無料SSL/TLS証明書 Let's Encrypt Part2
■ このスレッドは過去ログ倉庫に格納されています
無料の SSL/TLS 証明書Let's Encryptのスレです
【Let's Encrypt 公式サイト】(英語)
https://letsencrypt.org/
【Let's Encrypt 公式Twitter】(英語による最新情報)
https://twitter.com/letsencrypt
【Let's Encrypt 総合ポータル】(日本語)
https://letsencrypt.jp/
【Let's Encrypt 導入方法】(日本語)
https://letsencrypt.jp/usage/
前スレ
【全ブラウザ対応】 無料SSL/TLS Let's Encrypt
http://mevius.2ch.net/test/read.cgi/hosting/1448874075/ 更新の時に80開けるのめんどくせーなって思ったからダメだったのでは?
俺が使ってたやつはwin-simpleとか付いてた気がする ワイルドカードいいな
バーチャルサーバ作るのが楽になった TCPセッション後のTLSセッションでClient HelloにはいってるSNIはどこから引っ張ってきてるんですか?
サーバー証明書インストールされる前のクライアントが、サーバー名なんて知る由もないと思うんですが >>150
SNI の基礎から勉強しなおしてくださいね
結論言いますと、SNI 対応のブラウザ(10年前のブラウザとかじゃないかぎり基本対応)だとですね
FQDN の subdomain.example.com みたいなのが平文で送信されるんですよ
で、それに合わせた証明書をサーバが送るわけです
え、プライバシーの侵害だって?
それはそうなんですが、IPv4のIPアドレスの枯渇があるんで1証明書=1IPアドレスだとhttpsが普及しないからそっちの方が問題、
どうせ今主流のDNSはFQDNが平文で送られるんだからホスト名を平文で送るのは今のところたいしてリスク増えないんだしやむを得ないのでは?
ということでまぁSNI導入賛成派の論理がとりあえず受け入れられてそういう規格・実装になったわけですよ
無論、ホスト名だけでもプライバシー上の問題がありますから、DNSの通信の暗号化も含めて今後は改善されていくとは思いますが時間がかかりますね 少なくとも最初のclient helloに入ってるSNIは、ブラウザに入れられたhttpsアドレスのFQDNと理解していいですか? 私が知りたかったのは、そのsubdomain.example.comを「クライアントがどうやって知り得たか」だったんですが、httpsサイトのFQDNとイコールならそれでよくて、もし違うならどっからその値持ってきてんのかっていう質問です。 イコールですよ。
https://tools.ietf.org/html/rfc6066#section-3
Currently, the only server names supported are DNS hostnames; >>154
> そのsubdomain.example.comを「クライアントがどうやって知り得たか」だったんですが、
知り得たも何も、例えばユーザーがブラウザのアドレスバーにURLを入れてアクセスした場合、
そのURLに含まれるFQDNがそのまま使われます
リンククリックならa要素のhref属性に含まれるFQDNね
サーバのIPアドレスはDNSで調べた結果が用いられ、そのIPアドレスへFQDNがそのまま送られる、以上 150はSNIにFQDNの値がそのまま使われてると思ってなくて、じゃあSNIの値はどこを参照してるのか?と質問した。答えはFQDNとSNIは同じ値。150は納得して巣に帰った。以上。 postfix でワイルドカード証明書利用するとワーニング出ませんか?
マルチドメイン証明書なら大丈夫みたいなんですが。 もうすぐ初めての自動更新の季節だが、本当に自動で更新してくれるのか不安 >>163
使い勝手か何か変わった?
手動ではまったく弄ってないから気付いてない オプションがかなり増えてる
状態の確認、削除や無効化の手間(以前は個別に手作業)の削減やら、
証明書の上書き変更やら、プラグイン頼りだった認証方法やオプションの導入
取得コマンドと更新コマンドcronに仕込む以外必要ない人には無縁の世界 色んなOS色んな言語で同じ機能のツール作られてるから好きなの使え Windows用の更新ソフトはどれがいいのでしょう? アドレスバーを緑にするやつ以外無意味。letsで十分 確実にどんな人でも可能な在宅ワーク儲かる方法
念のためにのせておきます
グーグルで検索するといいかも『金持ちになりたい 鎌野介メソッド』
6F5IW >>172
個人サイトならLet'sで十分だよな
ところで、某レンタルサーバーで設定したんだが、本当に自動更新されるんだろうか
そろそろ時期なんだが ブラウザで証明書情報を見られるから日付が延長されてるか確認すればいい
二ヶ月くらいで更新されるからもうすぐ期限の3か月というのであれば、既にさし替わってるかも >>175
どうも
今見てみたら、期限7月になってた
今年になってから取得したから、どうやら無事に更新されてる模様
ところで、よく分からないが見てみたらTLS1.2か
確か、1.0が廃止になったんだっけ 世の中みんなyumベースのばっかで、
ソースから入れてる自分には難しかったけど、
ようやくできたわ。
.well_known/acme何とかってディレクトリを予め用意するなんて、
あんまり書かれてなくない? ソースから入れてるんだったらソース読めばわかるだろうに 普通にgitリポジトリから引っ張ってきてやってたけど.well-known/acme-challengeの説明は書いてあるぞ。
Apacheやnginxのモジュールで入れるやつは使ったことない ドキュメントにも一応書かれてる。
Webroot プラグインは ${webroot-path}/.well-known/acme-challenge に一時ファイル(ワンタイムトークン)を作成し…
自分のやり方の何かが違うんだろうけど、
root権限でもここを作ってくれなかったからはまったんだろうな。
理由は調べてない… DDNS提供者のサブドメインを使う形式の場合、
発行数が多すぎてLet's Encryptから蹴られる場合や
DDNS提供者がCAAレコードで禁止している場合がある 自分のドメインじゃなくて他人のドメインをレンタルして発行ってことか
DDNSでまとめるのは如何なものかと 世界共通の*.*で期限なしとか作ってくれよもう…
何か問題ある? 成りすましできて復号もできるじゃん
意味ないじゃん 亀レスだが、DDNSでも独自ドメイン取ってCloudflareなりMyDNSなり使えばなんとかなりそう
独自ドメインは.tkとかがタダで取れるし今試してるところ あと>>178-180でソースインストール叩かれてるけど、ラズパイ版CentOS7のEPELにはCertbot1.9しかなくて辛い
駄文失礼 別に叩かれてはなくね?
選択肢があるならわざわざ難しい方法を選ばなくてもいいってだけで ソース読めないんだったらソースインストール必要ないわな IISで運用してる自鯖の証明書更新メモ書き
echo n | letsencrypt.exe --accepttos --manualhost xxxx.com --webroot D:\wwwroot\xxxx.com
webrootフォルダの権限設定をして、上を実行すると証明書のインストール(差換え)まで
終わっている。そのあとサイト バインドで新しい証明書をあてがうところがまだ手動だから、
これを手でやるが、スクリプトが書ければスケジューらで自動化できるのかな ようやくCentOS5を捨てて、VPSのOSをリニューアルした。
Python3神だわ…
更新の自動化すんごい助かる。
cronで週に一度コマンド叩くだけで、
全部の証明書を更新してくれる(予定)
毎週、まだ更新日じゃないよってcronメールも来るから安心できる。 今さらで悪いんだけど更新タイミングってどうしてます?
週1回確認で1ヶ月切ってたら更新にしてるんだけどちょい心配
毎週強制更新とかしてる人いる? それやると逆にBANされそうじゃん。
そのうち更新されると信じて放置してるよ。
3ヶ月後が楽しみだな(笑) やっぱりそうだよね
おとなしく今のままにしときますw 3ヶ月という短期間の有効期限は何のため?
無駄な発行済をすぐに切るためなのかな? ■ 中国スパイ、アメリカで日本叩き運動を先導
http://jbpress.ismedia.jp/articles/-/53848
8月6日、「デイリー・コーラー」が、「ファインスタイン議員の補佐官でスパイを行っていたのは、
中国系米国人のラッセル・ロウという人物だ」と断定する報道を流した。
ロウ氏は長年、ファインスタイン議員のカリフォルニア事務所の所長を務めていたという。
デイリー・コーラー誌は、ロウ氏が中国政府の国家安全部にいつどのように徴募されたかを報じた。
ロウ氏は、サンフランシスコの中国総領事館を通じて、長年にわたって同安全部に情報を流していたという。
ファインスタイン事務所もFBIもこの報道を否定せず、
一般のメディアも「ロウ氏こそが中国諜報部の協力者、あるいはスパイだ」と一斉に報じた。
主要新聞なども司法当局の確認をとりながら、ロウ氏のスパイ活動を詳しく報道した。
■ 米国に工作員を投入する中国当局
今回、米国において慰安婦問題で日本を糾弾する人物が、実は中国のスパイだったことが明らかになった。
つまり、中国当局が米国に工作員を投入して政治操作を続けている実態があるということだ。
長年、米国議会の意向を反映するような形で慰安婦問題を追及してきたロウ氏が
実は中国政府のスパイだったという事実は、この中国の役割を証明したといえる」と解説していた。 WoSignというのがあってだな。いや、あった、か。 別に無料証明書なんかどこが作ろうが関係ない
しょせんグーグル先生向けにhttpsつけるためだけなんだし
グーグルが発行してもいいくらい Googleは自社で証明書発行してる
そんな事すらわからないのにこのスレに居るの? >>210
落ち着けよ
「Googleは自社で証明書発行してる」ことの知識と
GoogleがLEみたいなサービスを提供してもいいだろうという主張は
何ら矛盾しない 脊髄反射するバカが多いスレだな
Googleがhttps要求しなかったら誰もやってないだろ しかし、これは神サービスだよな。
常時化の話がなかったとしても普通はこれ使う。 クライアントにEVの方を導入させやすくなったメリット HTTP/2とか実際どのぐらい効果あるんだろうな。
大規模サイトですごいアクセスを捌くなら、
nginxと組み合わせて効果ありそうだが…
ショボいサイトでやっても意識高い系になるだけな気がするw KeepAliveすら切ってるしな
普通のwebサイトじゃ鯖代のが重要だろ 逆に、小規模サイトだからソケット使い果たすこともないし、
Timeoutは1秒にして、
KeepAliveはOnにしてるわ。
でも最近は回線もクライアントも高性能すぎて
KeepAliveの恩恵も薄そうだなw スマホだと結構回線が遅いから重要
30個くらいのファイルを取得するページで設定変えてみると実際に体感できる
どのサービスか忘れたけど最近のhttpsにするのは当たり前という状況でhttpsに変えて鯖代が増えたがHTTP/2にして抑えられたという話は聞いたな スマホのためならkeep-aliveとdeflateでも良さそうだな。 brは結構すごい感じ
BOTさんにも早く対応してほしい
というか、httpでも対応してほしいが
http2は双方向必要なアプリでしか使い道ないと思う brotli
gzより2割程度サイズ減るよ
なぜかhttps専用 無料DDNSと組み合わせで使うと不人気ドメイン選ばないと更新できない可能性あるから悩むよな >>227
DDNSで発行してもらったことないからわからんが、
人気のある(知名度が高い)ドメインでやると
拒否される可能性があるってことじゃない?
根本的にDDNSは発行されないことになってて、
DDNSだとバレると更新されないとか。 DDNSで困るのは更新じゃなくて新規取得じゃないの? いや、だから、後からバレると更新できなくなるってことかなと。
知らんよ。エスパーしてみただけだし。 The main limit is Certificates per Registered Domain, (50 per week).
A registered domain is, generally speaking, the part of the domain you purchased from your domain name registrar. For instance, in the name www.example.com, the registered domain is example.com.
In new.blog.example.co.uk, the registered domain is example.co.uk.
We use the Public Suffix List to calculate the registered domain. と言うのは冗談で、そういう決まりがあったんだ。
無料だし、まあ仕方ないやね。 新規取得 (Certificates per Registered Domain) 週50
更新は取得に含まれない (Renewal Exemption)
ttps://letsencrypt.org/docs/rate-limits/ 自分のChromeのAccept-Encoding見たら、
gzip, deflate, brってなってた。
いつの間に追加されたんだろう。 >>236
sn追加で怒られたことないしそうだわな brはmod_rewriteで使ってるが
拡張子がmod_mimeと競合するからブラジル人を排除する必要がある apache 2.4に標準でbrが組み込まれるなら、
deflateはお役御免かもな。 ちっ、プラグイン…
Cert is due for renewal, auto-renewing...
Could not choose appropriate plugin: The requested uto plugin does not appear to be installed
Attempting to renew cert (www.example.jp) from /etc/letsencrypt/renewal/www.example.jp.conf produced an unexpected error: The requested uto plugin does not appear to be installed. Skipping.
All renewal attempts failed. The following certs could not be renewed:
??/etc/letsencrypt/live/www.example.jp/fullchain.pem (failure) おっすw
初心者が片手間でやってりゃこんなもんですよ。
そこから学んでいくのです。 ■ このスレッドは過去ログ倉庫に格納されています
