無料SSL/TLS証明書 Let's Encrypt Part3
>>82
HTTP→HTTPSリダイレクトをかけたりしてなければ
HTTPでのアクセスには支障を来さないと思われる
ACMEの実行中に中断ならHTTP-01の場合ゴミが残るかも知れない >>83
普通にレンサバで設定完了してまだ反映されてない状態だったからそれ以上もそれ以下もないなぁ…
>>84
なるほど、サンガツ
一応設定しなおしたわ そのレン鯖の実装によるからどうともいえない
たとえば証明書取得済みでhttpd再読込待ち中に取り消し操作→「設定」操作やり直しなら、証明書を再取得する場合としない場合が考えられる
再取得する場合だと、繰り返せばリミットで発行拒否が起こり得る
普通HTTPS化は片道でしか行わないから
「設定」時にHTTPSへのリダイレクトが自動的に設定される仕様になっている場合は、取り消し時にリダイレクト削除が自動化されていない状況も想定できる
WordPress使ってて「設定」時にWordPressのURLも変更するような仕様になっている場合も同様
質問者があまり詳しくない場合、このようにしらみつぶしで考えるか、あるいはエスパーするしかない
具体的に業者やプランなど示さないと本当に的確な回答は得られない 証明書が変わったら httpd を再起動していたけど
dovecot も再起動しないとメールがエラーすんだな
考えてみりゃ当たり前だが >>87
ファイルが新しくなったらdovecot再起動するcronを作ろう 更新走ったときだけ実行する引数のことを言ってるのかと思った。あれcronだよな これでええがな
cat << EOF | sudo tee /etc/letsencrypt/renewal-hooks/deploy/dovecot; chmod 755 /etc/letsencrypt/renewal-hooks/deploy/dovecot
#!/bin/sh
/sbin/systemctl restart dovecot
EOF Android7.1以前で使えなくなるらしいけどお前らどうする? Amazon Kindle がほぼ全滅か
見れるのが昨年末発売の最新モデルだけになるな Firefoxで見れるように何かすることで対応するなら、同時に他のでも見れるのでは? Firefoxは証明書ストアをOSのものと別に独自に持っている 見れないぞってクレーム来たらfirefox使えで終了? 新しいCAを追加すればいいのだろうけど、手順が複雑すぎて来客者に頼むのは不可能?
こういうのがあると金出して買うしかないかな 自宅にAndroid 6なタブレットがあるんだけど、それにISRG Root X1とISRG Root X2をインストールしてみた
ただ、これをやると画面ロックの設定をPINやパスワードにしなければならないのが玉に瑕
一人暮らしの自宅でしか使わないタブレットなので、いちいちPINやパスワードを入力するのが面倒 >>92
自分のしがない閑古鳥WEBサイトは、PCからのアクセスが大部分で後はiPhone少々だから無問題
それより、GoogleクローラーがAndroid6らしいが、こっちは大丈夫なのか 通信の暗号化自体に大きな必要性がないサイトであれば、古いAndroid用にSSLなしでもアクセスできるようにしとけばいいんじゃないの? ChromeもiOS版以外で独自の証明書ストアを持つ予定
ttps://www.chromium.org/Home/chromium-security/root-ca-policy
Firefoxに続いてChromeも対応なら大半が解決じゃね >>105
HTTPとHTTPS両方通るようにするってだけの話じゃない?
古いAndroidだけHTTPに誘導するってのは難しいだろうけど。 >>107
そう、その後者が難しい
Encryptをレンタルサーバーから設定して使ってるレベルの人間からすると >>60
> 実際やってみると分かるが、ドメイン取っていても移転はリスクあるよ
> ドメインや管理会社によっても変わるが、サーバー移転すると
> しばらくドメインにアクセスできなくなる
> 俺の場合は3日くらいだったが、長いと2〜3週間かかる事もあるという説明だ
> 3日でも毎日なんらかのサービス提供してるサイトならアウトだろ
> むしろ、ドメインなんか取らず、旧サイトに移転しました告知出す方がまだマシな事もある
> ドメイン取ってるとこの単純な手法が使えないんだよな
> ネームサーバーを新アドレスに変えた瞬間にアクセス不能状態が始まるから
> どうしても空白期間が出来る
> これから移転するので数日アクセス出来ません的な告知なら可能だけど >>108
というか、HTTPSでリクエスト送られてきてる時点でHTTPにリダイレクトさせるのは無理。
というか、レスポンスを受け取った時点で(端末からみて)無効なルート証明書で署名されたデータが送られてくるから何らかエラーは表示されるだろうね。
あとHTTPSからHTTPにダウングレードリダイレクトなんて飛んできたら、ブラウザ側もなんらか警告出してくる可能性ありそう。 ダウングレードはfirefoxは無反応になる
コンソールではエラーが出てるけどね >>112
読んでみたけど、Androidは認証局の証明書の有効期限を無視するから、IdenTrust DST Root CA X3の
有効期限が過ぎた後もクロス証明を続けることによって問題を回避できる、って理解でいいのかな
でもAndroidでは良くてもWindowsとかそれ以外のプラットフォームで問題が発生しそうな気が クロスルートは複数のルートのうちどれかが信頼されている認証局に辿り着ければいいので ECDSAなISRG Root X2やE1っていつから使い始めるんだろう 質問
Let's Encrypt採用WEBサイトは、今年夏以降?はAndroidOS Ver.7.1以下だとChromeでは表示されなくなるそうですが、
今巡回しているGoogleクローラー(AndroidOS)のVer.が「6」です
夏以降はGoogleクローラーが「モバイル版で表示できない」という理由で、該当WEBサイトはGoogleインデックスから削除されてしまうのでしょうか? Googleクローラーのバージョン:
AGENT = [ Mozilla/5.0 (Linux; Android 6.0.1; Nexus 5X Build/MMB29P) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/90.0.4430.84 Mobile Safari/537.36 (compatible; Googlebot/2.1; +http://www.google.com/bot.html) ] Google自身がlet's encryptを支持してきたんだからそんな事するわけないだろ Googleの無能さなめたらいかんぞ
あいつら組織内全然噛み合ってないし 元々ssl必須にしたいくて、受け皿になってんだから、そんな事するわけない
やったらバカ扱いされるもん そんな事するというか、無能で何もしないからそのままエラー扱いになっちゃうんじゃないの つーか、ChromeがFirefoxみたいに独自のルート証明書取る予定だと去年ニュース記事になってたが、その後どうなった? ほんと、Googleどうするんだろう
原則WEBサイトインデックス登録を軒並みモバイル版に移行するという計画は棚上げにするのかな
Let's Encryptって、下手するとhttpsに変えたユーザーの半数が使っていそう、無料だし もしGoogleインデックスから外されたら、ユーザーの殆どがhttpに戻すかな 単にクローラーのUAがそうなってるだけでクローラー自体が表示できないわけじゃないんでは >>121
>>131の言う通り、GoogleのクローラーのUAがそういう文字列になっているだけで、
クローラー自体がAndroidOSで動作しているわけではないので無関係。
あとAndroid7.1以下がLet's Encryptの証明書に対応できなくなるのは今年ではなく2024年7月頃。 >>132
ごめん間違えた。2024年7月ではなく2024年9月頃。 マジかよ…
無料だからSSLにしたのにこれからはサイト運営にも金かかるんだな >>135
後3年の猶予があるらしい
それに有料となったら商用以外は皆httpに戻すだろう Let's Encrypt自体はずっと無料だけど…。
3年も経てばAndroid7.1以下のシェアなんて無視できるくらい少なくなってるから無問題。
むしろそれでも使ってるセキュリティ意識の低いユーザーは切り捨ててスマホ買い換えを促した方が本人のため。
※ちなみに7.1以下が対応できなくなると言ってもSSLのセキュリティ警告が出るだけで閲覧するを選択すればサイトが見れないわけではない。
ちなみに。別の話題でGoogleがChromeにルート証明書を持たせるようにするかも、という話があって、
もしそうなったら古いスマホでもChromeアップデートすればLet's Encryptのルート証明書が
認識できるようになるはずだから3年後以降も大丈夫かもね。アップデートが提供されれば、だけど。 だよね
文字の読めないバカばかりでビビってた
マトモな人がいてホッとした >>137
古いガラケー使ってる人も居るし
Android4.0から[テキストコピー/編集]時のUIがガラケー型デバイスで扱うには改悪されちったから切り捨ては不便
――
古いガラケー使っている人 5代目
http://lavender.5ch.net/test/read.cgi/keitai/1610190259/
終了予定、終了したガラケーサイト Part13
http://lavender.5ch.net/test/read.cgi/chakumelo/1608776649/
とりあえずGoogleクローラーの心配は要らないのね? >>139
ガラケー使いがいるのも分かるしUIが改悪されて使いにくいのも同意だけど2024年にもなってAndroid4系はLet's Encryptとか関係なくリスクしかないからさすがにやめた方がいい amazonのKindle Fireタブレットの2019年末まで売られてた世代は
FireOSがAndroid 5 (Lollipop) ベースなんで割と引っ掛かりそう 2018年夏購入の機種のバージョンが気になって調べてみたら、ギリギリ7.11
7.1以下がアウトだから引っかかる機種は割と多いのでは 3年でどれくらい買い換えるかだな。大手キャリア2年縛り組とかは結構入れ替わるんじゃね。知らんけど。
あとは上の方で書かれてたChromeの証明書ストア対応が入ればAndroid5までは救われる。
それが来なかったらみんなFirefox使えばおk。 >>147
ChromeとFirefoxがいつまでAndroid5をサポートするかな さすがにChromeとFirefoxのサポートが切れたらそのバージョンは見捨てた方が良い マジレスするとFireタブレットはAmazonが開発してる専用ブラウザだからAmazonに見捨てられない限りアップデートは提供されるよ
Chromiumベースだから本家Chromeがルート証明書持つようになったらAmazonも対応するっしょ
と言うかFireタブレットにこだわりすぎだろww
Fireタブレット専用コンテンツでも流してるのかよwww 裏技とかではないけどsynology nasの取ってきてるやつをコピーして別マシンで使ってたんだけど半年ほどコピーし直さないまま使って支障なかったんだよね それはLet'sEncryptではない別の認証局だと思う CSR作成とかいちいちしなくていいんだな>コアサーバー それはマイナーどころのレン鯖も含めて今や当たり前のサービスでは? >>173
あっ?
何ぬかしとんじゃコラッ
チンカスが >>173
今どきアンカーつけてそれはまずいですね
某女子プロレスラーの事件の後厳しくなってますから
私も今から通報しておきますね Your system is not supported by certbot-auto anymore. って毎回出るんだけど何故かずっと使えてるな
このままでいいのか? サイトをいくら常時SSLにしても
問い合わせフォームある時点でアウト ものすごく頭悪いのかものすごく賢いのかどっちだろう 問い合わせフォームで自動返信や、管理者にメールが届くパターンだと危険
かと行ってサーバーにデータためてイチイチ見に行くのも手間 問い合わせフォームとコメント外すとスッキリしていいぞ! >>186
どうゆう事何ですか?
自動返信メールとかも暗号化されるのですか? そのメールには暗号化しなければならない
どういう秘匿情報が書かれてるんだ? >>188
管理者宛はS/MIMEで暗号化して、自動返信はしない設計にしましょう 自動返信あるパターン多いから
ないとちゃんと問い合わせ出来たかどうか不安になる イマドキは個人情報は名前程度だけしか記載せず
認証関連はワンタイムにするだけでいいんじゃね? でもまあ今時まともな鯖ならSMTPSですよ
保証されないだけでね 自動返信は送るけど問い合わせ本文を記載しなければいいよね? その問い合わせへの返信メールがすべての経路で暗号化されているか
メールは危険絶対使うな パスワード付きの添付ファイル送って
後のメールでパスワード送ったらいいんだよねw _, ._
(・ω・) ・・・。
○={=}〇
|:::::::::\
._____U___U__(@)_________________ 「詳しくお願いします」と言ったら教えてくれると思っているバカがいると聞いて飛んできました! 中途半端な知識やデマを披露すると総ツッコミ入るから大丈夫かと
例えば >>180 とか >>183 とか 社内でjitsiを立ち上げてオレオレ証明でローカルipアクセス(イントラネットでのみ使用)しています。androidアプリでjitsiを使用するためにはオレオレではだめなのでlet'sを考えています。ここで無料でhttps化するにはmydnsでドメインをとるでいいのでしょうか?他によい方法があるでしょうか?softetherで取得してるsoftether.netのドメインは使えない? LetsEncryptの認証が通せて
使うときのエンドポイントに使えるFQDNなら
なんでも使えると思うよ
特殊な事例をやろうとすると、どちらかが引っかかるのがよくあるが >>209
mydnsで取ったドメインをローカルアドレスにできれば大丈夫でしょう
Let'sを更新する時はグローバルアドレスへ切り替える。 レスありがとう。mydnsで行ってみようと思います。 今日になったら SSL_get_verify_result 10の日付エラーする なんでだろう Squidの設定ミスかと思った
X509_V_ERR_CERT_HAS_EXPIRED出まくりで CENTOS7は UPdate が必要だ。使っている台数が半端ないから
証明書をLETS辞めるほうが早いな。安い所探そう Your system is not supported by certbot-auto anymore.
って毎回メールが来るけど普通に自動更新できてるな。こういうもん? >>218
certbot-autoはサポート終了(no longer supported)で非推奨(deprecated)です
ttps://community.letsencrypt.org/t/certbot-auto-no-longer-works-on-debian-based-systems/139702/7 暗号方式を rsa から ecdsa に変えてみようと思うのだが
letsencrypt を
nginx
postfix
dovecot
stunnel
などでつかっているのでとらぶるが起きないか結構不安
注意点などありましたらご教示ください。
>偉い人 nginxなら2種類指定して同時に使えるから何も困らんはず >>220
うちはletsencryptでrsaとecdsaの両方取得して、
apacheで両方指定、
postfixとdovecotはrsaのみ、
という運用をしてます。
stunnelは使っていないので分からないすまん。 letsencryptに切り替えたいのだが、80番のポートはファイアウォールで広範囲に
規制をかけてる。試験用のサーバーを立ち上げて色々テストしてみた結果、
認証サーバーのアクセスは443番には規制がかけられていても80番さえアクセス
できれば、再認証は通ることが分かった。
80番を全開放してしまうのはちょっと不安なのですが、ファイアウォールで
アクセス規制をかけてる人は他にどんな対処方法を取ってるのでしょうか? >>223
結局HTTP-01チャレンジが一番簡単だよ。ありもので全自動にできるし
/.well-known/acme-challenge/* だけ通せばいい
TLS-ALPN-01チャレンジは一斉失効が先月あったばかり 80と443のアクセスログを分離して、certbot renewの挙動を確認してみました。
結局の話、443へのアクセスを規制していてもcertbotは、ドットで始まるディレクトリ
を作ってるから、80から443へのmodrewriteの自動転送ルールは効かず、
certbotは80だけを見てるってことなのか
参考になりました >>226
Apacheでmod_rewrite使ってるならRewriteCondで除外するでしょ普通 最初にcertbotするときメールID聞いてきますよね。
これって有効期限が60日以上が経過するとメールで連絡してくるんですか? >>228
Let's Encrypt certificate expiration notice for domain "example.com"
みたいな件名でメール来るよ
期限切れ(90日)の確か20日前、10日前、1日前あたりだったはず そのメアドって後から追加したり変更したりってできる? 来たことなぁ、mod_sslの方がカウントダウンしてくれるし >>230
certbotだと変更は
certbot update_account --email 新しいメアド
で可能。追加は出来なさそう。 手動で更新するならHTTP-01でもDNS-01でも変わんない気がするんだが、
HTTP-01の利点ってcrontabで自動更新できるって点だけ? >>233
DNS-01チャレンジでも環境によってはAPIで自動更新を構成することはできるけど
HTTP-01チャレンジ最大の利点はファイルを配置するだけで済むから対応環境が非常に広いところ
>>236
だよね。手動でやるなら有効期間が1年でも面倒
Let's Encryptは90日だけど、60日での更新が推奨だし 自動更新にしてどや顔で安心しきってて、ところが自動更新でエラーがでて証明書が失効してサイトが通じなくなったって人いる? そういう場合はアラート来るように仕込むまでが自動だろ常考… 普通opensslコマンドで1行スクリプト毎日回すでしょ だから回すだけじゃ駄目なんだって 失敗を検知しないと連続で失敗するだけじゃん え、自前 DNS 鯖の DNS-01でも自動更新されてるけど、そういう話じゃない? cronの出力をメールで受け取ればエラーなんて3秒で確認できるじゃろ そんなこと言ったらカーネルパニックになったらどうすんだよ 使わなくなった証明書がexpireのカウントダウンが来るんだけど、
使わないというcertbotのコマンドとかあるの? >>254
certbot revoke --cert-path /PATH/TO/downloaded-cert.pem >>254
それくらいググろうぜ
certbot revoke >>255-256
ぅぉぉぉ、できた!
すまねぇググる前に質問してしまった・・・ありがとうやで >>257
いらない証明書を消す
certbot delete もするんやで 新たにサーバ構築してて、公式サイトにcertbotはsnapからインストール推奨と
書かれてたからその通りにやったらsnapでかすぎてビビった。
一度設定まで済ませたけど、acme.shで再構築した。 IPv4のポート80/443を開放できない環境(v6プラス)のおうちサーバーでもIPv6の方でポート開放(パケットフィルタ登録)して証明書もらえばあとは好き勝手使えるじゃん!
って思ってv4/v6両方登録できるsoftetherのDDNS使ってLet's Encryptの証明書取得したんだけど
SSLってhttps://hogehoge.net:10000みたいな標準じゃないポートでやろうとするとブラウザ側がエラー吐く感じですかねもしかして… >>262
ごめんブラウザの履歴やらキャッシュとリダイレクトが変な挙動してただけかも
普通にルーターで利用可能ポートを80/443に変換→URLにポート指定でアクセスできたわ
http→httpsのリダイレクト入れるとダメっぽいけど >>261
そういうのはCloudflareをリバースプロキシにするとIPv6アドレスだけで運用できる
ドメインは持ってる必要があるけどね 俺用メモ
apacheのmod_mdでLet's Encryptの証明書を取得・自動更新する方法
じゅんび:
・おもむろにmod_mdでググって出てくる日本語で解説してるページで基本操作を覚える
やったこと:
サーバーコンフィグに以下を突っ込む
コメントアウト行はapache 2.4.53現在デフォ値なので書かなくてもそのまま機能するやつ
## onでサーバー全体をmod_mdで管理、offでVirtualHost内のみ管理
## ドキュメント曰く「offにして全部VirtualHostで管理する事を勧める」
#MDBaseServer off
#MDCertificateProtocol ACME
MDCAChallenges http-01
## 廃止されたACMEv1のアドレスを紹介してるサイトがあるけのでv2のアドレスにする
## テスト環境用はhttps://acme-staging-v02.api.letsencrypt.org/directory
#MDCertificateAuthority https://acme-v02.api.letsencrypt.org/directory
## 利用規約のURLを貼らないとダメな時期があったみたいだけど今はacceptedでよい
MDCertificateAgreement accepted
## ServerAdminに有効なメールアドレスを入力してないならここで入力
MDContactEmail admin@example.com
つづく >>265
つづき
## 一つは必須、複数ドメインが必要な場合は半角スペースを挟んでここで入力しても良いししなくてもよい
## ここに複数のドメインの記載をしない場合でも、VirtualHostのServerNameとServerAliasに記載したドメインが自動的に追加される(らくちん)
MDomain example.com
## 「RSA ビット数」で1個指定する場合と「暗号名 暗号名」で複数指定するパターンのどちらか(デフォはRSA 2048)
## mod_mdのドキュメントとLet's EncryptのドキュメントとOpenSSLの全てでECDSAの曲線名が違ってて発狂し死に至る危険性があるけど
## secp256r1=P-256=prime256v1(RFC 8422 付録Aを参照)なのでmod_mdのドキュメント表記に従いsecp256r1記載で生成
## RSAしか対応してないかつLet's Encryptのルート証明に対応してるデバイスがあるならrsa2048も追加
MDPrivateKeys secp256r1
## MDDriveModeはMDRenewModeに置き換えられた(互換性のため残ってる)
## デフォで自動的に残り日数33%=Let's Encryptの推奨である60日毎(残り30日)で更新してくれる
#MDRenewMode auto
#MDRenewWindow 33%
終わり acme.shで更新するとどうしてもFirefoxで閲覧できなくなるの改善してほしいわ
デフォルトのルート証明書が古いまま >>267
preferred-chain で回避できるのとは違う問題? >>267
DV証明書と中間証明書のどちらも期限が同じ日付になってて悩んだことがあったけど
Apache 2.4.8以前
SSLCertificateChainFile 中間CA証明書ファイル
Apache 2.4.8以降
SSLCertificateFile 中間CA証明書、およびクロスルート証明書(オプション)はサーバ証明書と一つの証明書ファイル
のこととか? 現在、example.com www.example.com で証明書を作成して使っています。
ワイルドカードに変えようと思うのですが、
現在のを revoke かdelete してから取るのが正しい手順でしょうか?
また、何か注意点がありましたらご教示ください。
教えて下さい、偉い人 レスしようと思ったが
全く自分は偉くないことに気がついた
すまん 偉くないから答えられない身分ですが
新しいのを発行、運用開始してからrevokeしないとダウンタイムがあると思います >>270 です。
実は example.com example.org の複数ドメインを一つにした証明書を
使っておりまして、let's のディレクトリには example.com の名称で
登録されていました。
ここで、ワイルドカードを取りに行くと、多分現在の example.com に
上書きされちゃって面倒になると思っていましたがどうなのかな?
ほんで、まずは example.org のワイルドカードを取ってみました。
で、取れたんですが何故か3ヶ月より短い。どうも現在 example.com 名義の
期限がそのまま受け継がれたようです。そういうものなんですかね?
で、example.com をrevoke して、example.com のワイルドカードを
取ったら、ちゃんと今日から3ヶ月でした。
あらかじめ dry-run でテストして多分大丈夫だろうと目星がついたところで
一気にrevoke ワイルドカード取得、各種の reload をやり、ダウンタイムは5分以下だったと
思います。
そのうち、force renew してどちらの期限も同じにしようと思います。
ではでは 自宅サーバで引っ越ししたら証明書更新が出来なくなったんだけどなんで? Challenge failed for domain hogehoge.com
みたいになりました。 Waiting for verification...
Challenge failed for domain hogehoge.com
http-01 challenge for hogehoge.com
Cleaning up challenges
Attempting to renew cert (hogehoge.com) from /etc/letsencrypt/renewal/hogehoge.com.conf produced an unexpected error: Some challenges have failed.. Skipping.
All renewal attempts failed. The following certs could not be renewed:
/etc/letsencrypt/live/hogehoge.com/fullchain.pem (failure)
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
All renewal attempts failed. The following certs could not be renewed:
/etc/letsencrypt/live/hogehoge.com/fullchain.pem (failure)
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
1 renew failure(s), 0 parse failure(s)
IMPORTANT NOTES:
- The following errors were reported by the server:
Domain: hogehoge.com >>278
取り敢えず
* OS
* ACMEクライアント(certbot?)
* 認証方式 (http-01)
に関する情報を提供するべし
それと
> 自宅サーバで引っ越ししたら
この「引っ越し」って具体的に何をしたの?
ハードの更新?
ハードの物理的orネットワーク的な移動? http-01のacmeに失敗してるっぽいから
DNSが新しい方に向いてないとか、NAT(ポート開放)がされてないとか
renew用の情報が入ってる hogehoge.com.conf の設定では出来なかった
というニュアンスなのでこのファイルの中を眺めて、何か気付くことがあるかないか acme に対応している国内レジストラ一覧みたいなのどこかに無いかな。
ググったんだけど見つからなかった。 acme に対応しているレジストラ
って何? 海外ならあるの?
そんな概念が存在してないから検索にヒットしないだけでは・・・ 認証局のことじゃないかと深読み。
もしそうならあるよ。SSL.com とか。企業向けならサイバートラストとか悪名高き GMO、グローバルサインも対応してる。 ごめんなさい、ワイルドカードを取る時の dns-01 や http-01 チャレンジ対応と書いたつもりだった。。。ぺこぺこ おそらく 「無料の」 って言葉は隠れてる (文脈で理解しろ 的な acmeツール次第だけどAPI出してるところは誰かがプラグイン作ってるだろ
API無くてもログインフォームとTXTレコード変更のPOST2回でいける程度の内容だし API使わないと2段階認証解除するしかないのがなあ DNS Provider のリストなら lgeo や acme.sh のドキュメントに載ってる
ttps://go-acme.github.io/lego/dns/
ttps://github.com/acmesh-official/acme.sh/wiki/dnsapi Let’s 証明書、
1 Web Server
2 Mail Server
3 pop/imap Server
4 stunnel
に使っています。
他にこんなのに使えるってあればご教示下さい。 うちはウェブ(apache)とメール(postfix/dovecot)だけだなあ。
と言うか上の方でも同じ質問してなかったか?ECDSAには変えたのけ? これで作った証明書メールサーバーで使ってるとiOS系から弾かれるとかある?
iPadのメーラーで「サーバの識別情報を検証できません」と出て受信できず、ぐぐったけど解決しない >>297
--preferred-chain 'ISRG Root X1'
関連かな? リバースプロキシ使った時に
Apple 端末だけ全滅したことあるけど
あれ何が原因だったんだか Chain of Trust(https://letsencrypt.org/certificates/)のページを見ると、ECDSAな認証局証明書であるISRG Root X2とLet’s Encrypt E1はどちらも「Active, limited availability」ということらしいけど、後者で署名されたサーバ証明書って今現在入手できるんだろうか ecdsa にするか悩んでいます。特にデメリットがない様に思うのですが、ecdsa にして困った事があった方ご教示いただけませんか? >>303
webブラウザだけなら困らないけど
メール関係で ecdsa より rsa のほうが困らない印象
postfix dovecot openvpn とか 無料SLL(ただし有料ドメインが必要です)
と、ちゃんと記載するべきだと思います
景品表示法違反です FreeNOMで取得できる無料ドメイン
DDNSサービスで取れるバリエーション豊かなサブドメイン
でも完全無料SSLを活用させて貰ってるで >>301
https://forms.gle/ftKeqkj6AJgXUDPJ8
ここに申請すると翌週の木曜日頃に
「Let's Encrypt ECDSA Allowlist Confirmation」
ってメールが来てE1から証明書発行してもらえるようになるみたい
https://i.imgur.com/UEFBWtf.png 工エエェェ( Д )⌒Y⌒Y⌒Y⌒Y⌒Y⌒...。....。コロコロ デフォルトでクロス署名が無い方で証明書が発行されるようになるのが2024/2/8から、
alternate chainでもクロス署名版が取れなくなるのが2024/6/6から、
クロス署名版の期限が切れるのが2024/9/30。
前回騒いでからの間にChromeも独自証明書ストアを持つようになったし、古いAndroidのシェアもこの3年でかなり減ったみたいだから大きな問題は無いのかな?
ちなみに手元で試した限りではAndroid7はサポート切れる直前のChromeなら独自証明書ストア対応、
Android6は同じバージョンのChromeでも対応してなかった。 当時はサポート切れでも現役が多かった泥5がさすがにほぼ消えた
(アップデートできなかったり使えなくなったアプリがかなり増えてきた)
から、ブラウザで〇〇で見れなくなって困る 以前の状況になってる Android 7は 証明書が切れるまでにFirefox Browser入れとけっていうのを見た気がする それはAndroid 7に限らず6とかでも使える手だね。
>311にもあるけど、普通にChromeをアップデートしてれば、Android 7サポート切れ前のバージョンでも
独自証明書ストア対応版なのでIdenTrust DST Root CA X3の有効期限が切れた後でも問題ないはず。
まあ、サポート切れてるChromeを使い続けるのはセキュリティが心配だからFirefox使っとけってのが正しい気はするけど。
と言うか、さすがにそろそろAndroid 7は捨てた方が良い。 certbot renew --dry-runは成功するのにやってみたら失敗する
dry-runの意味ないやんけw そりゃ、実際に水入れて放水しないと出ない不具合はいっぱいあるし