X
【全ブラウザ対応】 無料SSL/TLS Let's Encrypt [転載禁止]©2ch.net
レス数が1000を超えています。これ以上書き込みはできません。
0001名無しさん@お腹いっぱい。
垢版 |
2015/11/30(月) 18:01:15.690
2015年12月3日 に 公開ベータ(Public Beta)が開始される予定の Let's Encrypt のスレです。

これは、いわゆる無料の SSL/TLS 証明書なわけですが、ブラウザ Mozilla Firefox を作っているモジラ財団とか、
ネットワーク機器大手のシスコとか、ネットワークインフラ大手のAkamaiとかが出資している大規模なプロジェクトなので、
途中で有料化したり、サービス停止になったりする心配もありません。

さらに、全ブラウザにルート認証局として入っているアメリカの最大手CA IdenTrust の傘下の証明書という扱い(クロスルート)になったので、
クローズベータをやっている現時点でも、全ブラウザに対応しているという神証明書です。

はっきりいって、IdenTrust の証明書をけっているブラウザなんて考えられないので、ジオトラストとかのドメイン認証証明書と同格以上の証明書が
無料で手に入ることになります。

明々後日からは、専用クライアントをダウンロードして、コマンドを実行するだけで、VPS など root 権限があるサーバとドメインがあれば証明書が入手可能なので、
期待しておきましょう。

もう、SSL/TLS の証明書にお金をかける時代はおわったのです(ただし、実在証明を含むEV証明書を除く)


【Let's Encrypt 公式サイト】(英語)
https://letsencrypt.org/

【Let's Encrypt 公式Twitter】(英語による最新情報)
https://twitter.com/letsencrypt

【Let's Encrypt 総合ポータル】(日本語)
https://letsencrypt.jp/

【Let's Encrypt 導入方法】(日本語)
https://letsencrypt.jp/usage/
0953名無しさん@お腹いっぱい。
垢版 |
2017/08/22(火) 14:42:15.780
証明書の有効期限が物凄く短くて
Rootで動くクライアントソフトを定期的に回さないといけない仕様ぽいんだけど
ほんとに、こいつ信用しちゃって大丈夫なん?

やや怖い
0954名無しさん@お腹いっぱい。
垢版 |
2017/08/22(火) 14:49:12.050
インターネットの権利を守る非営利では一番歴史と実績の多い電子フロンティア財団を信用するか否かってところやな
0955名無しさん@お腹いっぱい。
垢版 |
2017/08/22(火) 15:04:40.610
CSRを送信したら1年か2年分のCRTが戻ってくる
っていうシンプルな仕組みにしなかった理由が知りたいところ
0959名無しさん@お腹いっぱい。
垢版 |
2017/08/23(水) 12:59:40.540
固定IPアドレス割り当てのプロバイダのドメイン名の証明書も取得してたのだがエラーで更新できなくなった。
1ドメインあたりの数の制限ではなく、Googleのunsafeドメインに引っかかってるのかな。
The client lacks sufficient authorization :: Error creating new authz :: "xxx.example.jp" was considered an unsafe domain by a third-party API. Skipping.
0960名無しさん@お腹いっぱい。
垢版 |
2017/08/24(木) 22:20:16.110
>>959
悪意あるサイトだと判明したらcert revoke できるから
0963名無しさん@お腹いっぱい。
垢版 |
2017/09/23(土) 13:39:01.810
何も起こらない……?
更新スクリプトテストしていたときは普通に変わったよ。
長いこと放置している(自動更新させている)間に仕様変わったのか、
そもそも使っているスクリプトが違うのか。
0966名無しさん@お腹いっぱい。
垢版 |
2017/09/27(水) 06:33:48.440
>> 965

9月に更新の奴、

Your certificate (or certificates) for the names listed below will expire in 19 days

って注意喚起メールが来てたから、20日位なんじゃないかな?
0967名無しさん@お腹いっぱい。
垢版 |
2017/09/27(水) 12:17:01.390
Windowsのバッチ、renewalで動かなくない?
IISのサーバー証明書が更新されず…
結局、手動で更新したけど、この先不安だなぁ
0968名無しさん@お腹いっぱい。
垢版 |
2017/09/29(金) 07:51:51.200
動かないね。 まあメールが来たらこれ打てばいいだけだから、困ってはいないけど。
letsencrypt.exe --accepttos --manualhost host.example.com --webroot C:\wwwroot
0969名無しさん@お腹いっぱい。
垢版 |
2017/09/29(金) 21:12:11.540
>>968
それだとIIS側の証明書参照先が更新されないので、手動で切り替えが必要だった
Chromeの仕様変更を期にRapidから乗り換えようと思ったのに…
0971名無しさん@お腹いっぱい。
垢版 |
2017/10/01(日) 20:04:25.020
SSL化したら画像の読み込みが遅くなりました
サーバーはHTTP/2に対応していて、遅くなるのはネット回線が混雑する時間帯だけSSLだとしょうがないものでしょうか?
0973名無しさん@お腹いっぱい。
垢版 |
2017/10/01(日) 22:56:49.480
>>972
レスありがとうございます
画像20枚程度1.3MBのページでテスト
httpだと1.5秒、httpsだと3〜4秒くらいの読み込み
夜の回線が混雑する時間帯以外は両方とも1.5秒程度です
chromeのツールだと画像のcontent downloadというところが速度低下の原因のようです
0974名無しさん@お腹いっぱい。
垢版 |
2017/10/01(日) 23:03:39.580
>>972
すいません訂正です

混雑する時間帯は
httpだと2秒、httpsだと3〜4秒くらいの読み込みでした
httpでも多少遅くなりますが、httpsの方が回線の影響を受けやすいようです
申し訳ないです
0976名無しさん@お腹いっぱい。
垢版 |
2017/10/02(月) 00:13:58.480
>>975
ありがとうございます
サーバーはそれなりのスペックなんで大丈夫だと思います(たぶん)

色々調べたところHTTP/2が原因のようでした
非対応のブラウザだとSSLでも速度低下はみられませんでした
0977名無しさん@お腹いっぱい。
垢版 |
2017/10/02(月) 12:23:01.820
作りが酷いウェブアプリ(結果の返答に長時間かかる処理を非同期ではなく同期でロードさせるとか)
だとそれに引っ張られて読み込みがロックされてしばらく画面真っ白になることはある。

ワイルドカード証明書使ってると他のサブドメインにも波及するので怖い。
Let's Encrypt では無縁だけど。
0979名無しさん@お腹いっぱい。
垢版 |
2017/10/16(月) 07:10:26.630
ssl通信初心者です

・サーバ側はIISを利用、クライアント側はcURLを利用
・サーバ側で自己署名証明書を作成してFTPにバインドした
・FTPS通信をクライアントPCからやってみたら警告さえ無視したら(証明書の不正に関する)暗号化もできた通信ができている

この警告を無くすために次の手段としてはこのレッツエンクリプトを導入になるのかな?
公的な機関でなくて良いので(閉じたネットワーク上なため)、この警告をなくす方法を知りたいです

そもそもIISに何かしら(pem?cer?pfx)発行させてクライアントpcにファイルを持っていく必要はない??
勉強してた限りだとサーバが発行する証明書が真であると判断するために、
何かしらクライアントpcに取り込まなくてはいけないのかな?と思っていたので
何もクライアントに取り込まずに出来ていて戸惑ってます
0980名無しさん@お腹いっぱい。
垢版 |
2017/10/16(月) 14:23:36.680
>>979
CA証明書がクライアントPCの信頼されたルート証明機関にあれば、そのCAが発行した証明書で警告が出ない
これが基本

自己署名なら自分のCA証明書をクライアントに入れればいい
Let's Encryptはdomain validationだから閉じたネットワークに使うものではない
したがってスレチ
0981名無しさん@お腹いっぱい。
垢版 |
2017/10/16(月) 16:27:12.390
>>979
IISの鯖に証明機関サービス入れてIISのサーバで署名して
そこのCA証明書を信頼させればいいし
台数多くてActiveDirectry入れてるならポリシーに信頼する項目入れりゃいい

Let's Encrypt利用するなら一時的にでも外向きにドメインとサーバ設定して
証明書貰うのが楽だけど90日ごとにそれやらんとならんよ
0982名無しさん@お腹いっぱい。
垢版 |
2017/10/16(月) 16:35:11.100
IPv4でLet's Encryptの証明書をとって、東西NTTのNGNのIPv6網上で使うことは可能だった。
IPv6でインターネット繋がってなくても、東同士、西同士だったら通信できる。
0983名無しさん@お腹いっぱい。
垢版 |
2017/10/16(月) 16:53:15.920
プライベートIPを指すホスト名用に Let's Encrypt って取得時毎に IP をグローバルにするか
ローカル用にDNS立てないと無理かね。 ワイルドカードの発行が始まれば解決ではあるんだけど

>981 Let's Encrypt って CA証明書用の発行してくれるっけ? オレオレをローカルにばら撒けという話かな?
0984名無しさん@お腹いっぱい。
垢版 |
2017/10/16(月) 18:19:07.730
>>983
1. 一時的に外から鯖がドメインでつながるようにして鯖証明書を取得し、取得完了後は切り離す(LE)
2. 俺俺CAを蔵の信頼リストに入れる
どっちか選べって話だろ
0985名無しさん@お腹いっぱい。
垢版 |
2017/10/17(火) 00:40:33.560
んなことしなくてもそのドメインインターネットに繋がってる別の鯖に向けといて証明書取ってそれをコピーしてくるだけでいいじゃん
0987名無しさん@お腹いっぱい。
垢版 |
2017/10/17(火) 06:23:00.960
オレオレをインストールしまくるより、鯖の証明書移動するほうが楽な気がする。
クライアントを触らないでいいからね
0991名無しさん@お腹いっぱい。
垢版 |
2017/10/17(火) 21:59:34.680
閉じたローカルネット上のPCとサーバとの間の経路に通信内容を盗聴しようとする何かがいたりするのか?
10011001
垢版 |
Over 1000Thread
このスレッドは1000を超えました。
新しいスレッドを立ててください。
life time: 688日 16時間 52分 39秒
10021002
垢版 |
Over 1000Thread
5ちゃんねるの運営はプレミアム会員の皆さまに支えられています。
運営にご協力お願いいたします。


───────────────────
《プレミアム会員の主な特典》
★ 5ちゃんねる専用ブラウザからの広告除去
★ 5ちゃんねるの過去ログを取得
★ 書き込み規制の緩和
───────────────────

会員登録には個人情報は一切必要ありません。
月300円から匿名でご購入いただけます。

▼ プレミアム会員登録はこちら ▼
https://premium.5ch.net/

▼ 浪人ログインはこちら ▼
https://login.5ch.net/login.php
レス数が1000を超えています。これ以上書き込みはできません。
ニューススポーツなんでも実況