無料SSL/TLS証明書 Let's Encrypt Part2
■ このスレッドは過去ログ倉庫に格納されています
無料の SSL/TLS 証明書Let's Encryptのスレです
【Let's Encrypt 公式サイト】(英語)
https://letsencrypt.org/
【Let's Encrypt 公式Twitter】(英語による最新情報)
https://twitter.com/letsencrypt
【Let's Encrypt 総合ポータル】(日本語)
https://letsencrypt.jp/
【Let's Encrypt 導入方法】(日本語)
https://letsencrypt.jp/usage/
前スレ
【全ブラウザ対応】 無料SSL/TLS Let's Encrypt
http://mevius.2ch.net/test/read.cgi/hosting/1448874075/ 世の中みんなyumベースのばっかで、
ソースから入れてる自分には難しかったけど、
ようやくできたわ。
.well_known/acme何とかってディレクトリを予め用意するなんて、
あんまり書かれてなくない? ソースから入れてるんだったらソース読めばわかるだろうに 普通にgitリポジトリから引っ張ってきてやってたけど.well-known/acme-challengeの説明は書いてあるぞ。
Apacheやnginxのモジュールで入れるやつは使ったことない ドキュメントにも一応書かれてる。
Webroot プラグインは ${webroot-path}/.well-known/acme-challenge に一時ファイル(ワンタイムトークン)を作成し…
自分のやり方の何かが違うんだろうけど、
root権限でもここを作ってくれなかったからはまったんだろうな。
理由は調べてない… DDNS提供者のサブドメインを使う形式の場合、
発行数が多すぎてLet's Encryptから蹴られる場合や
DDNS提供者がCAAレコードで禁止している場合がある 自分のドメインじゃなくて他人のドメインをレンタルして発行ってことか
DDNSでまとめるのは如何なものかと 世界共通の*.*で期限なしとか作ってくれよもう…
何か問題ある? 成りすましできて復号もできるじゃん
意味ないじゃん 亀レスだが、DDNSでも独自ドメイン取ってCloudflareなりMyDNSなり使えばなんとかなりそう
独自ドメインは.tkとかがタダで取れるし今試してるところ あと>>178-180でソースインストール叩かれてるけど、ラズパイ版CentOS7のEPELにはCertbot1.9しかなくて辛い
駄文失礼 別に叩かれてはなくね?
選択肢があるならわざわざ難しい方法を選ばなくてもいいってだけで ソース読めないんだったらソースインストール必要ないわな IISで運用してる自鯖の証明書更新メモ書き
echo n | letsencrypt.exe --accepttos --manualhost xxxx.com --webroot D:\wwwroot\xxxx.com
webrootフォルダの権限設定をして、上を実行すると証明書のインストール(差換え)まで
終わっている。そのあとサイト バインドで新しい証明書をあてがうところがまだ手動だから、
これを手でやるが、スクリプトが書ければスケジューらで自動化できるのかな ようやくCentOS5を捨てて、VPSのOSをリニューアルした。
Python3神だわ…
更新の自動化すんごい助かる。
cronで週に一度コマンド叩くだけで、
全部の証明書を更新してくれる(予定)
毎週、まだ更新日じゃないよってcronメールも来るから安心できる。 今さらで悪いんだけど更新タイミングってどうしてます?
週1回確認で1ヶ月切ってたら更新にしてるんだけどちょい心配
毎週強制更新とかしてる人いる? それやると逆にBANされそうじゃん。
そのうち更新されると信じて放置してるよ。
3ヶ月後が楽しみだな(笑) やっぱりそうだよね
おとなしく今のままにしときますw 3ヶ月という短期間の有効期限は何のため?
無駄な発行済をすぐに切るためなのかな? ■ 中国スパイ、アメリカで日本叩き運動を先導
http://jbpress.ismedia.jp/articles/-/53848
8月6日、「デイリー・コーラー」が、「ファインスタイン議員の補佐官でスパイを行っていたのは、
中国系米国人のラッセル・ロウという人物だ」と断定する報道を流した。
ロウ氏は長年、ファインスタイン議員のカリフォルニア事務所の所長を務めていたという。
デイリー・コーラー誌は、ロウ氏が中国政府の国家安全部にいつどのように徴募されたかを報じた。
ロウ氏は、サンフランシスコの中国総領事館を通じて、長年にわたって同安全部に情報を流していたという。
ファインスタイン事務所もFBIもこの報道を否定せず、
一般のメディアも「ロウ氏こそが中国諜報部の協力者、あるいはスパイだ」と一斉に報じた。
主要新聞なども司法当局の確認をとりながら、ロウ氏のスパイ活動を詳しく報道した。
■ 米国に工作員を投入する中国当局
今回、米国において慰安婦問題で日本を糾弾する人物が、実は中国のスパイだったことが明らかになった。
つまり、中国当局が米国に工作員を投入して政治操作を続けている実態があるということだ。
長年、米国議会の意向を反映するような形で慰安婦問題を追及してきたロウ氏が
実は中国政府のスパイだったという事実は、この中国の役割を証明したといえる」と解説していた。 WoSignというのがあってだな。いや、あった、か。 別に無料証明書なんかどこが作ろうが関係ない
しょせんグーグル先生向けにhttpsつけるためだけなんだし
グーグルが発行してもいいくらい Googleは自社で証明書発行してる
そんな事すらわからないのにこのスレに居るの? >>210
落ち着けよ
「Googleは自社で証明書発行してる」ことの知識と
GoogleがLEみたいなサービスを提供してもいいだろうという主張は
何ら矛盾しない 脊髄反射するバカが多いスレだな
Googleがhttps要求しなかったら誰もやってないだろ しかし、これは神サービスだよな。
常時化の話がなかったとしても普通はこれ使う。 クライアントにEVの方を導入させやすくなったメリット HTTP/2とか実際どのぐらい効果あるんだろうな。
大規模サイトですごいアクセスを捌くなら、
nginxと組み合わせて効果ありそうだが…
ショボいサイトでやっても意識高い系になるだけな気がするw KeepAliveすら切ってるしな
普通のwebサイトじゃ鯖代のが重要だろ 逆に、小規模サイトだからソケット使い果たすこともないし、
Timeoutは1秒にして、
KeepAliveはOnにしてるわ。
でも最近は回線もクライアントも高性能すぎて
KeepAliveの恩恵も薄そうだなw スマホだと結構回線が遅いから重要
30個くらいのファイルを取得するページで設定変えてみると実際に体感できる
どのサービスか忘れたけど最近のhttpsにするのは当たり前という状況でhttpsに変えて鯖代が増えたがHTTP/2にして抑えられたという話は聞いたな スマホのためならkeep-aliveとdeflateでも良さそうだな。 brは結構すごい感じ
BOTさんにも早く対応してほしい
というか、httpでも対応してほしいが
http2は双方向必要なアプリでしか使い道ないと思う brotli
gzより2割程度サイズ減るよ
なぜかhttps専用 無料DDNSと組み合わせで使うと不人気ドメイン選ばないと更新できない可能性あるから悩むよな >>227
DDNSで発行してもらったことないからわからんが、
人気のある(知名度が高い)ドメインでやると
拒否される可能性があるってことじゃない?
根本的にDDNSは発行されないことになってて、
DDNSだとバレると更新されないとか。 DDNSで困るのは更新じゃなくて新規取得じゃないの? いや、だから、後からバレると更新できなくなるってことかなと。
知らんよ。エスパーしてみただけだし。 The main limit is Certificates per Registered Domain, (50 per week).
A registered domain is, generally speaking, the part of the domain you purchased from your domain name registrar. For instance, in the name www.example.com, the registered domain is example.com.
In new.blog.example.co.uk, the registered domain is example.co.uk.
We use the Public Suffix List to calculate the registered domain. と言うのは冗談で、そういう決まりがあったんだ。
無料だし、まあ仕方ないやね。 新規取得 (Certificates per Registered Domain) 週50
更新は取得に含まれない (Renewal Exemption)
ttps://letsencrypt.org/docs/rate-limits/ 自分のChromeのAccept-Encoding見たら、
gzip, deflate, brってなってた。
いつの間に追加されたんだろう。 >>236
sn追加で怒られたことないしそうだわな brはmod_rewriteで使ってるが
拡張子がmod_mimeと競合するからブラジル人を排除する必要がある apache 2.4に標準でbrが組み込まれるなら、
deflateはお役御免かもな。 ちっ、プラグイン…
Cert is due for renewal, auto-renewing...
Could not choose appropriate plugin: The requested uto plugin does not appear to be installed
Attempting to renew cert (www.example.jp) from /etc/letsencrypt/renewal/www.example.jp.conf produced an unexpected error: The requested uto plugin does not appear to be installed. Skipping.
All renewal attempts failed. The following certs could not be renewed:
??/etc/letsencrypt/live/www.example.jp/fullchain.pem (failure) おっすw
初心者が片手間でやってりゃこんなもんですよ。
そこから学んでいくのです。 雑魚報告だよ。
そのうち自分で対応するから、対応できたらまた方法を書くの。
誰かの役に立つかもしれない… 思ったが、ブログにでも描いてろクソと言われても仕方ないな。
SNSとか一切やってないんだよね。
ここが唯一です。 ブログでも良いしQiitaとか自分のギッハブの個人プロジェクトにイシュー作ってメモ書きでも良いから書いとくと自分の知見が溜まるぞ。 ポート80や443以外で更新できないもんかね
止めなきゃいけないのがイヤ いやいやstabdaloneで動かす必要ないだろって話 レジストラのDNSでNS設定できるとこ少ないけど
LE化でNSレコード設定できないと困るようになったよな >>254
certonly使えばいいのよ
sudo certbot certonly -n --agree-tos --webroot -w ドキュメントルート -m メアド -d ドメイン
NginxでもApacheでも、バーチャルホストとドキュメントルート一致させとけば
certbotが勝手にドキュメントルート/.well-known以下にファイル作ってDVしてくれる certonlyでやって、任意のパス/.well-known/acme-challenge 以降に書き込み権限与えてドキュメントルートの/.well-known/acme-challengeへの接続だけそっちに向けてれば楽。 certonly --manual 使えば配置するファイルの名前と中身が指定されるから、
それを任意の方法で指定場所にファイル置いてから継続実行するだけで作成することも可 証明書って更新する必要ある?
暗号化されてるから俺はそのままでいい フルネームで自分の名前を出すの嫌だし、
正規の認証局の名前がないってダサダサ
わっかんないかなあ? 自己署名したCAから証明書配ってるやつ居るらしいっすよ >>263
ブラウザで危険!ってでても気にしない人しか使わなければいいんじゃね OpenCAとかそんな感じの名前の団体が無料で証明書発行してた記憶がある
Let's encryptのはしりみたいな感じ
ブラウザにその団体のCA登録しないとオレオレになるけど IPsecでも何でも使えばいいだろうよ
そんな事やってられないからこのレイヤーで暗号化してるんだ ■ このスレッドは過去ログ倉庫に格納されています