無料SSL/TLS証明書 Let's Encrypt Part3
無料の SSL/TLS 証明書Let's Encryptのスレです 【Let's Encrypt 公式サイト】(英語) https://letsencrypt.org/ 【Let's Encrypt 公式Twitter】(英語による最新情報) https://twitter.com/letsencrypt 【Let's Encrypt 総合ポータル】(日本語) https://free-ssl.jp/ 【Let's Encrypt 導入方法】(日本語) https://free-ssl.jp/usage/ 前スレ 無料SSL/TLS証明書 Let's Encrypt Part2 http://mevius.5ch.net/test/read.cgi/hosting/1508291164/ https://twitter.com/5chan_nel (5ch newer account) Waiting for verification... Challenge failed for domain hogehoge.com http-01 challenge for hogehoge.com Cleaning up challenges Attempting to renew cert (hogehoge.com) from /etc/letsencrypt/renewal/hogehoge.com.conf produced an unexpected error: Some challenges have failed.. Skipping. All renewal attempts failed. The following certs could not be renewed: /etc/letsencrypt/live/hogehoge.com/fullchain.pem (failure) - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - All renewal attempts failed. The following certs could not be renewed: /etc/letsencrypt/live/hogehoge.com/fullchain.pem (failure) - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - 1 renew failure(s), 0 parse failure(s) IMPORTANT NOTES: - The following errors were reported by the server: Domain: hogehoge.com >>278 取り敢えず * OS * ACMEクライアント(certbot?) * 認証方式 (http-01) に関する情報を提供するべし それと > 自宅サーバで引っ越ししたら この「引っ越し」って具体的に何をしたの? ハードの更新? ハードの物理的orネットワーク的な移動? http-01のacmeに失敗してるっぽいから DNSが新しい方に向いてないとか、NAT(ポート開放)がされてないとか renew用の情報が入ってる hogehoge.com.conf の設定では出来なかった というニュアンスなのでこのファイルの中を眺めて、何か気付くことがあるかないか acme に対応している国内レジストラ一覧みたいなのどこかに無いかな。 ググったんだけど見つからなかった。 acme に対応しているレジストラ って何? 海外ならあるの? そんな概念が存在してないから検索にヒットしないだけでは・・・ 認証局のことじゃないかと深読み。 もしそうならあるよ。SSL.com とか。企業向けならサイバートラストとか悪名高き GMO、グローバルサインも対応してる。 ごめんなさい、ワイルドカードを取る時の dns-01 や http-01 チャレンジ対応と書いたつもりだった。。。ぺこぺこ おそらく 「無料の」 って言葉は隠れてる (文脈で理解しろ 的な acmeツール次第だけどAPI出してるところは誰かがプラグイン作ってるだろ API無くてもログインフォームとTXTレコード変更のPOST2回でいける程度の内容だし API使わないと2段階認証解除するしかないのがなあ DNS Provider のリストなら lgeo や acme.sh のドキュメントに載ってる ttps://go-acme.github.io/lego/dns/ ttps://github.com/acmesh-official/acme.sh/wiki/dnsapi Let’s 証明書、 1 Web Server 2 Mail Server 3 pop/imap Server 4 stunnel に使っています。 他にこんなのに使えるってあればご教示下さい。 うちはウェブ(apache)とメール(postfix/dovecot)だけだなあ。 と言うか上の方でも同じ質問してなかったか?ECDSAには変えたのけ? これで作った証明書メールサーバーで使ってるとiOS系から弾かれるとかある? iPadのメーラーで「サーバの識別情報を検証できません」と出て受信できず、ぐぐったけど解決しない >>297 --preferred-chain 'ISRG Root X1' 関連かな? リバースプロキシ使った時に Apple 端末だけ全滅したことあるけど あれ何が原因だったんだか Chain of Trust(https://letsencrypt.org/certificates/ )のページを見ると、ECDSAな認証局証明書であるISRG Root X2とLet’s Encrypt E1はどちらも「Active, limited availability」ということらしいけど、後者で署名されたサーバ証明書って今現在入手できるんだろうか ecdsa にするか悩んでいます。特にデメリットがない様に思うのですが、ecdsa にして困った事があった方ご教示いただけませんか? >>303 webブラウザだけなら困らないけど メール関係で ecdsa より rsa のほうが困らない印象 postfix dovecot openvpn とか 無料SLL(ただし有料ドメインが必要です) と、ちゃんと記載するべきだと思います 景品表示法違反です FreeNOMで取得できる無料ドメイン DDNSサービスで取れるバリエーション豊かなサブドメイン でも完全無料SSLを活用させて貰ってるで >>301 https://forms.gle/ftKeqkj6AJgXUDPJ8 ここに申請すると翌週の木曜日頃に 「Let's Encrypt ECDSA Allowlist Confirmation」 ってメールが来てE1から証明書発行してもらえるようになるみたい https://i.imgur.com/UEFBWtf.png 工エエェェ( Д )⌒Y⌒Y⌒Y⌒Y⌒Y⌒...。....。コロコロ デフォルトでクロス署名が無い方で証明書が発行されるようになるのが2024/2/8から、 alternate chainでもクロス署名版が取れなくなるのが2024/6/6から、 クロス署名版の期限が切れるのが2024/9/30。 前回騒いでからの間にChromeも独自証明書ストアを持つようになったし、古いAndroidのシェアもこの3年でかなり減ったみたいだから大きな問題は無いのかな? ちなみに手元で試した限りではAndroid7はサポート切れる直前のChromeなら独自証明書ストア対応、 Android6は同じバージョンのChromeでも対応してなかった。 当時はサポート切れでも現役が多かった泥5がさすがにほぼ消えた (アップデートできなかったり使えなくなったアプリがかなり増えてきた) から、ブラウザで〇〇で見れなくなって困る 以前の状況になってる Android 7は 証明書が切れるまでにFirefox Browser入れとけっていうのを見た気がする それはAndroid 7に限らず6とかでも使える手だね。 >311にもあるけど、普通にChromeをアップデートしてれば、Android 7サポート切れ前のバージョンでも 独自証明書ストア対応版なのでIdenTrust DST Root CA X3の有効期限が切れた後でも問題ないはず。 まあ、サポート切れてるChromeを使い続けるのはセキュリティが心配だからFirefox使っとけってのが正しい気はするけど。 と言うか、さすがにそろそろAndroid 7は捨てた方が良い。 certbot renew --dry-runは成功するのにやってみたら失敗する dry-runの意味ないやんけw そりゃ、実際に水入れて放水しないと出ない不具合はいっぱいあるし certbotしたら These files will be updated when the certificate renews. Certbot has set up a scheduled task to automatically renew this certificate in the background. と勝手に出て来やがった 調べたらsystemdにcertbot-renew.timerが仕込まれてたわ デフォルトだとこんな感じだからね vi /usr/lib/systemd/system/certbot-renew.timer OnCalendar=*-*-* 00/12:00:00 RandomizedDelaySec=12hours いろいろ書き替えないと毎日2回実行してくれる 実行してなくてもインストールしただけでそれ入る rpm -ql certbot とか dpkg -L certbot とかすれば分かる そうそう。せっかくChatGPTとお話しして自動更新するスクリプトを作ったのに、毎回先取りされるわ。 何で毎日2回なんだ 証明書更新なら週1回が順当だろう 別の意図があって毎日2回なのか? OpenWrtにはcertbotパッケージがなかった apacheやnginxはあるのに >>317 ubuntuだとsnapにも仕込まれるらしいぞ 要注意 read.cgi ver 07.5.5 2024/06/08 Walang Kapalit ★ | Donguri System Team 5ちゃんねる