、SNIで振り分ければOK
2015/12/01(火) 01:22:36.150
いや最初からSAN指定できるでしょ
2015/12/01(火) 01:42:42.500
レンタルサーバでも簡単に使えるように
サーバ会社の方でも対応してほしいね
サーバ会社の方でも対応してほしいね
2015/12/01(火) 04:33:31.620
> 2015年12月3日 に 公開ベータ(Public Beta)が開始される予定の
アメリカ時間だから、日本だと4日〜5日だと考えた方が良いぞ
時差ってもんがあるからな
アメリカ時間だから、日本だと4日〜5日だと考えた方が良いぞ
時差ってもんがあるからな
27名無しさん@お腹いっぱい。
2015/12/01(火) 04:50:46.510 アメリカとの時差って何時間だっけ?
てかアメリカってタイムゾーンいっぱいあったよね?
てかアメリカってタイムゾーンいっぱいあったよね?
2015/12/01(火) 08:53:56.390
SFだしPSTじゃないの
2015/12/01(火) 12:55:39.140
git が動かなきゃだめだよな。
30名無しさん@お腹いっぱい。
2015/12/01(火) 14:09:21.7102015/12/01(火) 17:03:05.620
いつの間にかApacheじゃなくてnginxが主流になったりとか
Cent OS 7 iptablesがなくなってFirewalldになったりとか
同じくCent OS 7 でMySQLじゃなくてMariaDBになったりとか
なんかgitという聞いたこともないようなものが飛び出したりとか
なんで Linux の世界ってこんなに変わっちゃったんですか?
10年以上も(下手したら20年近く?)、iptables, Apache, MySQL が主流でそれがずっとかわらなかったし
安定してて特に問題もなかったのに、なんで新しいソフトの動作覚えないといけないんでしょう
これっておじさんの鯖管を虐めて若者がいい気になりたいだけでは?
実際若い人に「なんで Apacheじゃ駄目なの?」とか「なんで iptables じゃ駄目なの?」と聞いても
「今は○○が主流になってきており・・・」とか「多少軽いらしいです」とかどうでもいいような返答しか返ってこないし
わざわざ再学習のコストかけてまで変える必要ないよね
Cent OS 7 iptablesがなくなってFirewalldになったりとか
同じくCent OS 7 でMySQLじゃなくてMariaDBになったりとか
なんかgitという聞いたこともないようなものが飛び出したりとか
なんで Linux の世界ってこんなに変わっちゃったんですか?
10年以上も(下手したら20年近く?)、iptables, Apache, MySQL が主流でそれがずっとかわらなかったし
安定してて特に問題もなかったのに、なんで新しいソフトの動作覚えないといけないんでしょう
これっておじさんの鯖管を虐めて若者がいい気になりたいだけでは?
実際若い人に「なんで Apacheじゃ駄目なの?」とか「なんで iptables じゃ駄目なの?」と聞いても
「今は○○が主流になってきており・・・」とか「多少軽いらしいです」とかどうでもいいような返答しか返ってこないし
わざわざ再学習のコストかけてまで変える必要ないよね
2015/12/01(火) 19:11:33.010
2015/12/01(火) 20:11:19.350
ご隠居さん、若いものの邪魔しちゃいけませんよ。さ、あっち行きましょうね。
2015/12/01(火) 21:09:57.190
てか静的HTMLならApacheでも1日100万Hitでも月1000円足らずのさくらのVPS1Gで捌けるのに、
なんで、ちょっと軽い程度の理由でnginxに移行しないといけないんだろう
httpd.confとかmod_rewriteとかの書き方覚え治すだけのメリットあるとは思えない
サーバ負荷になってるのはhttpdじゃなくてphp / CGIとかSQLなんだから
httpdを軽いのに乗り換えたって全体としては誤差だろ
なんで、ちょっと軽い程度の理由でnginxに移行しないといけないんだろう
httpd.confとかmod_rewriteとかの書き方覚え治すだけのメリットあるとは思えない
サーバ負荷になってるのはhttpdじゃなくてphp / CGIとかSQLなんだから
httpdを軽いのに乗り換えたって全体としては誤差だろ
2015/12/01(火) 22:19:59.420
だったらそのままApache使ってればいいじゃん
2015/12/01(火) 22:27:22.350
apacheでいいんじゃない?
必要になったらnginxのリバースプロクシたてればいい
必要になったらnginxのリバースプロクシたてればいい
2015/12/01(火) 22:56:32.300
>>35-36
だよね
会社でちょっとしたWebサービスを公開するときなんかに
若い社員に今時Apacheなんて時代遅れだからnginxにしろと言われるけど
まだまだApacheでいけるよね
若い社員になんと言われても「特に必要がある場合を除き、実績のある枯れたソフトウェアを使うのが望ましい」とApacheを押し通すことにする
だよね
会社でちょっとしたWebサービスを公開するときなんかに
若い社員に今時Apacheなんて時代遅れだからnginxにしろと言われるけど
まだまだApacheでいけるよね
若い社員になんと言われても「特に必要がある場合を除き、実績のある枯れたソフトウェアを使うのが望ましい」とApacheを押し通すことにする
38名無しさん@お腹いっぱい。
2015/12/01(火) 23:05:17.890 ※ Apache / nginx の論争で誤解を招きそうなので 一応書いておくと
Let's Encrypt は Apache ・ nginx のどちらかに依存してるわけじゃないよ
Let's Encrypt は Apache ・ nginx のどちらかに依存してるわけじゃないよ
2015/12/01(火) 23:13:00.530
でも、lighttpd には対応してないんでしょう?手動でやればすむことだけど。
2015/12/01(火) 23:29:01.640
>>39
lighttpd って /usr/local/www/data に拡張子無しのファイル置いたら text/plain のMIMEヘッダで外部からアクセス可能になるよね?
なら、下記のコマンドで証明書の取得までは一発でいけるはず(lighttpd を起動したままでOK)
./letsencrypt-auto certonly -a webroot --webroot-path /usr/local/www/data \
-d example.com -d www.example.com \
--server https://acme-v01.api.letsencrypt.org/directory --agree-dev-preview
たぶん、上記で起動したままでいけるはずだけど、もし lighttpd が IIS みたいに拡張子無しのファイルには外部からアクセスできない仕様だとすると、
一回停止させてから https://letsencrypt.jp/usage/ の手順でやる必要がある(その場合ダウンタイム有り)
あと、/usr/local/etc/lighttpd の書き換えは自動で行われないから手動でやらないといけないわけだけど、
http://l-w-i.net/t/lighttpd/ssl_001.txt によると、
「証明書はPEM形式の必要があるが、秘密鍵(.key)と証明書(.crt)を別々に所有している場合は以下の手順で両者を結合する。」
とのこと(2007/9/19更新 だから今は違うか)
とまぁこれぐらいの手間かければ好きなWeb鯖で使えるってことだ
lighttpd って /usr/local/www/data に拡張子無しのファイル置いたら text/plain のMIMEヘッダで外部からアクセス可能になるよね?
なら、下記のコマンドで証明書の取得までは一発でいけるはず(lighttpd を起動したままでOK)
./letsencrypt-auto certonly -a webroot --webroot-path /usr/local/www/data \
-d example.com -d www.example.com \
--server https://acme-v01.api.letsencrypt.org/directory --agree-dev-preview
たぶん、上記で起動したままでいけるはずだけど、もし lighttpd が IIS みたいに拡張子無しのファイルには外部からアクセスできない仕様だとすると、
一回停止させてから https://letsencrypt.jp/usage/ の手順でやる必要がある(その場合ダウンタイム有り)
あと、/usr/local/etc/lighttpd の書き換えは自動で行われないから手動でやらないといけないわけだけど、
http://l-w-i.net/t/lighttpd/ssl_001.txt によると、
「証明書はPEM形式の必要があるが、秘密鍵(.key)と証明書(.crt)を別々に所有している場合は以下の手順で両者を結合する。」
とのこと(2007/9/19更新 だから今は違うか)
とまぁこれぐらいの手間かければ好きなWeb鯖で使えるってことだ
2015/12/02(水) 00:43:26.630
今時の若いもんはH2Oなのでは
2015/12/02(水) 01:10:10.840
2015/12/02(水) 01:26:48.060
2015/12/02(水) 02:49:03.670
cloudflareはnginxリバースプロクシとして
sslやらCDNやらアクセス解析やらなんでもやってくれるんで
H2Oとかnginx含めて自前でリバースプロクシ建てる必要を感じない
sslやらCDNやらアクセス解析やらなんでもやってくれるんで
H2Oとかnginx含めて自前でリバースプロクシ建てる必要を感じない
2015/12/02(水) 08:02:15.490
だからなんなの?
2015/12/02(水) 08:42:43.740
>>42
おいしい水だよ
おいしい水だよ
2015/12/02(水) 09:23:18.170
ttps://letsencrypt.jp/usage/
を読んだ限りでは更新時に同意求める画面が開くようだから cron で自動化ができるのかよくわからん。
できるなら月1回の更新になるけど更新しすぎとか警告来るかな
を読んだ限りでは更新時に同意求める画面が開くようだから cron で自動化ができるのかよくわからん。
できるなら月1回の更新になるけど更新しすぎとか警告来るかな
2015/12/02(水) 12:43:13.970
>>47
そのページの下の方に利用規約への同意は保存されると書かれてる
そのページの下の方に利用規約への同意は保存されると書かれてる
2015/12/03(木) 11:37:52.610
さっそくやってみたけど。
Name is not whitelisted
というエラーです。
Name is not whitelisted
というエラーです。
2015/12/03(木) 13:46:38.440
ホワイトリストに登録されていません
2015/12/03(木) 15:05:34.740
>>50
まだパブリックになってないのかな
まだパブリックになってないのかな
2015/12/03(木) 16:48:10.380
ん?
53名無しさん@お腹いっぱい。
2015/12/03(木) 16:57:33.620 >>49
今は、クローズベータだから、クローズベータで承認されたドメインでしか使えないの。
パブリックベータになったら、そのエラー出なくなるよ
パブリックベータ開始は、アメリカ時間の今日中だから、もうしばらくお待ちを
今は、クローズベータだから、クローズベータで承認されたドメインでしか使えないの。
パブリックベータになったら、そのエラー出なくなるよ
パブリックベータ開始は、アメリカ時間の今日中だから、もうしばらくお待ちを
2015/12/03(木) 18:13:53.890
Let's Encrypt Status
http://letsencrypt.status.io/
> Public Beta begins at 6 PM GMT on 3 December.
日本時間だと明日の午前3時だな。
http://letsencrypt.status.io/
> Public Beta begins at 6 PM GMT on 3 December.
日本時間だと明日の午前3時だな。
2015/12/03(木) 19:19:46.600
2015/12/03(木) 19:46:07.250
>>54
貴重な情報サンクス
貴重な情報サンクス
2015/12/03(木) 19:48:26.330
>>55 おっと! フォーラムの公式ポストでもHTTPSでリンクされてた…。
2015/12/03(木) 19:56:44.490
>>54
わくわくするぜ
わくわくするぜ
2015/12/04(金) 00:49:56.490
WEBサーバとは別のメールサーバも暗号化するにはどうすればいい?
やっぱりHTTPSしか想定してないんだろうか
無理やりやるとしたら、メールサーバ用のWEBサーバ別に立てて証明書作って、
さらに自動化処理の中に作成した証明書ファイルをメールサーバに
コピる処理を作らなければならないのかな
やっぱりHTTPSしか想定してないんだろうか
無理やりやるとしたら、メールサーバ用のWEBサーバ別に立てて証明書作って、
さらに自動化処理の中に作成した証明書ファイルをメールサーバに
コピる処理を作らなければならないのかな
2015/12/04(金) 01:17:39.680
2015/12/04(金) 02:23:19.750
>>60
あー、そうなんだけど、
WEBサーバ無しの(外部からポート80接続させない)メールサーバだけでは
証明書の自動処理できないでしょって話。
外部から接続できるWEBサーバで自動処理を動かして証明書ファイルを受け取るわけでしょ?
それをメールサーバの所定のディレクトリに配置するには自分で仕組みを作らないとってこと。
それともメールサーバだけで完結する何かいい方法あります?
あー、そうなんだけど、
WEBサーバ無しの(外部からポート80接続させない)メールサーバだけでは
証明書の自動処理できないでしょって話。
外部から接続できるWEBサーバで自動処理を動かして証明書ファイルを受け取るわけでしょ?
それをメールサーバの所定のディレクトリに配置するには自分で仕組みを作らないとってこと。
それともメールサーバだけで完結する何かいい方法あります?
2015/12/04(金) 02:24:57.920
http://letsencrypt.jp
あと30分ちょいか
あと30分ちょいか
2015/12/04(金) 03:47:50.200
ubuntuの方は恐ろしく簡単に入ったな、、、
手作業でいれたやつ対応させるとするか、、
手作業でいれたやつ対応させるとするか、、
64名無しさん@お腹いっぱい。
2015/12/04(金) 05:11:52.3002015/12/04(金) 05:46:41.590
あっという間に取得完了
2015/12/04(金) 07:38:57.240
>>61
letsencryptのスクリプトで内蔵httpd立ち上げてるみたいだから行けるんじゃないの
letsencryptのスクリプトで内蔵httpd立ち上げてるみたいだから行けるんじゃないの
6849
2015/12/04(金) 07:45:26.420 期間は 12月3日から3月2日まで。
12月と1月が31日まで、2月が29日までだからちょうど90日です。
12月と1月が31日まで、2月が29日までだからちょうど90日です。
2015/12/04(金) 09:17:11.760
>>66
つまりhttpアクセス禁止してるサーバじゃ無理
つまりhttpアクセス禁止してるサーバじゃ無理
2015/12/04(金) 10:29:26.320
そんなの開ければいいじゃん
普段HTTP起動していないんだから何の問題もない
普段HTTP起動していないんだから何の問題もない
2015/12/04(金) 11:24:20.850
2015/12/04(金) 12:49:39.980
80以外のポート指定できないのかな?
それならサーバ毎にポート分けて対応できそうな気がするが
それならサーバ毎にポート分けて対応できそうな気がするが
73名無しさん@お腹いっぱい。
2015/12/05(土) 16:31:14.430 おい、おまいら
スラドでも記事になったようだぞ
【サーバー証明書を無料発行する「Let's Encrypt」がパブリックベータに移行】
http://security.srad.jp/story/15/12/05/0454205/
スラドでも記事になったようだぞ
【サーバー証明書を無料発行する「Let's Encrypt」がパブリックベータに移行】
http://security.srad.jp/story/15/12/05/0454205/
2015/12/05(土) 17:10:54.250
よし
今夜から使うぞ
今夜から使うぞ
2015/12/05(土) 20:02:25.820
SNI 用にいくつかもらいたいのだけど
./letsencrypt-auto certonly -a standalone \
-d letsencrypt.jp -d www.letsencrypt.jp \
--server https://acme-v01.api.letsencrypt.org/directory
をその分ドメインだけ変えて繰り返せばよいのかな。
./letsencrypt-auto certonly -a standalone \
-d letsencrypt.jp -d www.letsencrypt.jp \
--server https://acme-v01.api.letsencrypt.org/directory
をその分ドメインだけ変えて繰り返せばよいのかな。
2015/12/06(日) 10:48:40.190
-d example.com をその数だけ並べればいいよ
2015/12/06(日) 11:08:00.090
>>76
ん?SANじゃなくてSNIなのですが…
ん?SANじゃなくてSNIなのですが…
2015/12/06(日) 11:13:29.950
だったらそんな初歩的な質問するまえにやってるはずだが
何でも聞かないとできないタイプか
何でも聞かないとできないタイプか
2015/12/06(日) 11:37:07.150
2015/12/06(日) 11:37:09.550
SAN のやつを SNI でホスト毎に同じの指定すりゃいいじゃんか。
2015/12/06(日) 11:37:53.820
2sec 先こされたわww
2015/12/06(日) 15:31:13.610
startsslで結構梃子摺ったのに
こっちはかなり楽そうだな
こっちはかなり楽そうだな
2015/12/06(日) 15:40:47.290
startsslにてこずるところなんてなかったろ
2015/12/06(日) 15:43:23.500
CSR すら自分でやる必要も無く全自動だから、たいして知識がなくとも
説明通りに設定するだけで使える。メリットでもあるし、デメリットにもなるかもしれないなw
証明書だけじゃなく、SSL の動作に関してもある程度設定詰めないといけないしね。
まぁそれすら生成してくれるサイトあるけど。
説明通りに設定するだけで使える。メリットでもあるし、デメリットにもなるかもしれないなw
証明書だけじゃなく、SSL の動作に関してもある程度設定詰めないといけないしね。
まぁそれすら生成してくれるサイトあるけど。
2015/12/06(日) 16:05:25.120
86名無しさん@お腹いっぱい。
2015/12/08(火) 00:19:35.550 最大手のアットマークITでも取り上げられた模様
http://www.atmarkit.co.jp/ait/articles/1512/07/news072.html
これは Let's Encrypt がどんどん普及していくかもしれない
http://www.atmarkit.co.jp/ait/articles/1512/07/news072.html
これは Let's Encrypt がどんどん普及していくかもしれない
2015/12/08(火) 08:03:51.940
自分のサブドメイン分作ろうと思ったら発行上限に達して作れなくなった模様ww
マルチドメインはなんだかなーなんだよなー
マルチドメインはなんだかなーなんだよなー
2015/12/08(火) 13:20:31.440
何個発行しようとしたんだ?
2015/12/08(火) 13:49:27.660
>パブリックβ期間中は 7日間で5証明書/ドメイン
となってるな
となってるな
90名無しさん@お腹いっぱい。
2015/12/08(火) 15:49:24.080 BlueOnyxコンパネが対応した。
マウスクリックしかできないweb素人でも
一瞬で証明書が取れる時代になったわけだ。
マウスクリックしかできないweb素人でも
一瞬で証明書が取れる時代になったわけだ。
2015/12/08(火) 18:21:15.340
>>88
>>89 の通り 5 個だった。
話変わるけど、
<VirtualHost *:443>
Define vhost hoge.example.com
ServerName ${vhost}
SSLEngine on
SSLCertificateFile /etc/letsencrypt/live/${vhost}/cert.pem
SSLCertificateKeyFile /etc/letsencrypt/live/${vhost}/privkey.pem
SSLCACertificateFile /etc/letsencrypt/live/${vhost}/fullchain.pem
...
...
こう書けば証明書の記述はコピペで行けるから楽だな。
letsencrypt-auto の証明書配置好きだわw
>>89 の通り 5 個だった。
話変わるけど、
<VirtualHost *:443>
Define vhost hoge.example.com
ServerName ${vhost}
SSLEngine on
SSLCertificateFile /etc/letsencrypt/live/${vhost}/cert.pem
SSLCertificateKeyFile /etc/letsencrypt/live/${vhost}/privkey.pem
SSLCACertificateFile /etc/letsencrypt/live/${vhost}/fullchain.pem
...
...
こう書けば証明書の記述はコピペで行けるから楽だな。
letsencrypt-auto の証明書配置好きだわw
2015/12/08(火) 18:44:07.020
gmailからpopsでのフェッチアクセスも認証通りますか?
2015/12/08(火) 23:35:04.300
今 httpd.conf を grep したら VirtualHost が 122 個もあった
全部外部向けに https で公開したいわけじゃないけど
7日間で5証明書では毎日チビチビ取得するの面倒だな
β取れたら緩和されるかな?
全部外部向けに https で公開したいわけじゃないけど
7日間で5証明書では毎日チビチビ取得するの面倒だな
β取れたら緩和されるかな?
2015/12/08(火) 23:47:14.460
2015/12/08(火) 23:56:22.620
内部向けはオレオレで認証局作ってクライアントに信頼させときゃいいっしょ。 証明書はワイルドカード 1 つでw
証明書の発行やらは現状だと httpd 止めないと行けないからあまりホスト数多いと更新の時点ではダウンタイム長くなりそうだな。
証明書の発行やらは現状だと httpd 止めないと行けないからあまりホスト数多いと更新の時点ではダウンタイム長くなりそうだな。
2015/12/08(火) 23:58:54.890
>>94
そこは fullchain.pem か chain.pem どっちでもいいけどそうした方が結果としては良い。
最悪無くとも暗号化経路は確保されるけど SSL Server Test のスコア落ちるから嫌だw
そこは fullchain.pem か chain.pem どっちでもいいけどそうした方が結果としては良い。
最悪無くとも暗号化経路は確保されるけど SSL Server Test のスコア落ちるから嫌だw
2015/12/09(水) 00:03:58.020
2015/12/09(水) 00:08:24.100
Let's は今のところワイルドカードに対応する予定は無いってFAQにあるし
SubjectAltName は証明書を見るとサブドメインが全部バレてしまうので嫌なんじゃー
SubjectAltName は証明書を見るとサブドメインが全部バレてしまうので嫌なんじゃー
2015/12/09(水) 00:37:24.140
ライセンス同意とメールアドレス入力のためにわざわざ画面が立ち上がるのは
自動で大量取得されないため?
でもオープンソースだからどうにでもなるよね
自動で大量取得されないため?
でもオープンソースだからどうにでもなるよね
2015/12/09(水) 01:25:13.970
2015/12/09(水) 01:38:51.570
保存されると書いてあるだろ
■ このスレッドは過去ログ倉庫に格納されています
ニュース
- 備蓄米、小売店へ流通しているのは放出量の1.97%どまり [お断り★]
- 【コメ】日本人の主食が変わる?価格高騰収まらない米に代わり 麺類、シリアルなど売り上げ増 [ぐれ★] ★2 [ぐれ★]
- “強気価格”も納得か!「ダウンタウンチャンネル」に「ごっつ」「松本紳助」など“過去作アーカイブ”案 [ネギうどん★]
- 【宮城】焼き肉店アルバイトが厨房で“ケーキ食べ捨て”…… SNSで動画拡散、運営会社が謝罪「不適切な行為」 [シャチ★]
- 田中圭 元女優妻は“15歳年下”との不倫報道に激しい嫌悪感…永野芽郁に慰謝料請求も辞さない姿勢 ★3 [Ailuropoda melanoleuca★]
- JR東海、過去最高益に 新幹線の利用増、4584億円 [蚤の市★]
- ジャップ水道管「ジャアアアアアアアア!」 [931948549]
- 赤沢大臣「ゆっくり急ぐ」 [377482965]
- 万博'25開催地と勝手に勘違いして万博記念公園'70に行ってブチギレる民度の低い日本人が増加 [377482965]
- 【悲報】お米農家さん「5kg5000円でも全く利益が出ません。価格が上がって欲しいというのが本音です。」 [512028397]
- ▶4期生の人気徹底考察🏡
- 【絵】オタクくんにはこれがストッキングに見えてしまうらしいwwwww