無料SSL/TLS証明書 Let's Encrypt Part2
■ このスレッドは過去ログ倉庫に格納されています
無料の SSL/TLS 証明書Let's Encryptのスレです
【Let's Encrypt 公式サイト】(英語)
https://letsencrypt.org/
【Let's Encrypt 公式Twitter】(英語による最新情報)
https://twitter.com/letsencrypt
【Let's Encrypt 総合ポータル】(日本語)
https://letsencrypt.jp/
【Let's Encrypt 導入方法】(日本語)
https://letsencrypt.jp/usage/
前スレ
【全ブラウザ対応】 無料SSL/TLS Let's Encrypt
http://mevius.2ch.net/test/read.cgi/hosting/1448874075/ 文脈からしてwebサーバーの再起動としか読めないが CentOS で systemd だとこれ cron でまわしときゃいい
MTA 周りでも使ってるから一緒に restart しとる。
certbot renew --post-hook "systemctl restart nginx dovecot postfix" --quiet 一時的な無反応を発生させない warm restart であるべきだから reload 推奨 >>21
あまり気にかけてなかったけど指摘されたら気になったので念のため挙動確認してから reload に変えておいた。
thx デス! バッチで自動更新仕掛けててもなんだかんだの理由でしょっちゅうコケてて駄目だなこれ
安定する方法ないのか 5週間前から更新されたはずだから1週間に1回しかけておけば5週連続失敗なんてことでもなけれりゃ むしろログ見てなんで失敗したかによって原因を排除もできないのか?
Webサーバ公開なんてやめた方が良いぞ、それじゃ 殺伐としてもしょうがないんだけど、ちょっと省みた方がいいよね。
システムが悪いんじゃなくて使い方に問題がありますよって話で。 個人独自ドメインなので、多少の弊害があってもいいやってんで
certbot renew --quiet --post-hook "reboot"
という設定を cron で動かしています。
本当は Web サーバーやその他必要なプロセスを再読み込みするのが正しいやり方なんだろうと思いますが
これによって、致命的な弊害の可能性ありますでしょうか?
偉い人、教えて下さい。 そういう質問するレベルだと
たまにfsck走って上がってくるまで時間かかりダウンタイムが長くなる弊害もありそうだな 1リクエストたりとも取りこぼしが許されないウォームリスタートに数十万年の投資するような必要がなければ、
2か月ちょいに一度、時間指定できる1分程度の停止が発生してても気にスンナ
毎日リブートかけてるような運用してる業者もゴロゴロだ 勝手に録画が中断されたら困るからrebootはチューナーの使用状況を確認して実行しないとな。 スレチだと思うのですが、教えて下さい。エロい人
http でアクセスしてきたら https にリダイレクトしているんですが、
例えば、
http://www.exsample.com?id=xxx&pass=xxx
ってアクセスがが来た時、id や pass はちゃんと暗号化されていますか? >>34
されていますん。
気になるならパケットキャプチャして目で見て確認。 クライアント「http://www.example.com/id=xxx&pass=xxxにアクセスするぞ!」
クライアント→サーバー(http)「www.example.comのサーバーさん、/id=xxx&pass=xxxをGETしたいです」 ←ココでhttp平文通信で要求パスが送られる
サーバー→クライアント(http)「そのページはこっちにあんねん つhttps://www.example.com/id=xxx&pass=xxx」 ←ここも当然http
クライアント「https://www.example.com/id=xxx&pass=xxxにリダイレクトだ!」
クライアント→サーバー(https)「www.example.comのサーバーさん、/id=xxx&pass=xxxをGETしたいです」
サーバー→クライアント(https)「おっけー、HTMLおくるよー」
普通に考えてhttpsにリダイレクトされる前にhttp通信してるじゃん
そこで平文で流れてるじゃん 要求を送る前にログインページがあって、HSTSヘッダを受け取っていた場合は、
次の要求はHTTPにリクエストせずHTTPSになり暗号化される、とも考えられる。
つまりこれだけの情報でははっきりした回答は出来ない、設定次第でYesにもNoにもなりうる。 >>39
>>34の例だとすでにhttpでGETしているのだから、あなたが考えた「場合」に該当しないことは明らか
というかスレチ どういう条件でhttpsが使われるかって話だけに限ればあながちスレチでもない。
そもそもHSTSの期間内ならHTTPリクエストは送られないよ。 hstsに従うかどうかはブラウザによる
hstsが聞くときはアクセスしたことがあるとき
証明書のスレッドであってhttps?の話は違うんじゃないかな Let's Encryptのスレであって、プロトコルに関する浅い知識の品評会スレではないよ プリフライトリクエストとか最近は事前にチェックするプロトコルいっぱいやしな 常時HTTPSが当たり前になって、
通信は暗号さえされてれば良いと言う流れだよね?
サイトの身分証明みたいな大義名分はもう消える。
違法・詐欺サイトがHTTPS使うだけだし。
何が言いたいかというと、証明書ビジネスはオワコン 通信がmitmされたりサイトが偽物に差し替わってないことの証明にはなる
銀行とか重要なところはEV使うだろうし >45
EVマークとサイトシールを目立たせるようになるだけかと 需要が大幅に減るということだよ。
生き残れる企業は少ないように思う。 フォームが暗号化されてないと客に不安感を与えるから、ぐらいの理由でSSL導入してるだけのところが
Let's Encryptに流れて有料証明書使わなくなると言いたいんじゃね
まあ、DVのくせに高いところは潰れてくれていい
高い金取るならせめてOV以上にしろと
でも現実は、無料証明書では怪しまれますよ、とDVも売るんだろうなぁ 今レンタルサーバーでlet's encryptのSSL使っていてサーバー移転する予定です
移転先サーバーでlet's encryptの証明書をインストールしてたら、ダウンタイムなしで移れますか? DV だからドメイン変わらないなら問題無い。
ダウンタイム云々は移転するタイミングとスケジュール次第。
自分は移転完了したつもりで旧サーバーからコンテンツ削除したら
"ダウンしている" と見える人もいれば移転に気付かない人も要るだろうね。 移転先にDNSが向くまでLEの証明書は作れないのに
ダウンタイムなしとか無理すぎ 普通に作れるだろ
サーバ設定まで全自動しかないと思ってるのかな?
指定されるファイルひとつ指定の場所におけばそれで認証されて、pem 生成されるから
それを好きな場所にコピーしてウェブサーバに読ませるだけやで?
だからSNI対応レンタルサーバであれば、まだ設定前のサーバの管理画面から手動で証明書登録することもできる ありがとうございます
DNS変更前に証明書つくれるなダウンタイムなしでいけるんですね vps契約して使っているのだが、ssl化したいんだが
最も安いのはどこの証明書?
教えけろ >>58
Let's Encrypt を入れたら無料で
SSL化出来るのか? >>59
何も面倒なことせず無料でコマンド一発で近代的なブラウザに対応した証明書が生成される神サービスだよ
価格抜きでも発行の手軽さという点で従来のDV証明書に勝ってると思う
オレオレ証明書よりも手軽だし >>61
本当か!
世の中進んでいるんだな。
インストールするわ。
サンキュウ サービス名やプロトコル名と実装してるコマンド名やプログラム名が別物というのはよくある Let's Encrypt で証明書を発行して
1. Web サーバー
2. メールサーバー
3. Pop サーバー
で使っているんですが、他にこれも出来るよってのありましたらご教示お願いします。 FTPはFTPSの設定として使えるから間違ってないけど
IPsecは上位レイヤー(トランスポート層ではなくネットワーク層)でSSLではない別の暗号化してくれる方式で
OpenVPNはそれ自体で毎回独自のTLSレイヤーを構成してるから証明書使わなくね? エンドポイント認証用に使える? SSL-VPN ってまともな実装やアプリあるの?
ブラウザVNCクライアントでPC側の証明書として使うのは充分ありかと思う softetherってファイアウォールかけてない443番ポートをHTTPSではない別の用途で悪用する
ファイアウォールを騙すためにopensslと通信を使うってだけで証明書使わなくね?
そして所謂SSL VPSでもなくね? 独自ドメインが何個でも無料で取得可能。
四文字ドメイン、レアドメイン多数。
SSL対応、サーバー、ワードプレスのインストールも無料。
詳しくはこちら https://ryoma.space/ まてよ、ドメインが無料で、SSL対応も無料で、サーバも無料、
そしてワードプレスのインストール(笑)も無料ってこと?
一体どこで儲けてるんだよ。 コンサルティングは有料だろw
全部他社のサービスだしググればいくらでも情報あるのにな ドメインは元々提供している国の宣伝が目的
SSLは寄付と企業からの支援で成り立ってる
ホームページは広告が出る 1サーバーで複数ドメインの運用をしているんだけど、
Let's Encrypt では一つの証明書に複数ドメインを登録出来るのでこりゃ、便利と
使っています。(設定がらくちん)
これのセキュリティリスクってどれくらいのもんなのでしょうか? 他のドメインがバレる
秘密鍵一つが流出したときに全ての通信内容が解読されてしまう >>78
これ、コンサルなのか…(震え声
覗いてみたけどこんなダサい「ホームページ」のコンサルに依頼するくらいなら、
どんなに初心者でもわからないなりに自分で調べてやった方がいいと思った。 IIS鯖がクラッシュしたので古いイメージ取り出して復活させようとしてじたばた
ディレクトリが違ったりして数回失敗したらこれでて終わってしまった。
Too many failed authorizations recently. status:429
どれくらい待てば再受付してくれるですかね?
コマンドは↓
letsencrypt.exe --accepttos --manualhost host.example.com --webroot C:\wwwroot 数の制限なんかな?
https://letsencrypt.org/docs/rate-limits/
ここ見ると週20個だな、最初に取得してから1週間でいけるかな >>83 10日くらい開けて再試行したら、今度はあっさりできましたわ ちなみに↓に引っかかったのだと思う。
「We also have a Duplicate Certificate limit of 5 certificates per week. 」 winクライアントはletsencrypt-win-simpleがベター?
他におすすめあれば教えて下さい もうWindowsでサーバ立ててないからワカラン。 NGINXでもApacheでもいいと思うけど、
OSにWindowsってのは考えないなぁ。 >>88
レンタル鯖が対応するまではそれ使って手動で作ってたよ 普通はIISは金かかるし、使わないのだろうけど、20年間こればっかりで変える気が起きず
Win鯖を使い続けている
このままでいかんと思って数年前にCentOSをインストールしてみたが挫折した >>93
CentOSつかいにくいからーな。(※Debianユーザの個人の感想です。)
ADSL全盛期に作ったWin2k上のanhttpd+Pmailserverをマシンごと仮想化して後生大事に使ってたけど、
いいかげんヤバいと思って何年か前にDebian上のNGINX+Postfix/Dovecotに移行したよ。 Nginxじゃあかんのか?xamppじゃあかんのか? NGINXだよ。
apt-getで簡単に一式入るからxmappを使う必要は無い。 >>88
ウェブサーバーのCaddyの内蔵クライアントが便利だった。ユーザーディレクトリ¥.caddyから探せば証明書が取り出せる。 サポートが年末年始休暇なんで教えて下さい。
共用レンタルサーバーロリポップで、
Let’s Encryptが使えます。
元々GMOグローバルサインの証明書もあり、
www.ドメイン.comで登録してます。
ドメイン.comはSSL証明書非対応。
この時、
Let’s Encryptでドメイン.comや
サブ.ドメイン.comを割り当てると、
重なり合って不具合が起きたりするのでしょうか? 起きない
あとこの際せっかく買ってる証明書も運用やめてLEに統一してもいいレベル Could not issue a Let's Encrypt SSL/TLS certificate for MY DOMAIN.
このエラーがでてるのですが、
どうしたら良いですか? 読めた英語がコピペした部分でエラーメッセージは内容理解できない下手にコピペすると身バレしないか何言われるか不安で出せないとかまさに>>103状態かと 雑ですいませんでした。
エラーは下記の通りです。
Plesk使ってて、そのUIからLet’s Encryptを導入しています。
エラー内のリンクを踏むと、
IPv6をDNSで割り当てるとか書いてあるのですが、
自分はIPv6は契約していません。
エラー: Could not issue a Let's Encrypt SSL/TLS certificate for MY-DOMAIN.
The authorization token is not available at https://MY-DOMAIN/.well-known/acme-challenge/zn8V9XqDxJK-LrSkCbe7NhTJ95TVmw6I_rMKm_1eORA.
The token file '/var/www/vhosts/MY-DOMAIN/MAINDIRECTORY//.well-known/acme-challenge/zn8V9XqDxJK-LrSkCbe7NhTJ95TVmw6I_rMKm_1eORA' is either unreadable or does not have the read permission.
To resolve the issue, correct the permissions on the token file to make it is possible to download it via the above URL.
See the related Knowledge Base article for details.
Details
Invalid response from https://acme-v01.api.letsencrypt.org/acme/authz/2fqrB0LR3vSBhSuG_9VYiPll7upyqb1xJaP9F6YMvCc.
Details:
Type: urn:acme:error:unauthorized
Status: 403
Detail: Invalid response from http://MY-DOMAIN/MAINDIRECTORY/.well-known/acme-challenge/zn8V9XqDxJK-LrSkCbe7NhTJ95TVmw6I_rMKm_1eORA: "<html>
<head><title>403 Forbidden</title></head>
<body bgcolor="white">
<center><h1>403 Forbidden</h1></center>
<hr><center>" >>108
IPv6は契約して無くてつかえません。 >>109
pleskの仕様を知らんから書いてるんだけど
契約してなかったら自動的にipv6無効にしてくれるの?
自分で調べる気なさそうだしもういいけど >>109
IPv4だけで認証できる
応答403で返してるんだからディレクトリ指定かサーバーの設定が間違ってる可能性が高い
.から始まる名前を一律で弾いてたり お騒がせしました、解決しました。
ウェブサイト内のSSLや証明書に関する設定やディレクティブ、
.well-knownフォルダの削除後、
証明書インストールで使えるようになりました。
突然この症状が出たのですが、
これを防ぐ方法ってあるんですか?
最初の頃はこのエラーがでても、SSL接続でウェブアクセスはできていました。 Let's Encryptの問題と言うより、PleskのLet's Encrypt拡張の問題だろうね
Pleskスレの方がいいんじゃない? ありがとうございます。
PLESK関係を探ってみます。 必死にURL部分を書き換えてたり試行錯誤した内容をの説明で不審な点があるけど
MAINDIRECTORY という部分で大きな勘違いしてただけだろうけどね。
Plesk とかのせいじゃないと思われ ワイルドカード対応証明書はいつ始まるんだ…
テスト版だけでも1月4日に始まるんじゃなかったっけ… >>117
ググって良さそうな画像を見つけたら
その画像のライセンスの扱い見て大丈夫そうな奴を自前のサイトに貼ってるわー ■ このスレッドは過去ログ倉庫に格納されています