X
無料SSL/TLS証明書 Let's Encrypt Part2
■ このスレッドは過去ログ倉庫に格納されています
0001名無しさん@お腹いっぱい。
垢版 |
2017/10/18(水) 10:46:04.560
無料の SSL/TLS 証明書Let's Encryptのスレです

【Let's Encrypt 公式サイト】(英語)
https://letsencrypt.org/

【Let's Encrypt 公式Twitter】(英語による最新情報)
https://twitter.com/letsencrypt

【Let's Encrypt 総合ポータル】(日本語)
https://letsencrypt.jp/

【Let's Encrypt 導入方法】(日本語)
https://letsencrypt.jp/usage/

前スレ
【全ブラウザ対応】 無料SSL/TLS Let's Encrypt
http://mevius.2ch.net/test/read.cgi/hosting/1448874075/
0007名無しさん@お腹いっぱい。
垢版 |
2017/10/21(土) 20:22:41.940
Let’s Encryptの証明書って自動更新ですよね?
突然アクセスしている全PCで、
不明な証明書というダイアログが表示されました。
一旦証明書を削除してつくりなおそうとしたら、
サーバの調子が悪くなりました。

なんかの拍子に自動更新が失敗した時は、
どうすべきだったのですか?
0010名無しさん@お腹いっぱい。
垢版 |
2017/10/21(土) 21:10:01.170
>>7
certbotをパッケージでインストールしてればcronで日2回動くようになってる。まずその点を確認しなよ
何かの拍子どころかそもそも自動更新されるように設定できてないんじゃね?
削除もちゃんとcertbot deleteしたのか、勝手にディレクトリごと削除したのか?
具体的に何をどうしたのか言わないとダメだよ
できないようなら、あなたは向いてないからレン鯖でも借りてなさい
0011名無しさん@お腹いっぱい。
垢版 |
2017/10/21(土) 22:49:12.030
>>10
Plesk使っててその中にLet’s encryptがありました。
そのUI上に更新の設定はなく、
基本自動更新される物だと思ってました。

証明書はPleskの画面から、
証明書を削除しました。
0013名無しさん@お腹いっぱい。
垢版 |
2017/10/22(日) 05:16:33.870
証明書削除する前に無効化処理してないと、再作成の際にアラートがでる。
サードパーティの自動化処理だとそこで蹴られたりするかもな
0016名無しさん@お腹いっぱい。
垢版 |
2017/10/23(月) 11:03:11.820
証明書が自動更新されていたとしてもサーバが食ってないと意味がない。
証明書が更新されたら、サーバの設定をreloadしてやることを忘れてはいけない。
0017名無しさん@お腹いっぱい。
垢版 |
2017/10/23(月) 16:16:24.800
それを気にしなきゃいけないのはマニュアルな人だけかと

自動化スクリプトやコマンドオプションに大抵のサーバの再起動まで当たり前に入ってる
0020名無しさん@お腹いっぱい。
垢版 |
2017/10/23(月) 20:58:07.350
CentOS で systemd だとこれ cron でまわしときゃいい
MTA 周りでも使ってるから一緒に restart しとる。
certbot renew --post-hook "systemctl restart nginx dovecot postfix" --quiet
0022名無しさん@お腹いっぱい。
垢版 |
2017/10/24(火) 07:40:16.020
>>21
あまり気にかけてなかったけど指摘されたら気になったので念のため挙動確認してから reload に変えておいた。
thx デス!
0023名無しさん@お腹いっぱい。
垢版 |
2017/10/26(木) 14:13:52.000
バッチで自動更新仕掛けててもなんだかんだの理由でしょっちゅうコケてて駄目だなこれ
安定する方法ないのか
0026名無しさん@お腹いっぱい。
垢版 |
2017/10/27(金) 14:14:58.260
5週間前から更新されたはずだから1週間に1回しかけておけば5週連続失敗なんてことでもなけれりゃ
0027名無しさん@お腹いっぱい。
垢版 |
2017/10/27(金) 23:30:20.980
むしろログ見てなんで失敗したかによって原因を排除もできないのか?
Webサーバ公開なんてやめた方が良いぞ、それじゃ
0028名無しさん@お腹いっぱい。
垢版 |
2017/10/30(月) 10:46:02.950
殺伐としてもしょうがないんだけど、ちょっと省みた方がいいよね。
システムが悪いんじゃなくて使い方に問題がありますよって話で。
0029名無しさん@お腹いっぱい。
垢版 |
2017/11/08(水) 09:21:34.590
個人独自ドメインなので、多少の弊害があってもいいやってんで

certbot renew --quiet --post-hook "reboot"

という設定を cron で動かしています。

本当は Web サーバーやその他必要なプロセスを再読み込みするのが正しいやり方なんだろうと思いますが
これによって、致命的な弊害の可能性ありますでしょうか?

偉い人、教えて下さい。
0031名無しさん@お腹いっぱい。
垢版 |
2017/11/08(水) 11:51:20.800
そういう質問するレベルだと
たまにfsck走って上がってくるまで時間かかりダウンタイムが長くなる弊害もありそうだな
0032名無しさん@お腹いっぱい。
垢版 |
2017/11/08(水) 13:16:01.190
1リクエストたりとも取りこぼしが許されないウォームリスタートに数十万年の投資するような必要がなければ、
2か月ちょいに一度、時間指定できる1分程度の停止が発生してても気にスンナ
毎日リブートかけてるような運用してる業者もゴロゴロだ
0034名無しさん@お腹いっぱい。
垢版 |
2017/11/14(火) 09:39:51.960
スレチだと思うのですが、教えて下さい。エロい人

http でアクセスしてきたら https にリダイレクトしているんですが、

例えば、

http://www.exsample.com?id=xxx&;pass=xxx

ってアクセスがが来た時、id や pass はちゃんと暗号化されていますか?
0038名無しさん@お腹いっぱい。
垢版 |
2017/11/14(火) 19:42:23.020
クライアント「http://www.example.com/id=xxx&;pass=xxxにアクセスするぞ!」
クライアント→サーバー(http)「www.example.comのサーバーさん、/id=xxx&pass=xxxをGETしたいです」 ←ココでhttp平文通信で要求パスが送られる
サーバー→クライアント(http)「そのページはこっちにあんねん つhttps://www.example.com/id=xxx&;pass=xxx」 ←ここも当然http
クライアント「https://www.example.com/id=xxx&;pass=xxxにリダイレクトだ!」
クライアント→サーバー(https)「www.example.comのサーバーさん、/id=xxx&pass=xxxをGETしたいです」
サーバー→クライアント(https)「おっけー、HTMLおくるよー」

普通に考えてhttpsにリダイレクトされる前にhttp通信してるじゃん
そこで平文で流れてるじゃん
0039名無しさん@お腹いっぱい。
垢版 |
2017/11/15(水) 09:32:12.740
要求を送る前にログインページがあって、HSTSヘッダを受け取っていた場合は、
次の要求はHTTPにリクエストせずHTTPSになり暗号化される、とも考えられる。
つまりこれだけの情報でははっきりした回答は出来ない、設定次第でYesにもNoにもなりうる。
0041名無しさん@お腹いっぱい。
垢版 |
2017/11/15(水) 14:37:37.990
どういう条件でhttpsが使われるかって話だけに限ればあながちスレチでもない。
そもそもHSTSの期間内ならHTTPリクエストは送られないよ。
0042名無しさん@お腹いっぱい。
垢版 |
2017/11/15(水) 16:57:43.920
hstsに従うかどうかはブラウザによる
hstsが聞くときはアクセスしたことがあるとき

証明書のスレッドであってhttps?の話は違うんじゃないかな
0045名無しさん@お腹いっぱい。
垢版 |
2017/11/23(木) 11:35:39.990
常時HTTPSが当たり前になって、
通信は暗号さえされてれば良いと言う流れだよね?
サイトの身分証明みたいな大義名分はもう消える。
違法・詐欺サイトがHTTPS使うだけだし。

何が言いたいかというと、証明書ビジネスはオワコン
0046名無しさん@お腹いっぱい。
垢版 |
2017/11/23(木) 11:44:28.880
通信がmitmされたりサイトが偽物に差し替わってないことの証明にはなる
銀行とか重要なところはEV使うだろうし
0050名無しさん@お腹いっぱい。
垢版 |
2017/11/23(木) 15:59:45.550
フォームが暗号化されてないと客に不安感を与えるから、ぐらいの理由でSSL導入してるだけのところが
Let's Encryptに流れて有料証明書使わなくなると言いたいんじゃね
まあ、DVのくせに高いところは潰れてくれていい
高い金取るならせめてOV以上にしろと

でも現実は、無料証明書では怪しまれますよ、とDVも売るんだろうなぁ
0052名無しさん@お腹いっぱい。
垢版 |
2017/11/23(木) 21:24:14.810
今レンタルサーバーでlet's encryptのSSL使っていてサーバー移転する予定です

移転先サーバーでlet's encryptの証明書をインストールしてたら、ダウンタイムなしで移れますか?
0053名無しさん@お腹いっぱい。
垢版 |
2017/11/23(木) 21:48:03.360
DV だからドメイン変わらないなら問題無い。
ダウンタイム云々は移転するタイミングとスケジュール次第。
自分は移転完了したつもりで旧サーバーからコンテンツ削除したら
"ダウンしている" と見える人もいれば移転に気付かない人も要るだろうね。
0055名無しさん@お腹いっぱい。
垢版 |
2017/11/23(木) 22:25:00.100
普通に作れるだろ

サーバ設定まで全自動しかないと思ってるのかな?

指定されるファイルひとつ指定の場所におけばそれで認証されて、pem 生成されるから
それを好きな場所にコピーしてウェブサーバに読ませるだけやで?

だからSNI対応レンタルサーバであれば、まだ設定前のサーバの管理画面から手動で証明書登録することもできる
0057名無しさん@お腹いっぱい。
垢版 |
2017/11/24(金) 17:51:04.090
vps契約して使っているのだが、ssl化したいんだが
最も安いのはどこの証明書?
教えけろ
0059名無しさん@お腹いっぱい。
垢版 |
2017/11/24(金) 18:03:08.520
>>58
Let's Encrypt を入れたら無料で
SSL化出来るのか?
0061名無しさん@お腹いっぱい。
垢版 |
2017/11/24(金) 19:47:50.100
>>59
何も面倒なことせず無料でコマンド一発で近代的なブラウザに対応した証明書が生成される神サービスだよ

価格抜きでも発行の手軽さという点で従来のDV証明書に勝ってると思う
オレオレ証明書よりも手軽だし
0062名無しさん@お腹いっぱい。
垢版 |
2017/11/24(金) 20:13:28.890
>>61
本当か!
世の中進んでいるんだな。
インストールするわ。
サンキュウ
0066名無しさん@お腹いっぱい。
垢版 |
2017/11/26(日) 09:53:01.440
Let's Encrypt で証明書を発行して

1. Web サーバー
2. メールサーバー
3. Pop サーバー

で使っているんですが、他にこれも出来るよってのありましたらご教示お願いします。
■ このスレッドは過去ログ倉庫に格納されています