無料SSL/TLS証明書 Let's Encrypt Part2
■ このスレッドは過去ログ倉庫に格納されています
無料の SSL/TLS 証明書Let's Encryptのスレです
【Let's Encrypt 公式サイト】(英語)
https://letsencrypt.org/
【Let's Encrypt 公式Twitter】(英語による最新情報)
https://twitter.com/letsencrypt
【Let's Encrypt 総合ポータル】(日本語)
https://letsencrypt.jp/
【Let's Encrypt 導入方法】(日本語)
https://letsencrypt.jp/usage/
前スレ
【全ブラウザ対応】 無料SSL/TLS Let's Encrypt
http://mevius.2ch.net/test/read.cgi/hosting/1448874075/ >>58
Let's Encrypt を入れたら無料で
SSL化出来るのか? >>59
何も面倒なことせず無料でコマンド一発で近代的なブラウザに対応した証明書が生成される神サービスだよ
価格抜きでも発行の手軽さという点で従来のDV証明書に勝ってると思う
オレオレ証明書よりも手軽だし >>61
本当か!
世の中進んでいるんだな。
インストールするわ。
サンキュウ サービス名やプロトコル名と実装してるコマンド名やプログラム名が別物というのはよくある Let's Encrypt で証明書を発行して
1. Web サーバー
2. メールサーバー
3. Pop サーバー
で使っているんですが、他にこれも出来るよってのありましたらご教示お願いします。 FTPはFTPSの設定として使えるから間違ってないけど
IPsecは上位レイヤー(トランスポート層ではなくネットワーク層)でSSLではない別の暗号化してくれる方式で
OpenVPNはそれ自体で毎回独自のTLSレイヤーを構成してるから証明書使わなくね? エンドポイント認証用に使える? SSL-VPN ってまともな実装やアプリあるの?
ブラウザVNCクライアントでPC側の証明書として使うのは充分ありかと思う softetherってファイアウォールかけてない443番ポートをHTTPSではない別の用途で悪用する
ファイアウォールを騙すためにopensslと通信を使うってだけで証明書使わなくね?
そして所謂SSL VPSでもなくね? 独自ドメインが何個でも無料で取得可能。
四文字ドメイン、レアドメイン多数。
SSL対応、サーバー、ワードプレスのインストールも無料。
詳しくはこちら https://ryoma.space/ まてよ、ドメインが無料で、SSL対応も無料で、サーバも無料、
そしてワードプレスのインストール(笑)も無料ってこと?
一体どこで儲けてるんだよ。 コンサルティングは有料だろw
全部他社のサービスだしググればいくらでも情報あるのにな ドメインは元々提供している国の宣伝が目的
SSLは寄付と企業からの支援で成り立ってる
ホームページは広告が出る 1サーバーで複数ドメインの運用をしているんだけど、
Let's Encrypt では一つの証明書に複数ドメインを登録出来るのでこりゃ、便利と
使っています。(設定がらくちん)
これのセキュリティリスクってどれくらいのもんなのでしょうか? 他のドメインがバレる
秘密鍵一つが流出したときに全ての通信内容が解読されてしまう >>78
これ、コンサルなのか…(震え声
覗いてみたけどこんなダサい「ホームページ」のコンサルに依頼するくらいなら、
どんなに初心者でもわからないなりに自分で調べてやった方がいいと思った。 IIS鯖がクラッシュしたので古いイメージ取り出して復活させようとしてじたばた
ディレクトリが違ったりして数回失敗したらこれでて終わってしまった。
Too many failed authorizations recently. status:429
どれくらい待てば再受付してくれるですかね?
コマンドは↓
letsencrypt.exe --accepttos --manualhost host.example.com --webroot C:\wwwroot 数の制限なんかな?
https://letsencrypt.org/docs/rate-limits/
ここ見ると週20個だな、最初に取得してから1週間でいけるかな >>83 10日くらい開けて再試行したら、今度はあっさりできましたわ ちなみに↓に引っかかったのだと思う。
「We also have a Duplicate Certificate limit of 5 certificates per week. 」 winクライアントはletsencrypt-win-simpleがベター?
他におすすめあれば教えて下さい もうWindowsでサーバ立ててないからワカラン。 NGINXでもApacheでもいいと思うけど、
OSにWindowsってのは考えないなぁ。 >>88
レンタル鯖が対応するまではそれ使って手動で作ってたよ 普通はIISは金かかるし、使わないのだろうけど、20年間こればっかりで変える気が起きず
Win鯖を使い続けている
このままでいかんと思って数年前にCentOSをインストールしてみたが挫折した >>93
CentOSつかいにくいからーな。(※Debianユーザの個人の感想です。)
ADSL全盛期に作ったWin2k上のanhttpd+Pmailserverをマシンごと仮想化して後生大事に使ってたけど、
いいかげんヤバいと思って何年か前にDebian上のNGINX+Postfix/Dovecotに移行したよ。 Nginxじゃあかんのか?xamppじゃあかんのか? NGINXだよ。
apt-getで簡単に一式入るからxmappを使う必要は無い。 >>88
ウェブサーバーのCaddyの内蔵クライアントが便利だった。ユーザーディレクトリ¥.caddyから探せば証明書が取り出せる。 サポートが年末年始休暇なんで教えて下さい。
共用レンタルサーバーロリポップで、
Let’s Encryptが使えます。
元々GMOグローバルサインの証明書もあり、
www.ドメイン.comで登録してます。
ドメイン.comはSSL証明書非対応。
この時、
Let’s Encryptでドメイン.comや
サブ.ドメイン.comを割り当てると、
重なり合って不具合が起きたりするのでしょうか? 起きない
あとこの際せっかく買ってる証明書も運用やめてLEに統一してもいいレベル Could not issue a Let's Encrypt SSL/TLS certificate for MY DOMAIN.
このエラーがでてるのですが、
どうしたら良いですか? 読めた英語がコピペした部分でエラーメッセージは内容理解できない下手にコピペすると身バレしないか何言われるか不安で出せないとかまさに>>103状態かと 雑ですいませんでした。
エラーは下記の通りです。
Plesk使ってて、そのUIからLet’s Encryptを導入しています。
エラー内のリンクを踏むと、
IPv6をDNSで割り当てるとか書いてあるのですが、
自分はIPv6は契約していません。
エラー: Could not issue a Let's Encrypt SSL/TLS certificate for MY-DOMAIN.
The authorization token is not available at https://MY-DOMAIN/.well-known/acme-challenge/zn8V9XqDxJK-LrSkCbe7NhTJ95TVmw6I_rMKm_1eORA.
The token file '/var/www/vhosts/MY-DOMAIN/MAINDIRECTORY//.well-known/acme-challenge/zn8V9XqDxJK-LrSkCbe7NhTJ95TVmw6I_rMKm_1eORA' is either unreadable or does not have the read permission.
To resolve the issue, correct the permissions on the token file to make it is possible to download it via the above URL.
See the related Knowledge Base article for details.
Details
Invalid response from https://acme-v01.api.letsencrypt.org/acme/authz/2fqrB0LR3vSBhSuG_9VYiPll7upyqb1xJaP9F6YMvCc.
Details:
Type: urn:acme:error:unauthorized
Status: 403
Detail: Invalid response from http://MY-DOMAIN/MAINDIRECTORY/.well-known/acme-challenge/zn8V9XqDxJK-LrSkCbe7NhTJ95TVmw6I_rMKm_1eORA: "<html>
<head><title>403 Forbidden</title></head>
<body bgcolor="white">
<center><h1>403 Forbidden</h1></center>
<hr><center>" >>108
IPv6は契約して無くてつかえません。 >>109
pleskの仕様を知らんから書いてるんだけど
契約してなかったら自動的にipv6無効にしてくれるの?
自分で調べる気なさそうだしもういいけど >>109
IPv4だけで認証できる
応答403で返してるんだからディレクトリ指定かサーバーの設定が間違ってる可能性が高い
.から始まる名前を一律で弾いてたり お騒がせしました、解決しました。
ウェブサイト内のSSLや証明書に関する設定やディレクティブ、
.well-knownフォルダの削除後、
証明書インストールで使えるようになりました。
突然この症状が出たのですが、
これを防ぐ方法ってあるんですか?
最初の頃はこのエラーがでても、SSL接続でウェブアクセスはできていました。 Let's Encryptの問題と言うより、PleskのLet's Encrypt拡張の問題だろうね
Pleskスレの方がいいんじゃない? ありがとうございます。
PLESK関係を探ってみます。 必死にURL部分を書き換えてたり試行錯誤した内容をの説明で不審な点があるけど
MAINDIRECTORY という部分で大きな勘違いしてただけだろうけどね。
Plesk とかのせいじゃないと思われ ワイルドカード対応証明書はいつ始まるんだ…
テスト版だけでも1月4日に始まるんじゃなかったっけ… >>117
ググって良さそうな画像を見つけたら
その画像のライセンスの扱い見て大丈夫そうな奴を自前のサイトに貼ってるわー ☆ 日本の、改憲を行いましょう。現在、衆議員と参議院の
両院で、改憲議員が3分の2を超えております。
『憲法改正国民投票法』、でググってみてください。国会の発議は
すでに可能です。平和は勝ち取るものです。お願い致します。☆☆
―――――――― ttps://community.letsencrypt.org/t/acmev2-and-wildcard-launch-delay/53654
ワイルドカード証明書発行開始が延期されたらしいね。
いつまで待てばよいのやら。。 使ってる基礎技術の仕様変更への対応のために想像以上に人が割かれていて品質チェックがまだ不充分という理由って書いてあるから間接的にはそう letencrypt.logを見るとこんなエラーになってしまい、新規取得ができないんだけどどうすればいいの?
certbotのバージョンは0.21.1(pip installで入れた最新)
2018-03-02 11:47:01,088:DEBUG:urllib3.connectionpool:https://acme-v01.api.letsen
crypt.org:443 "HEAD /acme/new-reg HTTP/1.1" 405 0
2018-03-02 11:47:01,088:DEBUG:acme.client:Received response:
HTTP 405
Server: nginx
Content-Type: application/problem+json
Content-Length: 91
Allow: POST
Replay-Nonce: 5gByegzjaxNoI_zmhLonjjca_p88KsDH-SH-2RepCqA
Expires: Fri, 02 Mar 2018 11:47:01 GMT
Cache-Control: max-age=0, no-cache, no-store
Pragma: no-cache
Date: Fri, 02 Mar 2018 11:47:01 GMT
Connection: keep-alive >>126
405 エラーはいてんだからサーバー側でキチンと設定してあげなよ ターミナル上では
An unexpected error occurred:
ReadTimeout: HTTPSConnectionPool(host='acme-v01.api.letsencrypt.org', port=443): Read timed out. (read timeout=45)
って出てるので、acme-v01.api.letsencrypt.orgにアクセスできないっぽいけど、
$ curl -I https://acme-v01.api.letsencrypt.org
HTTP/1.1 200 OK
Server: nginx
Content-Type: text/html
Content-Length: 2174
Last-Modified: Fri, 02 Feb 2018 23:46:37 GMT
ETag: "5a74f85d-87e"
X-Frame-Options: DENY
Strict-Transport-Security: max-age=604800
Accept-Ranges: bytes
Expires: Fri, 02 Mar 2018 12:22:05 GMT
Cache-Control: max-age=0, no-cache, no-store
Pragma: no-cache
Date: Fri, 02 Mar 2018 12:22:05 GMT
Connection: keep-alive
となるけどなあ・・・ ACMEv2とTXTレコードの設定でいけるのか。朗報 見つかるのは--manualで作成する方法ばかりだが、
それの自動更新の方法がどこも説明されてないな コピペされてるだけか? >>136
これじゃいかんのか?
sudo certbot -a dns-cloudflare -i nginx -d "*.example.com" -d example.com --server https://acme-v02.api.letsencrypt.org/directory お尋ねします、証明書を手に入れるときに入力したメールアドレスは、取得した証明書に身分を示す情報として書かれてしまいますか
そしたら捨てアドを作らないといけない...
教えてください 入力したメアドってのはアカウントのコンタクト用でしょ。捨てアド入れてどうすんの。 ああよかった
作った証明書にメアドが載ってるのかと思いました...ありがとうございます 気になるなら
openssl x509 -in cert.pem -text
して自分で確認。 アスカレンタルサーバー終了とサーバー移行のお願い
長きに渡りご愛顧いただきましたアスカレンタルサーバーですが、
誠に残念ながら 2018年10月31日を持ちましてサービスを終了する運びとなりました。
http://asuka.jp >>143
そうですか
アスカレンタルサーバ? なんて聞いたこともないのでどうでもいいです
すれ違いな書き込みやめてくださいね
だれ一人そんな書き込み求めていないんで >>145
確かに言い過ぎでしたね><
ごめんなさいm(__)m letsencrypt.exe だけど、以前は80ポートもその鯖に通さないとだめだったと記憶しているが、
今日やったら 443だけでokになってた。 前からだった?? 更新の時に80開けるのめんどくせーなって思ったからダメだったのでは?
俺が使ってたやつはwin-simpleとか付いてた気がする ワイルドカードいいな
バーチャルサーバ作るのが楽になった TCPセッション後のTLSセッションでClient HelloにはいってるSNIはどこから引っ張ってきてるんですか?
サーバー証明書インストールされる前のクライアントが、サーバー名なんて知る由もないと思うんですが >>150
SNI の基礎から勉強しなおしてくださいね
結論言いますと、SNI 対応のブラウザ(10年前のブラウザとかじゃないかぎり基本対応)だとですね
FQDN の subdomain.example.com みたいなのが平文で送信されるんですよ
で、それに合わせた証明書をサーバが送るわけです
え、プライバシーの侵害だって?
それはそうなんですが、IPv4のIPアドレスの枯渇があるんで1証明書=1IPアドレスだとhttpsが普及しないからそっちの方が問題、
どうせ今主流のDNSはFQDNが平文で送られるんだからホスト名を平文で送るのは今のところたいしてリスク増えないんだしやむを得ないのでは?
ということでまぁSNI導入賛成派の論理がとりあえず受け入れられてそういう規格・実装になったわけですよ
無論、ホスト名だけでもプライバシー上の問題がありますから、DNSの通信の暗号化も含めて今後は改善されていくとは思いますが時間がかかりますね 少なくとも最初のclient helloに入ってるSNIは、ブラウザに入れられたhttpsアドレスのFQDNと理解していいですか? 私が知りたかったのは、そのsubdomain.example.comを「クライアントがどうやって知り得たか」だったんですが、httpsサイトのFQDNとイコールならそれでよくて、もし違うならどっからその値持ってきてんのかっていう質問です。 イコールですよ。
https://tools.ietf.org/html/rfc6066#section-3
Currently, the only server names supported are DNS hostnames; >>154
> そのsubdomain.example.comを「クライアントがどうやって知り得たか」だったんですが、
知り得たも何も、例えばユーザーがブラウザのアドレスバーにURLを入れてアクセスした場合、
そのURLに含まれるFQDNがそのまま使われます
リンククリックならa要素のhref属性に含まれるFQDNね
サーバのIPアドレスはDNSで調べた結果が用いられ、そのIPアドレスへFQDNがそのまま送られる、以上 ■ このスレッドは過去ログ倉庫に格納されています
