無料SSL/TLS証明書 Let's Encrypt Part3
無料の SSL/TLS 証明書Let's Encryptのスレです 【Let's Encrypt 公式サイト】(英語) https://letsencrypt.org/ 【Let's Encrypt 公式Twitter】(英語による最新情報) https://twitter.com/letsencrypt 【Let's Encrypt 総合ポータル】(日本語) https://free-ssl.jp/ 【Let's Encrypt 導入方法】(日本語) https://free-ssl.jp/usage/ 前スレ 無料SSL/TLS証明書 Let's Encrypt Part2 http://mevius.5ch.net/test/read.cgi/hosting/1508291164/ https://twitter.com/5chan_nel (5ch newer account) WindowsのIISに入れた証明書のGUIで確実な更新アプリ、誰か作ってくれんかのう あほなサポートメールばかり飛んできそうなので、できてもやりたくない おれ作るから、何をすればいいか書き出してくれませんかね? >>29 開発費1000万で納品後サポート対応1件に付き5万円で検討するわ GUIって… 自動更新できないじゃん。ログオンしっぱなし? >>33 バックグランドでサービス走らせとけばいいだけじゃん 作らないけどね >>35 サービス作りが難しいと思ってるのテラワロス C/C++が使えたら簡単なのに ×難しい ○知識つけてものになるレベルまで持っていくのが時間がかかり面倒くさい=働いてるとそんな余分の時間はない 通信が暗号化される点ではいいものの、なんの本人確認もないとなるとなんのための証明書なのかわからなくなってくる せめて証明書の二枚目からはメール認証をするとかなんかしないとあかんのではないんかな >>40 一か月目にちゃんと自動更新かかってたよ。 いい感じ。 >>44 配布してるWindowsのソフトウェアなんかで使ってる証明書と通信経路の暗号化の証明書は役割が違うでしょ 未だにこんなアホみたいなこと言ってるやついるん? この板のドメインはSSL取れてるけど、5chでも板によって取れてないドメインあるよな それなりに儲かってる企業のくせにさ ぶっちゃけただのブログとかSSL関係ないのに ブラウザに危険サイトみたく出るからよく分かってない人ほど騒いでるな そのお陰でどうでもいいサイトまでSSL化が必須みたくなってしまっている 平文で流す意味ないでしょ 誰でも盗聴できるのがお好き? >>51 https化すると暗号化だけでなく高速プロトコルHTTP/2使えたり検索サイト順位優遇されたりメリットしかないんだが? むしろ平文httpが最新技術に適応できない老害みたいな扱いなんだが? 51は「よく分かってない人ほど騒いでる」典型的な例だな 個人ブログだからって改竄されて問題ないわけじゃないしな 穴は少ない方がいい というか最近じゃ無料ブログでもSSL化されてるからな むしろSSL化してない方がレアケース コメント欄があるページでフォーカス当てるとブラウザに怖いメッセージ表示されるので あのタイミングでアラート出るのはズルいというか・・・ 一時期の非SSLサイト全部警告してたのはやり過ぎだったけど >>51 どうでもいいサイトが無料でSSL化してもデメリットはないんだから別に あ、1つデメリットがあった プロバイダのホームページスペースでサイト開設しているユーザーが困る 今だにSSL化してくれないとこ多過ぎ >>56 ドメイン取ってレンタルサーバー引っ越す時機を逃したプロバイダホームページスペースのサイトユーザーにとっては大問題かも 今更引っ越すとアクセス分散でPV減るだろうし 実際やってみると分かるが、ドメイン取っていても移転はリスクあるよ ドメインや管理会社によっても変わるが、サーバー移転すると しばらくドメインにアクセスできなくなる 俺の場合は3日くらいだったが、長いと2〜3週間かかる事もあるという説明だ 3日でも毎日なんらかのサービス提供してるサイトならアウトだろ むしろ、ドメインなんか取らず、旧サイトに移転しました告知出す方がまだマシな事もある ドメイン取ってるとこの単純な手法が使えないんだよな ネームサーバーを新アドレスに変えた瞬間にアクセス不能状態が始まるから どうしても空白期間が出来る これから移転するので数日アクセス出来ません的な告知なら可能だけど >>60 無能自慢は恥ずかしい 事前にTTL短くしたり、移転時に旧DNSでも新鯖のAレコードを持たせたり、そういうことをちゃんとやれば空白期間なんかできないよ 知ったか乙です 面倒くさいからこれ以上は教えてやらないけど >>60 これは恥ずかしいですなぁ DNSの仕組みと仕様を知れば、こんな書き込みすることないし 停止時間ゼロでのサーバ移転やドメイン変更なんて中級以上で必須のノウハウやろ 多分あんたはサーバーレンタルすらした事ないんだろうね レジストリでもTTL86400なのに3日アクセス不能とか相当なアホだな >>65 さりげなく初心者の>>60 をディスってて草 引越し先のサイトを準備して、TTLも短くしておく 引越し前のNSのAレコードを引越し先に変更 NSを引越し先に変更 浸透するのを待つ これで途切れなく行ける、、よね? >>69 1週間くらい様子見してから引越し前のサイト、NSを閉鎖して引越し完了 なんかバグがあったから3/4に証明書無効にするので強制更新してくれってメール来た 今日じゃねーか https://i.imgur.com/iiDfteK.png うちには来てた 2.6%ってコロナの死亡率と同じくらいだよねw まったく、当たりたくないくじばかりあたるな。 もう少し余裕はなかったのかよ SSLの設定中に証明書取得するのやめたらサイトの内容にエラーとか発生する? >>82 HTTP→HTTPSリダイレクトをかけたりしてなければ HTTPでのアクセスには支障を来さないと思われる ACMEの実行中に中断ならHTTP-01の場合ゴミが残るかも知れない >>83 普通にレンサバで設定完了してまだ反映されてない状態だったからそれ以上もそれ以下もないなぁ… >>84 なるほど、サンガツ 一応設定しなおしたわ そのレン鯖の実装によるからどうともいえない たとえば証明書取得済みでhttpd再読込待ち中に取り消し操作→「設定」操作やり直しなら、証明書を再取得する場合としない場合が考えられる 再取得する場合だと、繰り返せばリミットで発行拒否が起こり得る 普通HTTPS化は片道でしか行わないから 「設定」時にHTTPSへのリダイレクトが自動的に設定される仕様になっている場合は、取り消し時にリダイレクト削除が自動化されていない状況も想定できる WordPress使ってて「設定」時にWordPressのURLも変更するような仕様になっている場合も同様 質問者があまり詳しくない場合、このようにしらみつぶしで考えるか、あるいはエスパーするしかない 具体的に業者やプランなど示さないと本当に的確な回答は得られない 証明書が変わったら httpd を再起動していたけど dovecot も再起動しないとメールがエラーすんだな 考えてみりゃ当たり前だが >>87 ファイルが新しくなったらdovecot再起動するcronを作ろう 更新走ったときだけ実行する引数のことを言ってるのかと思った。あれcronだよな これでええがな cat << EOF | sudo tee /etc/letsencrypt/renewal-hooks/deploy/dovecot; chmod 755 /etc/letsencrypt/renewal-hooks/deploy/dovecot #!/bin/sh /sbin/systemctl restart dovecot EOF Android7.1以前で使えなくなるらしいけどお前らどうする? Amazon Kindle がほぼ全滅か 見れるのが昨年末発売の最新モデルだけになるな Firefoxで見れるように何かすることで対応するなら、同時に他のでも見れるのでは? Firefoxは証明書ストアをOSのものと別に独自に持っている 見れないぞってクレーム来たらfirefox使えで終了? 新しいCAを追加すればいいのだろうけど、手順が複雑すぎて来客者に頼むのは不可能? こういうのがあると金出して買うしかないかな 自宅にAndroid 6なタブレットがあるんだけど、それにISRG Root X1とISRG Root X2をインストールしてみた ただ、これをやると画面ロックの設定をPINやパスワードにしなければならないのが玉に瑕 一人暮らしの自宅でしか使わないタブレットなので、いちいちPINやパスワードを入力するのが面倒 >>92 自分のしがない閑古鳥WEBサイトは、PCからのアクセスが大部分で後はiPhone少々だから無問題 それより、GoogleクローラーがAndroid6らしいが、こっちは大丈夫なのか 通信の暗号化自体に大きな必要性がないサイトであれば、古いAndroid用にSSLなしでもアクセスできるようにしとけばいいんじゃないの? ChromeもiOS版以外で独自の証明書ストアを持つ予定 ttps://www.chromium.org/Home/chromium-security/root-ca-policy Firefoxに続いてChromeも対応なら大半が解決じゃね >>105 HTTPとHTTPS両方通るようにするってだけの話じゃない? 古いAndroidだけHTTPに誘導するってのは難しいだろうけど。 >>107 そう、その後者が難しい Encryptをレンタルサーバーから設定して使ってるレベルの人間からすると >>60 > 実際やってみると分かるが、ドメイン取っていても移転はリスクあるよ > ドメインや管理会社によっても変わるが、サーバー移転すると > しばらくドメインにアクセスできなくなる > 俺の場合は3日くらいだったが、長いと2〜3週間かかる事もあるという説明だ > 3日でも毎日なんらかのサービス提供してるサイトならアウトだろ > むしろ、ドメインなんか取らず、旧サイトに移転しました告知出す方がまだマシな事もある > ドメイン取ってるとこの単純な手法が使えないんだよな > ネームサーバーを新アドレスに変えた瞬間にアクセス不能状態が始まるから > どうしても空白期間が出来る > これから移転するので数日アクセス出来ません的な告知なら可能だけど >>108 というか、HTTPSでリクエスト送られてきてる時点でHTTPにリダイレクトさせるのは無理。 というか、レスポンスを受け取った時点で(端末からみて)無効なルート証明書で署名されたデータが送られてくるから何らかエラーは表示されるだろうね。 あとHTTPSからHTTPにダウングレードリダイレクトなんて飛んできたら、ブラウザ側もなんらか警告出してくる可能性ありそう。 ダウングレードはfirefoxは無反応になる コンソールではエラーが出てるけどね >>112 読んでみたけど、Androidは認証局の証明書の有効期限を無視するから、IdenTrust DST Root CA X3の 有効期限が過ぎた後もクロス証明を続けることによって問題を回避できる、って理解でいいのかな でもAndroidでは良くてもWindowsとかそれ以外のプラットフォームで問題が発生しそうな気が クロスルートは複数のルートのうちどれかが信頼されている認証局に辿り着ければいいので ECDSAなISRG Root X2やE1っていつから使い始めるんだろう 質問 Let's Encrypt採用WEBサイトは、今年夏以降?はAndroidOS Ver.7.1以下だとChromeでは表示されなくなるそうですが、 今巡回しているGoogleクローラー(AndroidOS)のVer.が「6」です 夏以降はGoogleクローラーが「モバイル版で表示できない」という理由で、該当WEBサイトはGoogleインデックスから削除されてしまうのでしょうか? Googleクローラーのバージョン: AGENT = [ Mozilla/5.0 (Linux; Android 6.0.1; Nexus 5X Build/MMB29P) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/90.0.4430.84 Mobile Safari/537.36 (compatible; Googlebot/2.1; +http://www.google.com/bot.html ) ] Google自身がlet's encryptを支持してきたんだからそんな事するわけないだろ Googleの無能さなめたらいかんぞ あいつら組織内全然噛み合ってないし 元々ssl必須にしたいくて、受け皿になってんだから、そんな事するわけない やったらバカ扱いされるもん そんな事するというか、無能で何もしないからそのままエラー扱いになっちゃうんじゃないの つーか、ChromeがFirefoxみたいに独自のルート証明書取る予定だと去年ニュース記事になってたが、その後どうなった? ほんと、Googleどうするんだろう 原則WEBサイトインデックス登録を軒並みモバイル版に移行するという計画は棚上げにするのかな Let's Encryptって、下手するとhttpsに変えたユーザーの半数が使っていそう、無料だし もしGoogleインデックスから外されたら、ユーザーの殆どがhttpに戻すかな 単にクローラーのUAがそうなってるだけでクローラー自体が表示できないわけじゃないんでは >>121 >>131 の言う通り、GoogleのクローラーのUAがそういう文字列になっているだけで、 クローラー自体がAndroidOSで動作しているわけではないので無関係。 あとAndroid7.1以下がLet's Encryptの証明書に対応できなくなるのは今年ではなく2024年7月頃。 >>132 ごめん間違えた。2024年7月ではなく2024年9月頃。 マジかよ… 無料だからSSLにしたのにこれからはサイト運営にも金かかるんだな >>135 後3年の猶予があるらしい それに有料となったら商用以外は皆httpに戻すだろう Let's Encrypt自体はずっと無料だけど…。 3年も経てばAndroid7.1以下のシェアなんて無視できるくらい少なくなってるから無問題。 むしろそれでも使ってるセキュリティ意識の低いユーザーは切り捨ててスマホ買い換えを促した方が本人のため。 ※ちなみに7.1以下が対応できなくなると言ってもSSLのセキュリティ警告が出るだけで閲覧するを選択すればサイトが見れないわけではない。 ちなみに。別の話題でGoogleがChromeにルート証明書を持たせるようにするかも、という話があって、 もしそうなったら古いスマホでもChromeアップデートすればLet's Encryptのルート証明書が 認識できるようになるはずだから3年後以降も大丈夫かもね。アップデートが提供されれば、だけど。 だよね 文字の読めないバカばかりでビビってた マトモな人がいてホッとした >>137 古いガラケー使ってる人も居るし Android4.0から[テキストコピー/編集]時のUIがガラケー型デバイスで扱うには改悪されちったから切り捨ては不便 ―― 古いガラケー使っている人 5代目 http://lavender.5ch.net/test/read.cgi/keitai/1610190259/ 終了予定、終了したガラケーサイト Part13 http://lavender.5ch.net/test/read.cgi/chakumelo/1608776649/ とりあえずGoogleクローラーの心配は要らないのね? >>139 ガラケー使いがいるのも分かるしUIが改悪されて使いにくいのも同意だけど2024年にもなってAndroid4系はLet's Encryptとか関係なくリスクしかないからさすがにやめた方がいい amazonのKindle Fireタブレットの2019年末まで売られてた世代は FireOSがAndroid 5 (Lollipop) ベースなんで割と引っ掛かりそう 2018年夏購入の機種のバージョンが気になって調べてみたら、ギリギリ7.11 7.1以下がアウトだから引っかかる機種は割と多いのでは 3年でどれくらい買い換えるかだな。大手キャリア2年縛り組とかは結構入れ替わるんじゃね。知らんけど。 あとは上の方で書かれてたChromeの証明書ストア対応が入ればAndroid5までは救われる。 それが来なかったらみんなFirefox使えばおk。 >>147 ChromeとFirefoxがいつまでAndroid5をサポートするかな さすがにChromeとFirefoxのサポートが切れたらそのバージョンは見捨てた方が良い マジレスするとFireタブレットはAmazonが開発してる専用ブラウザだからAmazonに見捨てられない限りアップデートは提供されるよ Chromiumベースだから本家Chromeがルート証明書持つようになったらAmazonも対応するっしょ と言うかFireタブレットにこだわりすぎだろww Fireタブレット専用コンテンツでも流してるのかよwww 裏技とかではないけどsynology nasの取ってきてるやつをコピーして別マシンで使ってたんだけど半年ほどコピーし直さないまま使って支障なかったんだよね それはLet'sEncryptではない別の認証局だと思う CSR作成とかいちいちしなくていいんだな>コアサーバー それはマイナーどころのレン鯖も含めて今や当たり前のサービスでは? >>173 あっ? 何ぬかしとんじゃコラッ チンカスが >>173 今どきアンカーつけてそれはまずいですね 某女子プロレスラーの事件の後厳しくなってますから 私も今から通報しておきますね Your system is not supported by certbot-auto anymore. って毎回出るんだけど何故かずっと使えてるな このままでいいのか? サイトをいくら常時SSLにしても 問い合わせフォームある時点でアウト ものすごく頭悪いのかものすごく賢いのかどっちだろう 問い合わせフォームで自動返信や、管理者にメールが届くパターンだと危険 かと行ってサーバーにデータためてイチイチ見に行くのも手間 問い合わせフォームとコメント外すとスッキリしていいぞ! >>186 どうゆう事何ですか? 自動返信メールとかも暗号化されるのですか? そのメールには暗号化しなければならない どういう秘匿情報が書かれてるんだ? >>188 管理者宛はS/MIMEで暗号化して、自動返信はしない設計にしましょう 自動返信あるパターン多いから ないとちゃんと問い合わせ出来たかどうか不安になる イマドキは個人情報は名前程度だけしか記載せず 認証関連はワンタイムにするだけでいいんじゃね? でもまあ今時まともな鯖ならSMTPSですよ 保証されないだけでね 自動返信は送るけど問い合わせ本文を記載しなければいいよね? その問い合わせへの返信メールがすべての経路で暗号化されているか メールは危険絶対使うな パスワード付きの添付ファイル送って 後のメールでパスワード送ったらいいんだよねw _, ._ (・ω・) ・・・。 ○={=}〇 |:::::::::\ ._____U___U__(@)_________________ 「詳しくお願いします」と言ったら教えてくれると思っているバカがいると聞いて飛んできました! 中途半端な知識やデマを披露すると総ツッコミ入るから大丈夫かと 例えば >>180 とか >>183 とか 社内でjitsiを立ち上げてオレオレ証明でローカルipアクセス(イントラネットでのみ使用)しています。androidアプリでjitsiを使用するためにはオレオレではだめなのでlet'sを考えています。ここで無料でhttps化するにはmydnsでドメインをとるでいいのでしょうか?他によい方法があるでしょうか?softetherで取得してるsoftether.netのドメインは使えない? LetsEncryptの認証が通せて 使うときのエンドポイントに使えるFQDNなら なんでも使えると思うよ 特殊な事例をやろうとすると、どちらかが引っかかるのがよくあるが >>209 mydnsで取ったドメインをローカルアドレスにできれば大丈夫でしょう Let'sを更新する時はグローバルアドレスへ切り替える。 レスありがとう。mydnsで行ってみようと思います。 今日になったら SSL_get_verify_result 10の日付エラーする なんでだろう Squidの設定ミスかと思った X509_V_ERR_CERT_HAS_EXPIRED出まくりで CENTOS7は UPdate が必要だ。使っている台数が半端ないから 証明書をLETS辞めるほうが早いな。安い所探そう Your system is not supported by certbot-auto anymore. って毎回メールが来るけど普通に自動更新できてるな。こういうもん? >>218 certbot-autoはサポート終了(no longer supported)で非推奨(deprecated)です ttps://community.letsencrypt.org/t/certbot-auto-no-longer-works-on-debian-based-systems/139702/7 暗号方式を rsa から ecdsa に変えてみようと思うのだが letsencrypt を nginx postfix dovecot stunnel などでつかっているのでとらぶるが起きないか結構不安 注意点などありましたらご教示ください。 >偉い人 nginxなら2種類指定して同時に使えるから何も困らんはず >>220 うちはletsencryptでrsaとecdsaの両方取得して、 apacheで両方指定、 postfixとdovecotはrsaのみ、 という運用をしてます。 stunnelは使っていないので分からないすまん。 letsencryptに切り替えたいのだが、80番のポートはファイアウォールで広範囲に 規制をかけてる。試験用のサーバーを立ち上げて色々テストしてみた結果、 認証サーバーのアクセスは443番には規制がかけられていても80番さえアクセス できれば、再認証は通ることが分かった。 80番を全開放してしまうのはちょっと不安なのですが、ファイアウォールで アクセス規制をかけてる人は他にどんな対処方法を取ってるのでしょうか? >>223 結局HTTP-01チャレンジが一番簡単だよ。ありもので全自動にできるし /.well-known/acme-challenge/* だけ通せばいい TLS-ALPN-01チャレンジは一斉失効が先月あったばかり 80と443のアクセスログを分離して、certbot renewの挙動を確認してみました。 結局の話、443へのアクセスを規制していてもcertbotは、ドットで始まるディレクトリ を作ってるから、80から443へのmodrewriteの自動転送ルールは効かず、 certbotは80だけを見てるってことなのか 参考になりました >>226 Apacheでmod_rewrite使ってるならRewriteCondで除外するでしょ普通 最初にcertbotするときメールID聞いてきますよね。 これって有効期限が60日以上が経過するとメールで連絡してくるんですか? >>228 Let's Encrypt certificate expiration notice for domain "example.com" みたいな件名でメール来るよ 期限切れ(90日)の確か20日前、10日前、1日前あたりだったはず そのメアドって後から追加したり変更したりってできる? 来たことなぁ、mod_sslの方がカウントダウンしてくれるし >>230 certbotだと変更は certbot update_account --email 新しいメアド で可能。追加は出来なさそう。 手動で更新するならHTTP-01でもDNS-01でも変わんない気がするんだが、 HTTP-01の利点ってcrontabで自動更新できるって点だけ? >>233 DNS-01チャレンジでも環境によってはAPIで自動更新を構成することはできるけど HTTP-01チャレンジ最大の利点はファイルを配置するだけで済むから対応環境が非常に広いところ >>236 だよね。手動でやるなら有効期間が1年でも面倒 Let's Encryptは90日だけど、60日での更新が推奨だし 自動更新にしてどや顔で安心しきってて、ところが自動更新でエラーがでて証明書が失効してサイトが通じなくなったって人いる? そういう場合はアラート来るように仕込むまでが自動だろ常考… 普通opensslコマンドで1行スクリプト毎日回すでしょ だから回すだけじゃ駄目なんだって 失敗を検知しないと連続で失敗するだけじゃん え、自前 DNS 鯖の DNS-01でも自動更新されてるけど、そういう話じゃない? cronの出力をメールで受け取ればエラーなんて3秒で確認できるじゃろ そんなこと言ったらカーネルパニックになったらどうすんだよ 使わなくなった証明書がexpireのカウントダウンが来るんだけど、 使わないというcertbotのコマンドとかあるの? >>254 certbot revoke --cert-path /PATH/TO/downloaded-cert.pem >>254 それくらいググろうぜ certbot revoke >>255-256 ぅぉぉぉ、できた! すまねぇググる前に質問してしまった・・・ありがとうやで >>257 いらない証明書を消す certbot delete もするんやで 新たにサーバ構築してて、公式サイトにcertbotはsnapからインストール推奨と 書かれてたからその通りにやったらsnapでかすぎてビビった。 一度設定まで済ませたけど、acme.shで再構築した。 IPv4のポート80/443を開放できない環境(v6プラス)のおうちサーバーでもIPv6の方でポート開放(パケットフィルタ登録)して証明書もらえばあとは好き勝手使えるじゃん! って思ってv4/v6両方登録できるsoftetherのDDNS使ってLet's Encryptの証明書取得したんだけど SSLってhttps://hogehoge.net:10000 みたいな標準じゃないポートでやろうとするとブラウザ側がエラー吐く感じですかねもしかして… >>262 ごめんブラウザの履歴やらキャッシュとリダイレクトが変な挙動してただけかも 普通にルーターで利用可能ポートを80/443に変換→URLにポート指定でアクセスできたわ http→httpsのリダイレクト入れるとダメっぽいけど >>261 そういうのはCloudflareをリバースプロキシにするとIPv6アドレスだけで運用できる ドメインは持ってる必要があるけどね 俺用メモ apacheのmod_mdでLet's Encryptの証明書を取得・自動更新する方法 じゅんび: ・おもむろにmod_mdでググって出てくる日本語で解説してるページで基本操作を覚える やったこと: サーバーコンフィグに以下を突っ込む コメントアウト行はapache 2.4.53現在デフォ値なので書かなくてもそのまま機能するやつ ## onでサーバー全体をmod_mdで管理、offでVirtualHost内のみ管理 ## ドキュメント曰く「offにして全部VirtualHostで管理する事を勧める」 #MDBaseServer off #MDCertificateProtocol ACME MDCAChallenges http-01 ## 廃止されたACMEv1のアドレスを紹介してるサイトがあるけのでv2のアドレスにする ## テスト環境用はhttps://acme-staging-v02.api.letsencrypt.org/directory #MDCertificateAuthority https://acme-v02.api.letsencrypt.org/directory ## 利用規約のURLを貼らないとダメな時期があったみたいだけど今はacceptedでよい MDCertificateAgreement accepted ## ServerAdminに有効なメールアドレスを入力してないならここで入力 MDContactEmail admin@example.com つづく >>265 つづき ## 一つは必須、複数ドメインが必要な場合は半角スペースを挟んでここで入力しても良いししなくてもよい ## ここに複数のドメインの記載をしない場合でも、VirtualHostのServerNameとServerAliasに記載したドメインが自動的に追加される(らくちん) MDomain example.com ## 「RSA ビット数」で1個指定する場合と「暗号名 暗号名」で複数指定するパターンのどちらか(デフォはRSA 2048) ## mod_mdのドキュメントとLet's EncryptのドキュメントとOpenSSLの全てでECDSAの曲線名が違ってて発狂し死に至る危険性があるけど ## secp256r1=P-256=prime256v1(RFC 8422 付録Aを参照)なのでmod_mdのドキュメント表記に従いsecp256r1記載で生成 ## RSAしか対応してないかつLet's Encryptのルート証明に対応してるデバイスがあるならrsa2048も追加 MDPrivateKeys secp256r1 ## MDDriveModeはMDRenewModeに置き換えられた(互換性のため残ってる) ## デフォで自動的に残り日数33%=Let's Encryptの推奨である60日毎(残り30日)で更新してくれる #MDRenewMode auto #MDRenewWindow 33% 終わり acme.shで更新するとどうしてもFirefoxで閲覧できなくなるの改善してほしいわ デフォルトのルート証明書が古いまま >>267 preferred-chain で回避できるのとは違う問題? >>267 DV証明書と中間証明書のどちらも期限が同じ日付になってて悩んだことがあったけど Apache 2.4.8以前 SSLCertificateChainFile 中間CA証明書ファイル Apache 2.4.8以降 SSLCertificateFile 中間CA証明書、およびクロスルート証明書(オプション)はサーバ証明書と一つの証明書ファイル のこととか? 現在、example.com www.example.com で証明書を作成して使っています。 ワイルドカードに変えようと思うのですが、 現在のを revoke かdelete してから取るのが正しい手順でしょうか? また、何か注意点がありましたらご教示ください。 教えて下さい、偉い人 レスしようと思ったが 全く自分は偉くないことに気がついた すまん 偉くないから答えられない身分ですが 新しいのを発行、運用開始してからrevokeしないとダウンタイムがあると思います >>270 です。 実は example.com example.org の複数ドメインを一つにした証明書を 使っておりまして、let's のディレクトリには example.com の名称で 登録されていました。 ここで、ワイルドカードを取りに行くと、多分現在の example.com に 上書きされちゃって面倒になると思っていましたがどうなのかな? ほんで、まずは example.org のワイルドカードを取ってみました。 で、取れたんですが何故か3ヶ月より短い。どうも現在 example.com 名義の 期限がそのまま受け継がれたようです。そういうものなんですかね? で、example.com をrevoke して、example.com のワイルドカードを 取ったら、ちゃんと今日から3ヶ月でした。 あらかじめ dry-run でテストして多分大丈夫だろうと目星がついたところで 一気にrevoke ワイルドカード取得、各種の reload をやり、ダウンタイムは5分以下だったと 思います。 そのうち、force renew してどちらの期限も同じにしようと思います。 ではでは 自宅サーバで引っ越ししたら証明書更新が出来なくなったんだけどなんで? Challenge failed for domain hogehoge.com みたいになりました。 Waiting for verification... Challenge failed for domain hogehoge.com http-01 challenge for hogehoge.com Cleaning up challenges Attempting to renew cert (hogehoge.com) from /etc/letsencrypt/renewal/hogehoge.com.conf produced an unexpected error: Some challenges have failed.. Skipping. All renewal attempts failed. The following certs could not be renewed: /etc/letsencrypt/live/hogehoge.com/fullchain.pem (failure) - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - All renewal attempts failed. The following certs could not be renewed: /etc/letsencrypt/live/hogehoge.com/fullchain.pem (failure) - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - 1 renew failure(s), 0 parse failure(s) IMPORTANT NOTES: - The following errors were reported by the server: Domain: hogehoge.com >>278 取り敢えず * OS * ACMEクライアント(certbot?) * 認証方式 (http-01) に関する情報を提供するべし それと > 自宅サーバで引っ越ししたら この「引っ越し」って具体的に何をしたの? ハードの更新? ハードの物理的orネットワーク的な移動? http-01のacmeに失敗してるっぽいから DNSが新しい方に向いてないとか、NAT(ポート開放)がされてないとか renew用の情報が入ってる hogehoge.com.conf の設定では出来なかった というニュアンスなのでこのファイルの中を眺めて、何か気付くことがあるかないか acme に対応している国内レジストラ一覧みたいなのどこかに無いかな。 ググったんだけど見つからなかった。 acme に対応しているレジストラ って何? 海外ならあるの? そんな概念が存在してないから検索にヒットしないだけでは・・・ 認証局のことじゃないかと深読み。 もしそうならあるよ。SSL.com とか。企業向けならサイバートラストとか悪名高き GMO、グローバルサインも対応してる。 ごめんなさい、ワイルドカードを取る時の dns-01 や http-01 チャレンジ対応と書いたつもりだった。。。ぺこぺこ おそらく 「無料の」 って言葉は隠れてる (文脈で理解しろ 的な acmeツール次第だけどAPI出してるところは誰かがプラグイン作ってるだろ API無くてもログインフォームとTXTレコード変更のPOST2回でいける程度の内容だし API使わないと2段階認証解除するしかないのがなあ DNS Provider のリストなら lgeo や acme.sh のドキュメントに載ってる ttps://go-acme.github.io/lego/dns/ ttps://github.com/acmesh-official/acme.sh/wiki/dnsapi Let’s 証明書、 1 Web Server 2 Mail Server 3 pop/imap Server 4 stunnel に使っています。 他にこんなのに使えるってあればご教示下さい。 うちはウェブ(apache)とメール(postfix/dovecot)だけだなあ。 と言うか上の方でも同じ質問してなかったか?ECDSAには変えたのけ? これで作った証明書メールサーバーで使ってるとiOS系から弾かれるとかある? iPadのメーラーで「サーバの識別情報を検証できません」と出て受信できず、ぐぐったけど解決しない >>297 --preferred-chain 'ISRG Root X1' 関連かな? リバースプロキシ使った時に Apple 端末だけ全滅したことあるけど あれ何が原因だったんだか Chain of Trust(https://letsencrypt.org/certificates/ )のページを見ると、ECDSAな認証局証明書であるISRG Root X2とLet’s Encrypt E1はどちらも「Active, limited availability」ということらしいけど、後者で署名されたサーバ証明書って今現在入手できるんだろうか ecdsa にするか悩んでいます。特にデメリットがない様に思うのですが、ecdsa にして困った事があった方ご教示いただけませんか? >>303 webブラウザだけなら困らないけど メール関係で ecdsa より rsa のほうが困らない印象 postfix dovecot openvpn とか 無料SLL(ただし有料ドメインが必要です) と、ちゃんと記載するべきだと思います 景品表示法違反です FreeNOMで取得できる無料ドメイン DDNSサービスで取れるバリエーション豊かなサブドメイン でも完全無料SSLを活用させて貰ってるで >>301 https://forms.gle/ftKeqkj6AJgXUDPJ8 ここに申請すると翌週の木曜日頃に 「Let's Encrypt ECDSA Allowlist Confirmation」 ってメールが来てE1から証明書発行してもらえるようになるみたい https://i.imgur.com/UEFBWtf.png 工エエェェ( Д )⌒Y⌒Y⌒Y⌒Y⌒Y⌒...。....。コロコロ デフォルトでクロス署名が無い方で証明書が発行されるようになるのが2024/2/8から、 alternate chainでもクロス署名版が取れなくなるのが2024/6/6から、 クロス署名版の期限が切れるのが2024/9/30。 前回騒いでからの間にChromeも独自証明書ストアを持つようになったし、古いAndroidのシェアもこの3年でかなり減ったみたいだから大きな問題は無いのかな? ちなみに手元で試した限りではAndroid7はサポート切れる直前のChromeなら独自証明書ストア対応、 Android6は同じバージョンのChromeでも対応してなかった。 当時はサポート切れでも現役が多かった泥5がさすがにほぼ消えた (アップデートできなかったり使えなくなったアプリがかなり増えてきた) から、ブラウザで〇〇で見れなくなって困る 以前の状況になってる Android 7は 証明書が切れるまでにFirefox Browser入れとけっていうのを見た気がする それはAndroid 7に限らず6とかでも使える手だね。 >311にもあるけど、普通にChromeをアップデートしてれば、Android 7サポート切れ前のバージョンでも 独自証明書ストア対応版なのでIdenTrust DST Root CA X3の有効期限が切れた後でも問題ないはず。 まあ、サポート切れてるChromeを使い続けるのはセキュリティが心配だからFirefox使っとけってのが正しい気はするけど。 と言うか、さすがにそろそろAndroid 7は捨てた方が良い。 certbot renew --dry-runは成功するのにやってみたら失敗する dry-runの意味ないやんけw そりゃ、実際に水入れて放水しないと出ない不具合はいっぱいあるし certbotしたら These files will be updated when the certificate renews. Certbot has set up a scheduled task to automatically renew this certificate in the background. と勝手に出て来やがった 調べたらsystemdにcertbot-renew.timerが仕込まれてたわ デフォルトだとこんな感じだからね vi /usr/lib/systemd/system/certbot-renew.timer OnCalendar=*-*-* 00/12:00:00 RandomizedDelaySec=12hours いろいろ書き替えないと毎日2回実行してくれる 実行してなくてもインストールしただけでそれ入る rpm -ql certbot とか dpkg -L certbot とかすれば分かる そうそう。せっかくChatGPTとお話しして自動更新するスクリプトを作ったのに、毎回先取りされるわ。 何で毎日2回なんだ 証明書更新なら週1回が順当だろう 別の意図があって毎日2回なのか? read.cgi ver 07.5.5 2024/06/08 Walang Kapalit ★ | Donguri System Team 5ちゃんねる