5ちゃんねる ★スマホ版★ ■掲示板に戻る■ 全部 1- 最新50  

【全ブラウザ対応】 無料SSL/TLS Let's Encrypt [転載禁止]©2ch.net

1 :名無しさん@お腹いっぱい。:2015/11/30(月) 18:01:15.69 0
2015年12月3日 に 公開ベータ(Public Beta)が開始される予定の Let's Encrypt のスレです。

これは、いわゆる無料の SSL/TLS 証明書なわけですが、ブラウザ Mozilla Firefox を作っているモジラ財団とか、
ネットワーク機器大手のシスコとか、ネットワークインフラ大手のAkamaiとかが出資している大規模なプロジェクトなので、
途中で有料化したり、サービス停止になったりする心配もありません。

さらに、全ブラウザにルート認証局として入っているアメリカの最大手CA IdenTrust の傘下の証明書という扱い(クロスルート)になったので、
クローズベータをやっている現時点でも、全ブラウザに対応しているという神証明書です。

はっきりいって、IdenTrust の証明書をけっているブラウザなんて考えられないので、ジオトラストとかのドメイン認証証明書と同格以上の証明書が
無料で手に入ることになります。

明々後日からは、専用クライアントをダウンロードして、コマンドを実行するだけで、VPS など root 権限があるサーバとドメインがあれば証明書が入手可能なので、
期待しておきましょう。

もう、SSL/TLS の証明書にお金をかける時代はおわったのです(ただし、実在証明を含むEV証明書を除く)


【Let's Encrypt 公式サイト】(英語)
https://letsencrypt.org/

【Let's Encrypt 公式Twitter】(英語による最新情報)
https://twitter.com/letsencrypt

【Let's Encrypt 総合ポータル】(日本語)
https://letsencrypt.jp/

【Let's Encrypt 導入方法】(日本語)
https://letsencrypt.jp/usage/

2 :名無しさん@お腹いっぱい。:2015/11/30(月) 18:04:13.87 0
【Let's Encrypt 最新情報】

Let's Encrypt のローンチスケジュールは延期されてきましたが、
2015年12月3日 に Let's Encrypt 公開ベータプログラム(Public Beta Program)が開始される予定です。
公開ベータプログラム開始後は、独自ドメインとWebサーバがあれば、誰でも簡単に Let's Encrypt の SSL/TLS 証明書を取得することができます。

【対応ブラウザとOS】

Let's Encrypt の「SSL/TLSサーバ証明書」は、アメリカ合衆国大手認証局(CA)である IdenTrust 社のルート証明書から
チェーンできるクロスルート (クロスサート) 証明書です。IdenTrust 社の証明書によって、
中間証明書「Let's Encrypt Authority X1」および「Let's Encrypt Authority X2」に対するクロス署名が行われています。
そのため、Let's Encrypt 発行の証明書は、大手認証局(CA)が有償で販売している証明書と同様に、ほとんどのWebブラウザやOSが標準で対応しています。
・Microsoft Internet Explorer (Windows)
・Google Chrome (Windows、Mac OS X、Linux、Android、iOS)
・Mozilla Firefox (Windows、Mac OS X、Linux、Android、iOS)
・Apple Safari (Mac OS X、iOS) など

https://letsencrypt.jp/より引用)

3 :名無しさん@お腹いっぱい。:2015/11/30(月) 18:11:57.94 0
〜〜〜 共有サーバ (VALUE SERVER とか COREサーバーとか、さくらのレンタルサーバ) での使い方 〜


root権限のあるサーバならば、https://letsencrypt.jp/usage/ (日本語)にある手順の通りに、
クライアントをダウンロードしてコマンドをうつだけで導入可能

しかし、SNI 対応のレンタルサーバ(VALUE SERVER とか COREサーバーとか、さくらのレンタルサーバ)とかに居れる場合、
root権限必須の専用クライアントが動作しないため、証明書の発行作業を仮想環境でやる必要がある

なので、ローカルの Windows パソコンとかで VirtualBox などの仮想環境構築ツールに CentOS などのOSをインストールして
そこで Let's Encrypt のクライアントを動かす必要あり

自動認証ではなく、手動認証のオプションを指定することで、サーバのドキュメントルートに、Let's Encryptクライアントが指示した
JSON ファイルを設置することで、ドメイン所有者の認証プロセスが完了するので、レンタルサーバでも SNI 対応なら使える模様

手動認証のオプションコマンドについては、下記ドキュメントを参照

【Let’s Encrypt クライアントのドキュメント】(英語)
https://letsencrypt.readthedocs.org/en/latest/

専用サーバ、VPS などのroot有りのサーバならコマンド一発で使えるけど、
共有サーバだと Linux アプリ(root)を実行できる環境がないと、多少面倒です

4 :名無しさん@お腹いっぱい。:2015/11/30(月) 18:20:01.02 0
SSL無料になったらベリサリンとかセコムトラストとかどうなっちゃうの???

やっぱ潰れちゃう?

5 :名無しさん@お腹いっぱい。:2015/11/30(月) 18:25:35.86 0
これは個人や団体を証明する手段じゃないから潰れないよ

6 :名無しさん@お腹いっぱい。:2015/11/30(月) 18:26:13.09 0
VeriSignとかよりRapidSSLとかの格安系がやばいだろうな
ドメイン名認証しているだけだからLet's Encryptより優れている点が1つもないし

7 :名無しさん@お腹いっぱい。:2015/11/30(月) 18:29:39.87 0
Let's Encrypt はオレオレ証明書じゃなくて
IE でも Firefox でも Opera でも Google Chrome でも Safari でも正規証明書扱い
あげくためしてみたら、Lynx とか wget とかそういったテキスト系ブラウザでも正規証明書と認証

SHA-2証明書だからガラケー対応は怪しいけど、VeriSignとかもSHA-2に移行したから同じことだし
これは認証局あちこち潰れる予感

これからは認証局はアドレスバーが緑になる EV SSL 売っていくしか存続手段が無いだろう

8 :名無しさん@お腹いっぱい。:2015/11/30(月) 18:38:47.26 0
あと3日で俺のサイトもフルSSLにできるとか、スゲーわくわくするわ
大手企業のサイト運営している気分になれそう
興奮して夜も眠れなさそうだ

だって、プライバシーマークの協会だって、HTTPなんだぜ?
http://privacymark.jp/

それなのに個人がSSL使えるとか、すごくね?

9 :名無しさん@お腹いっぱい。:2015/11/30(月) 18:41:03.74 0
暗号化の手段として必要だから、正規サイトの証明はいらないんで
使う分にはいいんだけど、悪用する人への対策はどうなるのかな

10 :名無しさん@お腹いっぱい。:2015/11/30(月) 18:49:12.85 0
これの有効期間ってどれくらいあるの?

11 :名無しさん@お腹いっぱい。:2015/11/30(月) 18:56:42.40 0
>>10
90日間固定
90日な理由は https://letsencrypt.jp/blog/2015-11-09.html に書かれてる

Let's Encrypt は、

$ ./letsencrypt-auto certonly -a standalone \
-d example.com -d www.example.com \
--server https://acme-v01.api.letsencrypt.org/directory --agree-dev-preview

みたいなコマンド一発で証明書を取得・更新できるので、2ヶ月に一回ぐらいコマンドを手動で実行するか、cron で回してください、ってことらしい

12 :名無しさん@お腹いっぱい。:2015/11/30(月) 19:05:44.35 0
>>11
なるほど。自動化できるんなら運用で躓くことは少なそうだな。

13 :名無しさん@お腹いっぱい。:2015/11/30(月) 19:46:53.00 0
コマンド一発と言っても80番ポート止めなきゃダメなんでしょ?
STGとかなら良いけど、一般公開しているサイトでは二ヶ月に一回もやりたくない

14 :名無しさん@お腹いっぱい。:2015/11/30(月) 20:05:58.60 0
>>13
初心者向けモード(オプション無し)だとポート80のweb鯖を止める必要あるけど、
コマンドラインオプションで apacheとか既に動いてるweb鯖のdocument root 指定すれば止めなくてすむ
(そのdocument root 以下に認証用ファイルを設置して認証してくれる)

ただ、証明書はメモリに読み込まれてるだろうから
service httpd restert はいるだろうけど、
ダウンタイムは1〜2秒だろう

15 :名無しさん@お腹いっぱい。:2015/11/30(月) 20:18:56.91 0
>>13
漏れはクローズベータの初期からやってるけど
httpd stop → 証明書更新 → httpd start で1秒足らずだよ

でも漏れは小心者で万が一httpdの起動に失敗したら怖いので月1ぐらいで手動でやるわw

同じ理由でyum update とか、geo ip の更新とかも手動でやってるから
日常鯖メンテのプロセスに1分以内の作業が加わるだけだから
手動でも特に気にならん

サーバーって放置で運営するもんでもないし

16 :名無しさん@お腹いっぱい。:2015/11/30(月) 20:24:45.18 0
数年前に年何万も払って証明書買ってたのが馬鹿みたいだ
今や同じのが無料だもんな

やっぱり認証局はボロ儲けだったんだな

17 :名無しさん@お腹いっぱい。:2015/11/30(月) 20:34:17.85 0
>>14
なるほど、認証用ファイル設置も自動でやってくれるのか
再起動はlogrotate時に任せても良いけど、起動しなかったら夜中に起こされるな・・・

>>15
自動化出来るところは自動化したいよ
10や20なら手動でもいいけど・・・

18 :名無しさん@お腹いっぱい。:2015/11/30(月) 23:07:18.80 0
>>17
なるほど
10や20を超える大量の鯖管理してたら
確かに自動化が重要やな

19 :名無しさん@お腹いっぱい。:2015/11/30(月) 23:24:19.99 0
しかし、HTTPS化したら
はてブのブックマーク数とかツイート数とかがリセットされるよね

googleのランクは301リダイレクトで完全に引き継げるらしいけどね
httpへのリンクのまでも、httpsの方にリンクしているとみなしてくれるので
リンク効果も引き継げる模様
Googleはフルssl推進派だし、sslサイトのランクを上げる対応をしているので当然とも言えるが

20 :名無しさん@お腹いっぱい。:2015/12/01(火) 00:14:44.07 0
いよいよ、あさってか!

楽しみだわ

21 :名無しさん@お腹いっぱい。:2015/12/01(火) 00:25:46.66 0
o(^-^)oワクワクテカテカ

早く証明書が欲しいニャン

22 :名無しさん@お腹いっぱい。:2015/12/01(火) 00:28:53.84 0
これってワイルドカード証明書とれる?

23 :名無しさん@お腹いっぱい。:2015/12/01(火) 01:01:15.48 0
>>22
www無しで取ると、www付きが Subject Alternative Names(サブジェクトの別名)に入るけど、
それ以外はワイルドカードもサブジェクトの代替も無理だったと思う

サブドメインでも取れるし、常識的な範囲なら枚数制限もないから
サブドメインごとに証明書とって、SNIで振り分ければOK

24 :名無しさん@お腹いっぱい。:2015/12/01(火) 01:22:36.15 0
いや最初からSAN指定できるでしょ

25 :名無しさん@お腹いっぱい。:2015/12/01(火) 01:42:42.50 0
レンタルサーバでも簡単に使えるように
サーバ会社の方でも対応してほしいね

26 :名無しさん@お腹いっぱい。:2015/12/01(火) 04:33:31.62 0
> 2015年12月3日 に 公開ベータ(Public Beta)が開始される予定の

アメリカ時間だから、日本だと4日〜5日だと考えた方が良いぞ

時差ってもんがあるからな

27 :名無しさん@お腹いっぱい。:2015/12/01(火) 04:50:46.51 0
アメリカとの時差って何時間だっけ?
てかアメリカってタイムゾーンいっぱいあったよね?

28 :名無しさん@お腹いっぱい。:2015/12/01(火) 08:53:56.39 0
SFだしPSTじゃないの

29 :名無しさん@お腹いっぱい。:2015/12/01(火) 12:55:39.14 0
git が動かなきゃだめだよな。

30 :名無しさん@お腹いっぱい。:2015/12/01(火) 14:09:21.71 0
>>29
今は git の時代だからね
ディストリに依存せずにコマンド1つでパッケージを取得できる素晴らしいシステムですから

31 :名無しさん@お腹いっぱい。:2015/12/01(火) 17:03:05.62 0
いつの間にかApacheじゃなくてnginxが主流になったりとか
Cent OS 7 iptablesがなくなってFirewalldになったりとか
同じくCent OS 7 でMySQLじゃなくてMariaDBになったりとか
なんかgitという聞いたこともないようなものが飛び出したりとか

なんで Linux の世界ってこんなに変わっちゃったんですか?

10年以上も(下手したら20年近く?)、iptables, Apache, MySQL が主流でそれがずっとかわらなかったし
安定してて特に問題もなかったのに、なんで新しいソフトの動作覚えないといけないんでしょう

これっておじさんの鯖管を虐めて若者がいい気になりたいだけでは?

実際若い人に「なんで Apacheじゃ駄目なの?」とか「なんで iptables じゃ駄目なの?」と聞いても
「今は○○が主流になってきており・・・」とか「多少軽いらしいです」とかどうでもいいような返答しか返ってこないし
わざわざ再学習のコストかけてまで変える必要ないよね

32 :名無しさん@お腹いっぱい。:2015/12/01(火) 19:11:33.01 0
可哀想なおじさん >>31 に誰か一言アドバイスをどうぞ

 ↓

33 :名無しさん@お腹いっぱい。:2015/12/01(火) 20:11:19.35 0
ご隠居さん、若いものの邪魔しちゃいけませんよ。さ、あっち行きましょうね。

34 :名無しさん@お腹いっぱい。:2015/12/01(火) 21:09:57.19 0
てか静的HTMLならApacheでも1日100万Hitでも月1000円足らずのさくらのVPS1Gで捌けるのに、
なんで、ちょっと軽い程度の理由でnginxに移行しないといけないんだろう

httpd.confとかmod_rewriteとかの書き方覚え治すだけのメリットあるとは思えない

サーバ負荷になってるのはhttpdじゃなくてphp / CGIとかSQLなんだから
httpdを軽いのに乗り換えたって全体としては誤差だろ

35 :名無しさん@お腹いっぱい。:2015/12/01(火) 22:19:59.42 0
だったらそのままApache使ってればいいじゃん

36 :名無しさん@お腹いっぱい。:2015/12/01(火) 22:27:22.35 0
apacheでいいんじゃない?
必要になったらnginxのリバースプロクシたてればいい

37 :名無しさん@お腹いっぱい。:2015/12/01(火) 22:56:32.30 0
>>35-36
だよね

会社でちょっとしたWebサービスを公開するときなんかに
若い社員に今時Apacheなんて時代遅れだからnginxにしろと言われるけど
まだまだApacheでいけるよね

若い社員になんと言われても「特に必要がある場合を除き、実績のある枯れたソフトウェアを使うのが望ましい」とApacheを押し通すことにする

38 :名無しさん@お腹いっぱい。:2015/12/01(火) 23:05:17.89 0
※ Apache / nginx の論争で誤解を招きそうなので 一応書いておくと

 Let's Encrypt は Apache ・ nginx のどちらかに依存してるわけじゃないよ

39 :名無しさん@お腹いっぱい。:2015/12/01(火) 23:13:00.53 0
でも、lighttpd には対応してないんでしょう?手動でやればすむことだけど。

40 :名無しさん@お腹いっぱい。:2015/12/01(火) 23:29:01.64 0
>>39
lighttpd って /usr/local/www/data に拡張子無しのファイル置いたら text/plain のMIMEヘッダで外部からアクセス可能になるよね?

なら、下記のコマンドで証明書の取得までは一発でいけるはず(lighttpd を起動したままでOK)

 ./letsencrypt-auto certonly -a webroot --webroot-path /usr/local/www/data \
 -d example.com -d www.example.com \
 --server https://acme-v01.api.letsencrypt.org/directory --agree-dev-preview

たぶん、上記で起動したままでいけるはずだけど、もし lighttpd が IIS みたいに拡張子無しのファイルには外部からアクセスできない仕様だとすると、
一回停止させてから https://letsencrypt.jp/usage/ の手順でやる必要がある(その場合ダウンタイム有り)

あと、/usr/local/etc/lighttpd の書き換えは自動で行われないから手動でやらないといけないわけだけど、
http://l-w-i.net/t/lighttpd/ssl_001.txt によると、
「証明書はPEM形式の必要があるが、秘密鍵(.key)と証明書(.crt)を別々に所有している場合は以下の手順で両者を結合する。」
とのこと(2007/9/19更新 だから今は違うか)

とまぁこれぐらいの手間かければ好きなWeb鯖で使えるってことだ

41 :名無しさん@お腹いっぱい。:2015/12/02(水) 00:43:26.63 0
今時の若いもんはH2Oなのでは

42 :名無しさん@お腹いっぱい。:2015/12/02(水) 01:10:10.84 0
>>41
H20って水?
どういう意味?

43 :名無しさん@お腹いっぱい。:2015/12/02(水) 01:26:48.06 0
>>31

> わざわざ再学習のコストかけてまで変える必要ないよね
こんな事言ってる奴は爺じゃなくても向いてないと思う

44 :名無しさん@お腹いっぱい。:2015/12/02(水) 02:49:03.67 0
cloudflareはnginxリバースプロクシとして
sslやらCDNやらアクセス解析やらなんでもやってくれるんで

H2Oとかnginx含めて自前でリバースプロクシ建てる必要を感じない

45 :名無しさん@お腹いっぱい。:2015/12/02(水) 08:02:15.49 0
だからなんなの?

46 :名無しさん@お腹いっぱい。:2015/12/02(水) 08:42:43.74 0
>>42
おいしい水だよ

47 :名無しさん@お腹いっぱい。:2015/12/02(水) 09:23:18.17 0
ttps://letsencrypt.jp/usage/
を読んだ限りでは更新時に同意求める画面が開くようだから cron で自動化ができるのかよくわからん。
できるなら月1回の更新になるけど更新しすぎとか警告来るかな

48 :名無しさん@お腹いっぱい。:2015/12/02(水) 12:43:13.97 0
>>47
そのページの下の方に利用規約への同意は保存されると書かれてる

49 :名無しさん@お腹いっぱい。:2015/12/03(木) 11:37:52.61 0
さっそくやってみたけど。
Name is not whitelisted
というエラーです。

50 :名無しさん@お腹いっぱい。:2015/12/03(木) 13:46:38.44 0
ホワイトリストに登録されていません

51 :名無しさん@お腹いっぱい。:2015/12/03(木) 15:05:34.74 0
>>50
まだパブリックになってないのかな

52 :名無しさん@お腹いっぱい。:2015/12/03(木) 16:48:10.38 0
ん?

53 :名無しさん@お腹いっぱい。:2015/12/03(木) 16:57:33.62 0
>>49
今は、クローズベータだから、クローズベータで承認されたドメインでしか使えないの。

パブリックベータになったら、そのエラー出なくなるよ
パブリックベータ開始は、アメリカ時間の今日中だから、もうしばらくお待ちを

54 :名無しさん@お腹いっぱい。:2015/12/03(木) 18:13:53.89 0
Let's Encrypt Status
http://letsencrypt.status.io/

> Public Beta begins at 6 PM GMT on 3 December.

日本時間だと明日の午前3時だな。

55 :名無しさん@お腹いっぱい。:2015/12/03(木) 19:19:46.60 0
>>54
全WebサイトのSSL(TLS)化を目指しているプロジェクトなんだから https のリンクにしてあげないと可哀想です

https://letsencrypt.status.io/

56 :名無しさん@お腹いっぱい。:2015/12/03(木) 19:46:07.25 0
>>54
貴重な情報サンクス

57 :名無しさん@お腹いっぱい。:2015/12/03(木) 19:48:26.33 0
>>55 おっと! フォーラムの公式ポストでもHTTPSでリンクされてた…。

58 :名無しさん@お腹いっぱい。:2015/12/03(木) 19:56:44.49 0
>>54
わくわくするぜ

59 :名無しさん@お腹いっぱい。:2015/12/04(金) 00:49:56.49 0
WEBサーバとは別のメールサーバも暗号化するにはどうすればいい?
やっぱりHTTPSしか想定してないんだろうか

無理やりやるとしたら、メールサーバ用のWEBサーバ別に立てて証明書作って、
さらに自動化処理の中に作成した証明書ファイルをメールサーバに
コピる処理を作らなければならないのかな

60 :名無しさん@お腹いっぱい。:2015/12/04(金) 01:17:39.68 0
>>59
Postfix とか、Dovecot とか最近のメール鯖はちゃんと暗号化の
メカニズムを内蔵してる。証明書はウェブと同じものが使える。

61 :名無しさん@お腹いっぱい。:2015/12/04(金) 02:23:19.75 0
>>60
あー、そうなんだけど、
WEBサーバ無しの(外部からポート80接続させない)メールサーバだけでは
証明書の自動処理できないでしょって話。

外部から接続できるWEBサーバで自動処理を動かして証明書ファイルを受け取るわけでしょ?
それをメールサーバの所定のディレクトリに配置するには自分で仕組みを作らないとってこと。

それともメールサーバだけで完結する何かいい方法あります?

62 :名無しさん@お腹いっぱい。:2015/12/04(金) 02:24:57.92 0
http://letsencrypt.jp
あと30分ちょいか

63 :名無しさん@お腹いっぱい。:2015/12/04(金) 03:47:50.20 0
ubuntuの方は恐ろしく簡単に入ったな、、、
手作業でいれたやつ対応させるとするか、、

64 :名無しさん@お腹いっぱい。:2015/12/04(金) 05:11:52.30 0
おはよー
https://letsencrypt.jp/usage/ の解説のとおりにやってみたら
5分足らずであっさり証明書取得できたわ

あまりにも簡単で拍子抜けたわ

65 :名無しさん@お腹いっぱい。:2015/12/04(金) 05:46:41.59 0
あっという間に取得完了

66 :名無しさん@お腹いっぱい。:2015/12/04(金) 07:38:57.24 0
>>61
letsencryptのスクリプトで内蔵httpd立ち上げてるみたいだから行けるんじゃないの

67 :49:2015/12/04(金) 07:40:03.15 0
>>48
うまく出来ました。
cron 用のスクリプトで動作できましたので月1回動作で登録します

68 :49:2015/12/04(金) 07:45:26.42 0
期間は 12月3日から3月2日まで。
12月と1月が31日まで、2月が29日までだからちょうど90日です。

69 :名無しさん@お腹いっぱい。:2015/12/04(金) 09:17:11.76 0
>>66
つまりhttpアクセス禁止してるサーバじゃ無理

70 :名無しさん@お腹いっぱい。:2015/12/04(金) 10:29:26.32 0
そんなの開ければいいじゃん
普段HTTP起動していないんだから何の問題もない

71 :名無しさん@お腹いっぱい。:2015/12/04(金) 11:24:20.85 0
>>69
ごめん勘違いしてた
一応他のポートでも行けるようにする議論はあるみたい

72 :名無しさん@お腹いっぱい。:2015/12/04(金) 12:49:39.98 0
80以外のポート指定できないのかな?
それならサーバ毎にポート分けて対応できそうな気がするが

73 :名無しさん@お腹いっぱい。:2015/12/05(土) 16:31:14.43 0
おい、おまいら
スラドでも記事になったようだぞ

【サーバー証明書を無料発行する「Let's Encrypt」がパブリックベータに移行】
http://security.srad.jp/story/15/12/05/0454205/

74 :名無しさん@お腹いっぱい。:2015/12/05(土) 17:10:54.25 0
よし
今夜から使うぞ

75 :名無しさん@お腹いっぱい。:2015/12/05(土) 20:02:25.82 0
SNI 用にいくつかもらいたいのだけど
./letsencrypt-auto certonly -a standalone \
-d letsencrypt.jp -d www.letsencrypt.jp \
--server https://acme-v01.api.letsencrypt.org/directory
をその分ドメインだけ変えて繰り返せばよいのかな。

76 :名無しさん@お腹いっぱい。:2015/12/06(日) 10:48:40.19 0
-d example.com をその数だけ並べればいいよ

77 :名無しさん@お腹いっぱい。:2015/12/06(日) 11:08:00.09 0
>>76
ん?SANじゃなくてSNIなのですが…

78 :名無しさん@お腹いっぱい。:2015/12/06(日) 11:13:29.95 0
だったらそんな初歩的な質問するまえにやってるはずだが
何でも聞かないとできないタイプか

79 :名無しさん@お腹いっぱい。:2015/12/06(日) 11:37:07.15 0
>>77
は?
SANsの証明書を使いまわせばいいだけだろ

80 :名無しさん@お腹いっぱい。:2015/12/06(日) 11:37:09.55 0
SAN のやつを SNI でホスト毎に同じの指定すりゃいいじゃんか。

81 :名無しさん@お腹いっぱい。:2015/12/06(日) 11:37:53.82 0
2sec 先こされたわww

82 :名無しさん@お腹いっぱい。:2015/12/06(日) 15:31:13.61 0
startsslで結構梃子摺ったのに
こっちはかなり楽そうだな

83 :名無しさん@お腹いっぱい。:2015/12/06(日) 15:40:47.29 0
startsslにてこずるところなんてなかったろ

84 :名無しさん@お腹いっぱい。:2015/12/06(日) 15:43:23.50 0
CSR すら自分でやる必要も無く全自動だから、たいして知識がなくとも
説明通りに設定するだけで使える。メリットでもあるし、デメリットにもなるかもしれないなw
証明書だけじゃなく、SSL の動作に関してもある程度設定詰めないといけないしね。
まぁそれすら生成してくれるサイトあるけど。

85 :名無しさん@お腹いっぱい。:2015/12/06(日) 16:05:25.12 0
>>83
ウェブ素人なんや
察してくれ

86 :名無しさん@お腹いっぱい。:2015/12/08(火) 00:19:35.55 0
最大手のアットマークITでも取り上げられた模様
http://www.atmarkit.co.jp/ait/articles/1512/07/news072.html

これは Let's Encrypt がどんどん普及していくかもしれない

87 :名無しさん@お腹いっぱい。:2015/12/08(火) 08:03:51.94 0
自分のサブドメイン分作ろうと思ったら発行上限に達して作れなくなった模様ww
マルチドメインはなんだかなーなんだよなー

88 :名無しさん@お腹いっぱい。:2015/12/08(火) 13:20:31.44 0
何個発行しようとしたんだ?

89 :名無しさん@お腹いっぱい。:2015/12/08(火) 13:49:27.66 0
>パブリックβ期間中は 7日間で5証明書/ドメイン

となってるな

90 :名無しさん@お腹いっぱい。:2015/12/08(火) 15:49:24.08 0
BlueOnyxコンパネが対応した。
マウスクリックしかできないweb素人でも
一瞬で証明書が取れる時代になったわけだ。

91 :名無しさん@お腹いっぱい。:2015/12/08(火) 18:21:15.34 0
>>88
>>89 の通り 5 個だった。

話変わるけど、
<VirtualHost *:443>
Define vhost hoge.example.com
ServerName ${vhost}
SSLEngine on
SSLCertificateFile /etc/letsencrypt/live/${vhost}/cert.pem
SSLCertificateKeyFile /etc/letsencrypt/live/${vhost}/privkey.pem
SSLCACertificateFile /etc/letsencrypt/live/${vhost}/fullchain.pem
...
...
こう書けば証明書の記述はコピペで行けるから楽だな。
letsencrypt-auto の証明書配置好きだわw

92 :名無しさん@お腹いっぱい。:2015/12/08(火) 18:44:07.02 0
gmailからpopsでのフェッチアクセスも認証通りますか?

93 :名無しさん@お腹いっぱい。:2015/12/08(火) 23:35:04.30 0
今 httpd.conf を grep したら VirtualHost が 122 個もあった
全部外部向けに https で公開したいわけじゃないけど

7日間で5証明書では毎日チビチビ取得するの面倒だな
β取れたら緩和されるかな?

94 :名無しさん@お腹いっぱい。:2015/12/08(火) 23:47:14.46 0
>>91
>SSLCACertificateFile /etc/letsencrypt/live/${vhost}/fullchain.pem

これ間違ってない?

95 :名無しさん@お腹いっぱい。:2015/12/08(火) 23:56:22.62 0
内部向けはオレオレで認証局作ってクライアントに信頼させときゃいいっしょ。 証明書はワイルドカード 1 つでw
証明書の発行やらは現状だと httpd 止めないと行けないからあまりホスト数多いと更新の時点ではダウンタイム長くなりそうだな。

96 :名無しさん@お腹いっぱい。:2015/12/08(火) 23:58:54.89 0
>>94
そこは fullchain.pem か chain.pem どっちでもいいけどそうした方が結果としては良い。
最悪無くとも暗号化経路は確保されるけど SSL Server Test のスコア落ちるから嫌だw

97 :名無しさん@お腹いっぱい。:2015/12/09(水) 00:03:58.02 0
>>96
いんや、そっちじゃなくて

SSLCA〜

クライアント証明書を認証するためのサーバー側のCA証明書ストアを記述するディレクティブじゃない?
って話

98 :名無しさん@お腹いっぱい。:2015/12/09(水) 00:08:24.10 0
Let's は今のところワイルドカードに対応する予定は無いってFAQにあるし
SubjectAltName は証明書を見るとサブドメインが全部バレてしまうので嫌なんじゃー

99 :名無しさん@お腹いっぱい。:2015/12/09(水) 00:37:24.14 0
ライセンス同意とメールアドレス入力のためにわざわざ画面が立ち上がるのは
自動で大量取得されないため?

でもオープンソースだからどうにでもなるよね

100 :名無しさん@お腹いっぱい。:2015/12/09(水) 01:25:13.97 0
>>99
それ、初回だけだよ
ライセンス同意とメールアドレスの入力の内容は保存されるので
他のドメインで取得する場合でも、確認画面などは一切立ち上がらずコマンドのみでいける

101 :名無しさん@お腹いっぱい。:2015/12/09(水) 01:38:51.57 0
保存されると書いてあるだろ

102 :名無しさん@お腹いっぱい。:2015/12/09(水) 01:40:32.68 0
>>97
ああ、なぜそのディレクティブが〜ってって事か。
俺もそれは謎に思って調べたら Let's Encrypt のフォーラムでそう記述するところが大半だった。
SSLCACertificateFile の指定が無いと SSL Server Test で Incomplete Chain だかなんだかアラートが出た。
この点、今一理解してないw

103 :名無しさん@お腹いっぱい。:2015/12/09(水) 01:40:37.79 0
それなら尚更あの画面を出す意味がわからない
全部CUIでいいじゃん
--debug とかログとか見ると、あれのために python の追加モジュールとか
色々インストールさせられるみたいなんだけど
普段 python なんか使わないからゴミが増えて邪魔なんだよなぁ

104 :名無しさん@お腹いっぱい。:2015/12/09(水) 01:42:54.51 0
SSLCACertificateFile じゃなくて SSLCertificateFile が正解だと思うんだが
まだ Apache2.2 使いだから Apache2.4 のことはよくわからない

105 :名無しさん@お腹いっぱい。:2015/12/09(水) 01:45:13.55 0
あ、ちょい古の 2.2 は SSLCertificateChainFile が正解かな

106 :名無しさん@お腹いっぱい。:2015/12/09(水) 08:08:46.18 0
>>95
そんな恐ろしいことできるわけない

107 :名無しさん@お腹いっぱい。:2015/12/09(水) 08:53:41.24 0
>>95
内部向けは内部にCA作ってWindowsのポリシーで信頼させてる
WindowsでActiveDirectoryのみになるけどこれが楽

108 :名無しさん@お腹いっぱい。:2015/12/09(水) 10:58:03.26 0
>>105
最新の Apache でも同じ。obsolute だけど。

109 :名無しさん@お腹いっぱい。:2015/12/09(水) 11:15:45.46 0
./letsencrypt-auto --apache で全自動で作ったやつは

SSLCertificateChainFile /etc/letsencrypt/live/example.com/chain.pem

となってるな、Apacheは 2.4.7

110 :名無しさん@お腹いっぱい。:2015/12/10(木) 18:05:22.42 0
Value Serverで使いたいんだけど「プライベートキーのパスワード」欄には何を入力すれば良いのでしょうか?
証明書は発行してもらいました

111 :名無しさん@お腹いっぱい。:2015/12/10(木) 18:55:01.81 0
>>110
Let's Encrypt の秘密鍵は暗号化されてないので、本来は不要

もし、バリューサーバーが空白の暗号キーを受け付けないなら、
openssl のコマンドで、何らかのパスフレーズで秘密鍵を暗号化して、
そのパスフレーズを入力すればおっけー

112 :名無しさん@お腹いっぱい。:2015/12/10(木) 20:26:22.38 0
パスワード設定しないとできなかったはず
共有レンサバとはいえ秘密鍵を盗める状況じゃ
他が詰んでる気がするんだけどどうなの

あともう直ってるかもしれないけど
俺がやったときはCA証明書がエラーで設定できなかったよ
サポートに言えばやってくれるけど3ヶ月ごとに連絡は面倒だわな

113 :名無しさん@お腹いっぱい。:2015/12/10(木) 20:32:48.72 0
110です。
パスワードの入力は必須とありますね。
正常に接続出来た様です。ありがとうございました。

114 :名無しさん@お腹いっぱい。:2015/12/11(金) 12:31:35.87 0
RapidSSLが来年頭で更新だけど、Lets導入でトラブルのも嫌だし、とりあえずもう1年だけ更新しようかなぁ
すでにサブドメインで何十とサイトがあると導入失敗リスク高いよね多分

まぁテスト環境でも作っていっぺん導入してみるか

115 :名無しさん@お腹いっぱい。:2015/12/11(金) 17:19:03.62 0
>>114
Rapid は値上げしたから他のにしたら。

116 :名無しさん@お腹いっぱい。:2015/12/12(土) 00:33:14.50 0
俺たちの、オレオレ認証局をネットワークでつなげよう!

117 :名無しさん@お腹いっぱい。:2015/12/12(土) 04:12:10.47 0
>>116
俺だよ俺、俺だけどさ

え、俺って誰だって? いや俺は俺だよ
メールで添付したルート証明書、インストールしてくれない?

118 :名無しさん@お腹いっぱい。:2015/12/12(土) 09:32:37.34 0
そんなあなたに究極のオレオレ証明書
http://www.cacert.org

119 :名無しさん@お腹いっぱい。:2015/12/13(日) 00:55:30.07 0
そろそろ Public Beta から一週間経つから
5 domain 制限越えられるかなってやったら追加で証明書取れたよ。

120 :名無しさん@お腹いっぱい。:2015/12/13(日) 01:16:21.23 0
https://community.letsencrypt.org/t/rate-limits-for-lets-encrypt/6769

121 :名無しさん@お腹いっぱい。:2015/12/14(月) 02:02:14.90 0
実サーバー1台でたくさんドメイン持ってると単純にcronで定期更新ってわけにはいかないなぁ
5ドメインずつ分けて週一で取得or更新しにいくドメイン管理スケジューラみたいなのが無いと
ややこしいことになりそうだ

週に5ドメインで、60日に一度更新が推奨されてるからざっくり最大40ドメインが限界か

122 :名無しさん@お腹いっぱい。:2015/12/14(月) 03:01:54.79 0
cron で毎日証明書の期限をチェック。
期限が 30〜40 日前程度になった証明書は更新させてしまう。
って言うような単純なスクリプトを書いて回してるよ。

Too many うんたらで週制限掛かっても、cron で毎日勝手にリトライすることになるから
制限が外れ次第順次更新いけるはず。
更新周期は 60 日に一度とかなっているけど、実際にはもっと速く更新は出来るからなー。

123 :名無しさん@お腹いっぱい。:2015/12/14(月) 21:44:41.53 0
ちょっとシェルスクリプトのテストしてたら
更新しすぎでエラーになってしまった

もうちょっと緩和してくれんかな

1IPあたりの制限とか、1アカウントあたりの制限とか、色々

124 :名無しさん@お腹いっぱい。:2015/12/14(月) 21:46:04.70 0
テスト用のAPI Endpointがないのがイケてない

125 :名無しさん@お腹いっぱい。:2015/12/14(月) 22:16:53.59 0
善意の有志で翻訳してくれてるからあまり言いたくないけど日本語サイトの人

クライアントの使い方を翻訳してくれるのはいいんだけど --standalone モードで
一度 httpd を落として 80番を落とさないといけないように書いてあるけど
これってやっぱ導入のハードル上げてると思うのよね

本家英語の使い方には --webroot モードで無停止でやる方法も併記されてて
この方法を知ってればもっと早く導入してたしさ

どっちにしろ総合的に色々煩雑な印象がして
無料の StartSSL でいいやってなってしまうわ

126 :名無しさん@お腹いっぱい。:2015/12/14(月) 22:31:10.50 0
でもstartsslって対応してないブラウザ多いんじゃなかったっけ

127 :名無しさん@お腹いっぱい。:2015/12/15(火) 01:15:10.82 0
おまえはなにをいっているんだ?

128 :名無しさん@お腹いっぱい。:2015/12/15(火) 02:22:13.01 0
>>126
いつの話をしてるんだ?
2009年には主要3ブラウザで使えるようになってるぞ。

129 :名無しさん@お腹いっぱい。:2015/12/15(火) 09:49:11.00 0
>>125
> 一度 httpd を落として 80番を落とさないといけないように書いてあるけど
> これってやっぱ導入のハードル上げてると思うのよね
>
> 本家英語の使い方には --webroot モードで無停止でやる方法も併記されてて
> この方法を知ってればもっと早く導入してたしさ

まったくだ。

そいでもって
>>123
> ちょっとシェルスクリプトのテストしてたら
> 更新しすぎでエラーになってしまった

とすっかり同じ状態。こまったもんだ。

130 :名無しさん@お腹いっぱい。:2015/12/15(火) 11:07:53.90 0
だからベータテスト中だってばよ

131 :名無しさん@お腹いっぱい。:2015/12/15(火) 11:15:32.43 0
証明書再読み込みのためにHTTPDの再起動は必要だろ

人によるのだろうが、自分の場合は今までオレオレ証明書だったSTG環境やバックエンド用ドメインなので、
IP制限やBasic認証が掛かっているために設定を変更しなければならない
それならstandaloneの方が便利だし楽

132 :名無しさん@お腹いっぱい。:2015/12/15(火) 13:23:53.78 0
90日は短いな。

133 :名無しさん@お腹いっぱい。:2015/12/15(火) 13:40:59.50 0
postfixやdovecotのca鍵設定する場所にはfullchain指定しておけばいいんですかね?
一応それでgoogleとの暗号化通信はsmtpsもpop3sでfetchも成功したけど正しい設定か不安

134 :名無しさん@お腹いっぱい。:2015/12/15(火) 16:40:56.77 0
Apache2.4 でどうなってるか知らんけど 2.2 なら apache2ctl -k graceful で gracefully restart すれば
サービスとしては無停止で再読み込みできる
httpd stop -> letsクライアント起動 -> httpd start より100倍マシ

nginx も reload で無停止再読み込みいけるんじゃなかったっけ?

135 :名無しさん@お腹いっぱい。:2015/12/15(火) 16:41:16.97 0
>>133
それでよいと思うよ。openssl s_client -connect で大丈夫ならOK.
ここは中間証明書は親切だね。
comodoなんか3tもファイル出してきてどれが中間ファイルだかわからなくて苦戦したよ。
結局3つを指定の順番でマージしろって。ならマージしたファイルよこせっての。

136 :名無しさん@お腹いっぱい。:2015/12/15(火) 17:31:11.78 0
>>133
正しい設定かと言われるとたぶんNO
暗号化通信成功してるから結果オーライというならYES

137 :名無しさん@お腹いっぱい。:2015/12/15(火) 19:21:01.52 0
そう言えば MTA に使うのも楽だよな。
httpd 側でデフォルトサーバーを用意して、mx のホスト名を httpd に定義しなければ
デフォルトサーバーに回るから、そのまま --webroot で更新行ける。

138 :名無しさん@お腹いっぱい。:2015/12/15(火) 20:30:30.46 0
MTAはオレオレでいいから

139 :名無しさん@お腹いっぱい。:2015/12/15(火) 20:38:02.89 0
オレオレで良いならそのままにしておけば良いわけで、食い付くほどの事でもないだろw

140 :名無しさん@お腹いっぱい。:2015/12/15(火) 20:48:18.29 0
なーんか
postfix やら dovecot とかにレッツのサーバー証明書を設定したりする人現れてるし
無駄無駄無駄無駄〜って叫びたかっただけ

あ、イントラネットとかセキュアな通信が必須な相手で事前に合意した2者間とかはまた別だけどね

141 :名無しさん@お腹いっぱい。:2015/12/15(火) 21:32:34.01 0
実際に必要かどうか言われると、オレオレで良いとも思うけど
そこは “面白そうだから“ という正当な理由で Postfix や Dovecot にも Let's の証明書つかってるよ!

142 :名無しさん@お腹いっぱい。:2015/12/15(火) 21:41:15.42 0
gmailからのメール転送に必須なんだよな>サーバ証明書

143 :名無しさん@お腹いっぱい。:2015/12/15(火) 23:38:10.88 0
へーそうなんだ
じゃ無駄じゃないね

144 :名無しさん@お腹いっぱい。:2015/12/17(木) 01:57:29.79 0
いやー
考えてみれば当たり前の話なんだが
SubjectAltName にドメイン羅列するためにいっぱい -d を指定したら、
指定したドメイン1個1個に対してチェックのために接続してくるんだね

プライマリMX と セカンダリMX の証明書を1個にまとめようとしたら
let's Encrypt の居ない セカンダリMX の 80 番ポートにチェックしに来てエラーになって
しまった

145 :名無しさん@お腹いっぱい。:2015/12/17(木) 15:35:19.97 0
-d っていくつ書いてもいいの?
-d でトップドメインが違うのでも良いの JP と gtld がごちゃ混ぜ

146 :名無しさん@お腹いっぱい。:2015/12/18(金) 19:11:19.16 0
>>125 >>129
今見たら解説が更新されててhttpd停止不要なやり方も併記されたみたいだよ
https://letsencrypt.jp/usage/

>>144
証明書取得時には当然全部に接続チェックが入る
ただ、ブラウザは SAN の関係ないドメインへの接続はしないので、SAN に100〜200のドメインを列挙しても、
一般ユーザーのページの表示が遅くなったりはしない(証明書の容量が増えるのは誤差範囲)

>>145
いくつ書いてもおk
TLD が違っても良いけど、-d を複数書くとサブジェクトの代替名(SAN : Subject Alternative Name)が使われた1枚の証明書になるから、
SNI に対応していないブラウザ、例えば Windows XP とか Android 2系とかもサポートしたいなら注意が必要(Windows Vista以降はSNI対応)

詳しくは https://letsencrypt.jp/docs/using.html#webroot を参照

147 :名無しさん@お腹いっぱい。:2015/12/18(金) 19:26:25.57 0
>>146
おう
ありがとう日本語の中の人

148 :名無しさん@お腹いっぱい。:2015/12/18(金) 19:38:36.50 0
レン鯖でボタンひとつで設定できるようにしてくれよ。

149 :名無しさん@お腹いっぱい。:2015/12/18(金) 20:28:30.35 0
もう今の段階から XP なんか古い OS はぶった切って良いだろw

150 :146:2015/12/18(金) 20:56:42.30 0
>>146 の書き込み内容の SAN と SNI についての部分が著しく間違っていたので訂正


SNI は1つのサーバーで複数の証明書を使う技術
つまり Virtual Host ごとに違う証明書をクライアントに放出するので、1つのIPアドレスのサーバで複数の証明書を分けられる

SNI対応ブラウザは、PCからなら Windows XP は不可だけど、Windows Vista 以上なら対応している
https://ja.wikipedia.org/wiki/Server_Name_Indication#.E5.AF.BE.E5.BF.9C.E3.82.BD.E3.83.95.E3.83.88

スマホがネックで、Android 2 系が対応していない。Android のうち、まだ 5〜10%のシェアがあるので困りもの


一方、SANs は 1枚の証明書に複数の SAN を書くことで1枚の証明書を複数のドメインに対応させるもの
Let's Encrypt で -d に複数ドメイン書くとこっちになる(証明書を別々に発行して SNI を使うことも可能)

こっちは、たぶん Windows XP にも対応しているので、SANs使った方がサポートOSは多くなる

ただSANs については Android 2系が対応しているかどうかの情報は、ググっても曖昧に書かれた個人ブログぐらいしか見つからなかった
SNI と混同している人もいそうなので、確かなソースが欲しいが、なかなか見つからない
そして自分で検証しようにも Android 2がないからできない

151 :名無しさん@お腹いっぱい。:2015/12/18(金) 21:24:23.35 0
自分の理解がおかしかったのかと、愕然となったぞw

152 :名無しさん@お腹いっぱい。:2015/12/19(土) 00:03:17.00 0
>>150
これもちょっと誤解を招くレスだなぁ
https で VirtualHost するための技術・手段という意味では近いとも言えるが
どっちを使ったほうがいいとかそういうもんじゃないんだが
説明するのも面倒だ

153 :名無しさん@お腹いっぱい。:2015/12/19(土) 00:33:45.06 0
>>152
> どっちを使ったほうがいいとかそういうもんじゃないんだが

概念的には全く別物だけど、「1つのIPアドレスしかない1台のサーバで、複数の HTTPS なサイトを運営したい」という一般的な要件なら
下記の (1) SNI でも (2) SANs でも、同じ結果が得られるわけで、どっちでも良いのでは?

(1) SNI で example.com にアクセスしているブラウザには example.com 専用の証明書A、
      example.jp にアクセスしているブラウザには example.jp 専用の証明書Bを送り付ける

(2) example.com にアクセスしているブラウザにも
  example.jp にアクセスしているブラウザにも
  同様に SANs を使って複数ドメイン(example.com と example.jp の2つ)に対応した証明書Cを送り付ける

管理上のメリット・デメリットとしては、ブラウザの対応状況を除くと、
(1) だと、サイトの数だけ別々の証明書を取得して管理しなければならない。それぞれで有効期限などを管理するのが面倒。
(2) だと、サイトが増えるたびに、証明書を発行しなおさなければならない。失敗すると他のサイトにも影響が出る。
といった感じだと思われ

勿論、「概念的には別物」なので、SNI でサイトごとに SANs で複数ドメインに対応した別々の証明書を送るなんて併用も可能
www の有り無しと同一サブドメインのだけ SANs で1つの証明書でまとめて、あとは SNI で分けるなんて併用も一般的
つまり (1) と (2) を併用することもできるってことね


まぁ、なんらかの事業者が顧客のサイトを代理で運営している(もしくはレンタルサーバ業務をやっている)とかの場合には
他の顧客のドメイン名がSANsに入った証明書を使うというのはどうかと思うから (1) のSNI 一択になるけどね

154 :名無しさん@お腹いっぱい。:2015/12/19(土) 02:12:03.32 0
>>153
> まぁ、なんらかの事業者が顧客のサイトを代理で運営している(もしくはレンタルサーバ業務をやっている)とかの場合には
> 他の顧客のドメイン名がSANsに入った証明書を使うというのはどうかと思うから (1) のSNI 一択になるけどね

と、思うじゃん?
でも身近なCDNでは(ry

155 :名無しさん@お腹いっぱい。:2015/12/19(土) 16:38:28.15 0
今話題の CloudFlare のことですね

http://uzulla.hateblo.jp/entry/2015/02/25/033133
http://cdn-ak.f.st-hatena.com/images/fotolife/u/uzulla/20150225/20150225032705.png

他人のドメイン名がだぁ〜〜〜っと入った証明書って気持ち悪いな
てか、これって秘密鍵が万が一漏えいしたら羅列されたドメイン名全部の偽サイトの作成ができちゃうんだから危険だよね
CloudFlare退会したとしても、そのSANsを消した証明書を作り直したりもしないだろうし

こういうのはやめるべきだと思う

156 :名無しさん@お腹いっぱい。:2015/12/19(土) 16:47:58.69 0
レンタル鯖関係について語り合うならおすすめ。
よかったら、「blngs」で検索してみて!

157 :名無しさん@お腹いっぱい。:2015/12/19(土) 17:10:21.91 0
>>156
SNSの宣伝ですか
今時、独自のSNS展開するなんていうのはセンスが無いからやめた方が良いよ
既存のSNS内でコミュ作ればいいだけでしょ
そんなのではアクセス稼げない 時代遅れだしセンスが無い

そして、この過疎版で宣伝して宣伝効果があると考えるのが痛い
「板」全体で1日数レスあるかないかのような掲示板で宣伝して何になるの?
この「板」全体のPVも数百/dayぐらいしか無いと思うよ?


悪い事言わないから、お前さんはネットビジネスのセンスが全くないんで、早く諦めた方がいい
時間が無駄になるだけなんで、サーバ運営、Web製作、Webプログラミングのうちなにかができるんだったら
それを生かした雇われの仕事探した方がいいよ

158 :名無しさん@お腹いっぱい。:2015/12/19(土) 17:18:14.41 0
「口コミ」で宣伝すると1件いくらで報酬もらえるんでしょ

159 :名無しさん@お腹いっぱい。:2015/12/19(土) 21:05:15.93 0
ネットで「口コミ」とかいう表現するのやめて欲しいわ > ぐるなびとか価格.comとかもだけど

「口コミ」はその場にいる人に対してしか聞いて貰えないんだから「書き込み」と書くべきだ

「可視化」を「見える化」と言ったり「コミットする」だの「アボイドする」だの横文字連発した上で
「君もビジネス用語ぐらい使えるようになりなさい」と説教してくる上司と同じぐらいうざい

160 :名無しさん@お腹いっぱい。:2015/12/19(土) 21:15:28.46 0
スレチはもっとうざいけどな

161 :名無しさん@お腹いっぱい。:2015/12/19(土) 21:35:43.28 0
ごめん
ここ Let's note のスレだったのね
すまそ

162 :名無しさん@お腹いっぱい。:2015/12/19(土) 23:07:02.36 0
昔 CF-Y4 っていうパームレスト部分がパカっと開いて光学ドライブが出てくる奴持ってたわー
っておい

163 :名無しさん@お腹いっぱい。:2015/12/20(日) 20:05:21.93 0
>>161-162
ワロタ
最近のLet'snoteの光学ドライブ普通になって特色なくなっちゃったよな……

164 :名無しさん@お腹いっぱい。:2015/12/23(水) 01:09:45.46 0
Let's Encrypt マジスゲーや
色々面倒だと思ってたらコマンド数行打つだけで終わった

前ベリサリンで証明書取るときにはCSRの発行とかなんとかでつまずいて
(opensslのバージョン古くて鍵がちがかったりとかで)
何度も何度も何度も電話して2週間ぐらいかかったけどLet'sだと1時間足らずだった

165 :名無しさん@お腹いっぱい。:2015/12/23(水) 23:26:46.54 0
まじ凄いのは分かるんだけど、余りに簡単過ぎて
証明書発行のプロセスに関する知識の無い人が凄い増えそうだ。
まぁ俺も勉強中で Let's Encrypt きたから途中で投げちゃったけどなww

166 :名無しさん@お腹いっぱい。:2015/12/24(木) 01:25:23.84 0
レンタルサーバーでは使えないの?

167 :名無しさん@お腹いっぱい。:2015/12/24(木) 08:01:25.64 0
>>166
お前さんにゃ無理かも知れぬ

168 :名無しさん@お腹いっぱい。:2015/12/24(木) 10:13:10.48 0
Pythonが動かせる鯖ならあるいは

169 :名無しさん@お腹いっぱい。:2015/12/24(木) 20:07:03.26 0
悪魔バスター★スター・バタフライ
http://livedoor.2.blogimg.jp/tunes2/imgs/3/2/32c50c49.jpg
 悪魔バスター★スター・バタフライ
 http://livedoor.2.blogimg.jp/tunes2/imgs/3/2/32c50c49.jpg
  悪魔バスター★スター・バタフライ
   http://livedoor.2.blogimg.jp/tunes2/imgs/3/2/32c50c49.jpg
    悪魔バスター★スター・バタフライ
     http://livedoor.2.blogimg.jp/tunes2/imgs/3/2/32c50c49.jpg 👀
Rock54: Caution(BBR-MD5:0be15ced7fbdb9fdb4d0ce1929c1b82f)


170 :名無しさん@お腹いっぱい。:2015/12/24(木) 22:57:47.13 0
>>166
VPSレンタルサーバーで使っていますよ。
httpもpopも色々なドメインが1の種類のファイルで済むので楽だね。

171 :名無しさん@お腹いっぱい。:2015/12/25(金) 12:08:40.38 0
さくらのレンタルサーバで試してみようと思って調べてみましたが、結構面倒くさそうですね
https://msnr.net/2015/12/letsencrypt.html

172 :名無しさん@お腹いっぱい。:2015/12/25(金) 20:20:41.82 0
時刻まで気にするってのはあまりないんだけどさ、こう気軽に発行できてじっくりながめることができて気づいたんだけど、
ちょうど1時間ずれるのは、こういうもんなの?
それとも Let's Encrypt だけ?

173 :172:2015/12/25(金) 20:34:41.99 0
>>172
書いたあとに自分でググった。
https://community.letsencrypt.org/t/time-zone-problem-with-issue-date/3151/11
あえて1時間ずらしてるらしい。時計が多少狂っていても大丈夫なように。

174 :名無しさん@お腹いっぱい。:2015/12/25(金) 22:30:16.70 0
>>171
そもそも共用サーバじゃできないよ

175 :名無しさん@お腹いっぱい。:2015/12/25(金) 23:44:44.98 0
>>174
何が出来ないのさ?

176 :名無しさん@お腹いっぱい。:2015/12/25(金) 23:53:03.77 0
おまえさんの使ってるどこぞの共用サーバは独自SSLが使えると仕様にあるのかい?

177 :名無しさん@お腹いっぱい。:2015/12/26(土) 00:01:51.12 0
>>176
本当に知らんのか?
http://www.sakura. ne.jp/news/sakurainfo/newsentry.php?id=1018
https://help.sakura. ad.jp/app/answers/detail/a_id/2326/~/ssl%E3%82%92%E5%88%9D%E3%82%81%E3%81%A6%E8%A8%AD%E5%AE%9A%E3%81%99%E3%82%8B

つーか、お前>>171のリンク先見てないだろ? 👀
Rock54: Caution(BBR-MD5:0dc23c366b23c59a9fe320a62dd69b5a)


178 :名無しさん@お腹いっぱい。:2015/12/26(土) 00:23:47.38 0
アフィリブログ踏めとかワロタ

179 :名無しさん@お腹いっぱい。:2015/12/26(土) 00:25:44.43 0
>>178
恥ずかしい奴だな

180 :名無しさん@お腹いっぱい。:2015/12/26(土) 00:32:27.12 0
リンク踏めとかウィルス製作者がよく言うセリフだな
通報しておいた

181 :名無しさん@お腹いっぱい。:2015/12/26(土) 00:36:24.47 0
Cautionって書いてあるしな

182 :名無しさん@お腹いっぱい。:2015/12/26(土) 02:08:20.88 0
伊藤正典さん?

Registrant Name: MASANORI ITO
Registrant Organization: MSNR.NET
Registrant Email: POSTMASTER@MSNR.NET
Created Date: Sunday, December 16th, 2001
Updated Date: Sunday, November 17th, 2013
Expires Date: Friday, December 16th, 2016
Admin Name: MASANORI ITO
Admin Organization: MSNR.NET
Admin Email: POSTMASTER@MSNR.NET

183 :名無しさん@お腹いっぱい。:2015/12/27(日) 10:58:50.18 0
こういう知ったかをなんとかして欲しいわ

184 :名無しさん@お腹いっぱい。:2015/12/27(日) 22:19:33.85 0
粘着って何処でスイッチが入るか分からんね。

185 :名無しさん@お腹いっぱい。:2015/12/27(日) 23:53:53.89 0
知識をひけらかそうとしたら、無知を露呈させちゃって顔真っ赤になったんでしょ
素直に知らなかったと認めれば良いのに、関係ない事にいちゃもんつけたあげく、
あまつさえ無関係なブログの人を晒すとか・・・
いくら公開情報だからって非常識すぎ

186 :名無しさん@お腹いっぱい。:2015/12/28(月) 10:17:57.80 0
>>171
>>177

さくらのレンタルサーバーでも、Let's Encryptを使えるということですが、
でも、Let's Encryptって、動的に短期間で更新処理を行ってroot権限で再配置する必要があったんじゃなかったんですか?

187 :186:2015/12/28(月) 10:33:08.20 0
>>186自己レス

>>171のリンクを読みました。
更新処理用のマシン(root)を別途用意してますね。
でも、証明書のアップロードは手動なんですか。
90日ごとに手動でこの操作が必要なの?

188 :名無しさん@お腹いっぱい。:2015/12/28(月) 11:20:41.70 0
いやまあポート80、、という1024以下のポート使うならroot必須だろう

189 :名無しさん@お腹いっぱい。:2015/12/28(月) 11:37:12.39 0
>>188
デーモンを起動することを言っている?

190 :名無しさん@お腹いっぱい。:2015/12/28(月) 11:38:44.88 0
あと証明書の同期は手動でも自動でも好きにしたらいいじゃん

191 :名無しさん@お腹いっぱい。:2015/12/28(月) 11:40:30.42 0
>>189
ポート80で受けるならその時点ではrootが必要なのは当たり前、という話
わざわざrootて書いてるからさ

192 :名無しさん@お腹いっぱい。:2015/12/28(月) 11:41:50.64 0
どいつもこいつも

193 :名無しさん@お腹いっぱい。:2015/12/28(月) 11:43:02.18 0
>>190
証明書の同期?crontab?
そして、RSYNCで?、FTP?、SCP?

疑問
1、証明書関係のファイルのコピー(同期)って、
さくらのレンタルサーバーでできるの?
やったことがないから知らないが、証明書って特定のディレクトリに収める必要があって、
そこの書き込みにはroot権限が要るんじゃない?

2、さくらのレンタルサーバーで、同期の手段って、どっちの方向へアクセスできる?
さくらレンタルサーバー → 取得専用自分マシン
取得専用自分マシン → さくらレンタルサーバー

194 :名無しさん@お腹いっぱい。:2015/12/28(月) 11:47:30.28 0
>>191
>ポート80で受ける
?postで証明書ファイルを受けるの?それは怖いことだ。

195 :名無しさん@お腹いっぱい。:2015/12/28(月) 11:51:32.25 0
ドメインが有効かを向こうが80でアクセスしてくるだろ
仕組みもよく知らんで茶々いれてんじゃないよ

196 :名無しさん@お腹いっぱい。:2015/12/28(月) 11:53:36.39 0
サクラの共有よくしらんけど、VirtualHost使ってんじゃないの?
だったらその定義ファイルに証明書の場所書いてあるはずだし
そこがrootである必要はない

197 :名無しさん@お腹いっぱい。:2015/12/28(月) 12:09:34.61 0
さくらの共用の話はさくらの共用鯖スレでやれよ

198 :名無しさん@お腹いっぱい。:2015/12/28(月) 14:56:16.94 0
ヘルプ見れば解決するやろ
何を見当違いな話しとんや?
無料っていろいろと危険なんやなぁ

199 :名無しさん@お腹いっぱい。:2015/12/28(月) 16:35:58.82 0
これだけ情報出てて理解できない奴は諦めろよ。

200 :名無しさん@お腹いっぱい。:2015/12/28(月) 17:53:37.03 0
Let's Decrypt

201 :名無しさん@お腹いっぱい。:2015/12/28(月) 18:10:51.44 0
レンタル系の特殊な環境は別でスレたてれば?w

202 :名無しさん@お腹いっぱい。:2015/12/29(火) 21:32:12.22 0
複数のサーバーの証明書を1台の親玉サーバーで一元管理(取得・更新・配布)したい場合
webroot モードで NFS で /var/www/〜 を共有するか、manual モードでやるしかないっぽいけど
なんかもっといい方法ないかな

有効期限短いからcron自動化したいけど、各サーバーに lets クライアントを入れて回るのは嫌だな

203 :名無しさん@お腹いっぱい。:2015/12/29(火) 23:35:22.74 0
>>202
rsyncで、マスターマシン内の証明書を、他のマシンと同期するとかは?

204 :名無しさん@お腹いっぱい。:2015/12/30(水) 01:23:44.93 0
放置する阿呆がいるからこまめに面倒見るようにと1年更新じゃないのに
阿呆はさらに余計なことをしようと

205 :名無しさん@お腹いっぱい。:2015/12/30(水) 07:29:07.37 0
もし証明書が中途半端になってるとアウトだから自動更新はしたくないけどな。

206 :名無しさん@お腹いっぱい。:2015/12/30(水) 10:10:24.58 0
自動化はサーバーの基本だろ

207 :名無しさん@お腹いっぱい。:2015/12/30(水) 13:33:46.66 0
リバースプロキシサーバをたてて、そこでまとめてSSL化すればいい
バックのサーバ群はSSLしない
ただいろいろと修正がいるだろうけど

208 :名無しさん@お腹いっぱい。:2015/12/30(水) 16:57:06.46 0
>>207
それが一番いいな

209 :sage:2015/12/30(水) 22:35:33.54 0
ブラウザで取得できるらしい。
ttps://sslnow.ml/
誰か試してみて

210 :名無しさん@お腹いっぱい。:2015/12/30(水) 23:01:50.13 0
テメェで確認しろ

211 :softbank.jp:2015/12/31(木) 10:25:07.77 0
TLS 1.0、AES 256 / 256 ビット暗号 (高); RSA / 2048 ビット交換

sha1RSA

CN = avast! Web/Mail Shield Root
O = avast! Web/Mail Shield
OU = generated by avast antivirus for SSL/TLS scanning


https://my.softbank.jp/msb/d/top
TLS 1.0、RC4 / 128 ビット暗号 (高); RSA / 2048 ビット交換

TLS 1.0、Triple DES / 168 ビット暗号 (高); RSA / 2048 ビット交換
TLS 1.0、AES 128 / 128 ビット暗号 (高); RSA / 2048 ビット交換
TLS 1.0、AES 256 / 256 ビット暗号 (高); RSA / 2048 ビット交換

https://www.virustotal.com/en/file/7b6af39264f866465b0d68e0a57ba08bba6c28cb2b1f47e9f7b5767c017680be/analysis

212 :名無しさん@お腹いっぱい。:2016/01/04(月) 21:59:17.11 0
さくらのレンタルサーバ上で使う方法は、
--manualするの面倒で別のFreeBSDマシンからsshfsして--webroot指定で取得したんだが
まとめるの面倒なのでやってないけど分かる人には分かるってことで。
なので、CentOSからでもsshfsいければいけるはず。

あとはコントロールパネルから手動でアップロードしないといけない点については
スクリプト書けばよさそうだけど、まだ書いていない。

213 :名無しさん@お腹いっぱい。:2016/01/04(月) 22:22:51.82 0
"All ISRG keys are currently RSA keys. We are planning to generate ECDSA keys in early 2016."
https://letsencrypt.org/certificates/ より

ECDSAが無料で体験できるのが待ち遠しいなぁ
RSAとECDSAのDual署名はopensslが対応しているのでapache他多数でも使えるハズ

214 :名無しさん@お腹いっぱい。:2016/01/08(金) 02:05:25.98 0
ssl/tslでは、どのタイミングで、設定されたドメイン名が使われるんですか?
自分のドメイン名を設定する意味がいまいちピンとこなくて。

215 :名無しさん@お腹いっぱい。:2016/01/08(金) 08:29:16.99 0
>>214
そりゃ、アクセスされた時でしょ。
証明書に書いてあるドメイン名とアクセスしてるドメイン名が一致してますよって証明書だよ。

216 :名無しさん@お腹いっぱい。:2016/01/08(金) 15:21:46.72 0
>>215
ありがとうございます。

クライアント側が、
サーバ証明書に記載されているサーバのドメイン名と、自分がアクセスしている先のドメイン名とを
照合しているってことかな。

なんか緩いなあと感じるが、
サーバ証明書は、第三者機関からデジタル署名を受けているんだよね。
でもそれって、含まれている公開鍵だけじゃなかったっけ。
その署名された公開鍵にも、サーバのドメイン名って含まれているのかな。
それなら、冒頭の、クライアント側でのドメイン名の照合には意味があるね。

217 :名無しさん@お腹いっぱい。:2016/01/08(金) 16:19:52.75 0
いろいろ突っ込みたいが、とりあえず板違いと思う

218 :名無しさん@お腹いっぱい。:2016/01/09(土) 12:17:01.50 0
先生!! これ letsencrypt-auto に任せず手動で出来るもんなのでしょうか
letsencrypt-auto の中身みてみたらどうもpythonのvirtualenvが必須のようで、
しかも自動でgccとか触って欲しくないものを強制的に更新・インストールしようとしてくれちゃうのでさっき実行しかけて慌てて止めました
最低限不要なものをインストールしないで済むなら、少々.shなり.plなり書く労力は受け容れるんですが

219 :218:2016/01/09(土) 14:02:15.45 0
すまん自己解決しました
letsencrypt-nosudoで、途中関係ない問題が出て手間取ったけどもあっさりできた
あとでこれ参考にcronで走らせられる完全自動化バッチか何か書くことにします

220 :名無しさん@お腹いっぱい。:2016/01/09(土) 23:37:52.01 0
うむ。gcc はともかく、python のライブラリやそれが依存するライブラリが色々入るのはあまり歓迎しない。

しかも、最初のドメイン名やメールアドレスの対話入力のためだけにTUIの環境が要求されるのは
なんじゃそりゃーと思った

CUIでいいじゃんね…

221 :名無しさん@お腹いっぱい。:2016/01/09(土) 23:46:38.09 0
>>216
>クライアント側が、
>サーバ証明書に記載されているサーバのドメイン名と、自分がアクセスしている先のドメイン名とを
>照合しているってことかな。

YES.
もちろんその証明書の正当性有効性自体も。

>サーバ証明書は、第三者機関からデジタル署名を受けているんだよね。

YES.

>でもそれって、含まれている公開鍵だけじゃなかったっけ。

NO.

222 :名無しさん@お腹いっぱい。:2016/01/10(日) 01:29:13.49 0
好きなの使えばいい

https://community.letsencrypt.org/t/list-of-client-implementations/2103

223 :名無しさん@お腹いっぱい。:2016/01/12(火) 10:35:21.50 0
こんなとこにスレあったのか
いつの間に・・・

224 :名無しさん@お腹いっぱい。:2016/01/13(水) 23:03:20.93 0
しかし、説明どおりにやって cron 登録までいくと
大して話題が無いという…

225 :名無しさん@お腹いっぱい。:2016/01/13(水) 23:18:28.74 0
ところで80番開けてないと更新できないの?
できればweb鯖止めたくないなーと

226 :名無しさん@お腹いっぱい。:2016/01/13(水) 23:21:19.34 0
あるよ

227 :名無しさん@お腹いっぱい。:2016/01/13(水) 23:50:00.77 0
Let'sEncryptのIPだけ別マシンにルーティングすればいいか

228 :名無しさん@お腹いっぱい。:2016/01/14(木) 01:29:02.91 0
いつIPが変わるかわからんけどな

229 :名無しさん@お腹いっぱい。:2016/01/14(木) 02:12:02.42 0
広告ウイルスに悪用されたんだってよ

230 :名無しさん@お腹いっぱい。:2016/01/14(木) 09:25:40.12 0
>>228
最初にweb鯖止めないで公式蔵動かして繋いできたそれっぽいリモホのIP使えばええんやろ

231 :名無しさん@お腹いっぱい。:2016/01/14(木) 15:52:02.94 0
>>224
cron の周期はどれくらい?
毎週?

232 :名無しさん@お腹いっぱい。:2016/01/14(木) 17:04:52.37 0
>>229
最近のアンチウィルスソフトはSSL通信の監視も出来るけど
そのためにオレオレ証明書を入れてクライアントを騙したりするし
SSL通信の内容がアンチウィルスソフトメーカーに筒抜けになる気がして
機能OFFにしてるんだよなぁ

Let's Encryptの登場で今後不正サイトがSSL/TLS化されるって言われてるし、
監視しないと心配になってきたな

233 :名無しさん@お腹いっぱい。:2016/01/14(木) 20:27:42.19 0
証明書が悪用されたと発覚しても revoke しないポリシーってどうなんだ。
イタチごっこなのはわかるんだが。

以下ちょっと長い引用

>Let's Encryptは証明書を発行する前にGoogleのSafe Browsing APIを用いてドメインが
>悪用されていないか確認しているが、発行後の確認は行っていない。
>Trend Microのブログ記事では発行後にドメインの悪用が確認された場合、認証局が証明書を
>取り消すべきだと主張する。

>一方、Let's Encryptのサービスを提供するInternet Security Research Group(ISRG)の
>Josh Aas氏は発行後の取り消しについて、効果的でなく現実的でもないとしている。

234 :名無しさん@お腹いっぱい。:2016/01/14(木) 21:54:17.88 0
Let's Encryptの証明書、不正広告攻撃に悪用される
http://srad.jp/story/16/01/10/1837213

235 :名無しさん@お腹いっぱい。:2016/01/14(木) 22:19:33.43 0
まあ期限を短くしてくのが効果的だろうね
そもそも現状の証明書の扱いに問題があるわけだけれども

236 :名無しさん@お腹いっぱい。:2016/01/14(木) 22:56:47.10 0
>>234
証明書発行機関はインターネットの警察ではない
DV証明書はそのドメインと暗号化通信していることを保証するだけでそのサイトの善悪までは知らん

というのはエンジニアとしてはものすごく正しいことを言っているのだが
実際にインターネットを利用して被害にあうエンドユーザーには通じない

最終的にLet'sの証明書は信用できない、Let'sはウィルス、マルウェア被害を助長する悪の組織、
みたいにならなければいいけど

237 :名無しさん@お腹いっぱい。:2016/01/14(木) 23:18:54.14 0
もうなりつつあるんじゃないかなぁ
多数の人の中で証明書の正しさとSSL/TLSであることがごっちゃになってるし

238 :名無しさん@お腹いっぱい。:2016/01/14(木) 23:27:15.43 0
例えば無料DV証明書でも

example.com + www.example.com の証明書は取れても
それのサブドメイン sub.example.com は取れないみたいな制限あること多いよね
あとは親ドメインの証明書を他の人が取ってたらそれのサブドメインの証明書は取れないみたいなのとか

Let's Encrypt ってそーいう制限ないから domain shadowing と相性ピッタリなんだよね

239 :名無しさん@お腹いっぱい。:2016/01/14(木) 23:39:37.41 0
他人がどうやってサブドメインできるの?

240 :名無しさん@お腹いっぱい。:2016/01/14(木) 23:45:37.58 0
例えば無料のHPでサブドメインが割り当てられるなんてのはよくあるやつだろ

241 :名無しさん@お腹いっぱい。:2016/01/14(木) 23:48:47.11 0
>>239
domain shadowing

242 :名無しさん@お腹いっぱい。:2016/01/15(金) 00:42:06.65 0
責任の所在がどこにあるかは別にして
被害者を少しでも減らすためにもうちょっと対策考えるべきじゃね
義務じゃないけど努力義務的な感じで

トレンドマイクロから通報されてrevokeするのがそんなに大変な作業かね

243 :セキュリティ証明書には問題があります:2016/01/15(金) 00:54:26.45 0
この Web サイトのセキュリティ証明書には問題があります。

http://nakedsecurity.sophos.com/2013/05/27/anatomy-of-a-change-google-announces-it-will-double-its-ssl-key-sizes/

この Web サイトで提供されているセキュリティ証明書にはエラーがあるため、
信頼しないでください。
セキュリティ証明書の問題によって、詐欺や、お使いのコンピューターから
サーバーに送信される情報を盗み取る意図が示唆されている場合があります。

244 :名無しさん@お腹いっぱい。:2016/01/15(金) 09:27:06.60 0
>>242
まあむこうの考える理想としてそういうことをやってはいけないのだろう
現状を変えたいのだと

245 :名無しさん@お腹いっぱい。:2016/01/15(金) 11:26:21.77 0
今のままじゃブラウザで不正証明書の警告が出ないオレオレ証明書と同じじゃないか

246 :名無しさん@お腹いっぱい。:2016/01/15(金) 11:41:11.89 0
同じだよ?
全くその通りだしめざしてるのはそれだろ
目的は単純な暗号化なんだから

247 :名無しさん@お腹いっぱい。:2016/01/15(金) 11:56:38.71 0
正しい証明書であることとサイトの信頼性はまったくべつのはなしだ
DV証明書ってそういうものだろ、という、繰り返されたいつものやつ

248 :名無しさん@お腹いっぱい。:2016/01/15(金) 12:05:32.59 0
だが消費者は納得しない
なぜかといえばブラウザが緑になるせいでhttps=安心安全と教育されてきたから

249 :名無しさん@お腹いっぱい。:2016/01/15(金) 12:14:50.59 0
緑になるのはEVだしかなり最近の話だな

鍵マークみたいなのが出るのは昔からだが
まぁ鍵マークとURLを確認=安全って教えられてるわな

250 :名無しさん@お腹いっぱい。:2016/01/15(金) 12:16:43.45 0
>>249
緑に関してはもちろんそうだけどもEVとDVの違いをちゃんと理解して使ってる奴がどのくらいいるのかとね

251 :名無しさん@お腹いっぱい。:2016/01/15(金) 12:20:28.94 0
「このWebサイトは認証されています。このサイトとの通信は安全です」
 ↓
通信は安全だけど、サイト自体はフィッシングサイトかもしれない、ウィルス流し込まれたかもねー

って一般には理解できんと思うが、そーいう目的だと言われたらもうここの発行した証明書を
ブロックするしかないな

252 :名無しさん@お腹いっぱい。:2016/01/15(金) 14:29:43.02 0
>>251
だったら、RapidSSL とかグローバルサインとか含めて、DV証明書全部ブロックしたら?
DV証明書っていうのはそういうもんだからね
言っとくけど、フィッシング詐欺やらウイルス配布やらに悪用されているDV証明書なんて山ほどあるから
Let's Encrypt を糞会社のトレンドマイクロが叩いただけで、それ以外の既存の大手CAのDV証明書だってフィッシングサイトなどに悪用されてる

サイトを信頼したいなら、その法的に実在している法人や団体が運営していることを証明している
アドレスバーが緑色になるEV証明書だけ信頼していればいいでしょ


文句いってるトレンドマイクロの方が明らかにおかしなセキュリティ会社なんだけどね
トレンドマイクロの「パスワードマネージャ」が、localhostでNode.jsを使ってHTTPサーバーを実行していて、
全世界から任意のコードを実行できて、記録されたパスワードも盗用可能という致命的な脆弱性があるという糞会社だからセキュリティを語る資格はない
てか、パスワードマネージャに HTTPD が入ってるとか、脆弱性以前にバックドアとしか言いようがない糞設計だよね
ウイルス対策ソフト自体も誤検出放置で信頼性皆無だし

http://it.srad.jp/story/16/01/14/0853225/

253 :名無しさん@お腹いっぱい。:2016/01/15(金) 18:55:27.50 0
こういうことが続いてLet'sの証明書が信用失ってブロックされたら困るよねーって話だし

トレンドマイクロ叩きとかどうでもいいし

何ヒートアップしてんの

254 :名無しさん@お腹いっぱい。:2016/01/15(金) 18:57:36.35 0
全ては無知な大衆が悪い

255 :名無しさん@お腹いっぱい。:2016/01/15(金) 21:11:13.99 0
なんかここではDV証明書の議論になってるけど

トレンドマイクロが危惧してるのは今回の domain shadowing の手法と
サブドメインだけで証明書を取りまくれる仕様の合わせ技って
ところじゃないかな

もちろん他にもそういうザル認証局はあるんだろうけど、Let's Encrypt は自動化しやすいし…

ほら、無職ニートとかが変態的犯罪を起こすと「犯人の自宅にはアニメのDVDが大量にあり…」
みたいな恣意的な報道されるじゃん? あんな感じでさ

今回の件で Let's Encrypt が悪いとは思わないけど
今後 Let's Encrypt が悪者にされるのは心配だよね

256 :名無しさん@お腹いっぱい。:2016/01/15(金) 23:27:21.86 0
証明書で証明できるものは、公開鍵の正当性だけ
公開鍵証明書という正式な名称使った方が誤解ない

257 :名無しさん@お腹いっぱい。:2016/01/16(土) 00:24:22.54 0
で、その公開鍵証明書にはサーバー用、クライアント用、S/MIME用、アプリ署名用とかいろいろあって
それを区別するためにだな。。。

258 :名無しさん@お腹いっぱい。:2016/01/16(土) 00:26:26.02 0
>>257
サーバー用公開鍵証明書、
クライアント用公開鍵証明書、
S/MIME用公開鍵証明書、
アプリ署名用公開鍵証明書

という正式な名称使った方が誤解ない

259 :名無しさん@お腹いっぱい。:2016/01/16(土) 02:35:20.81 0
イヤなら金払ってもっと上の証明書を使うなりすればいいじゃない。
俺はそれがイヤだから無料の Let's Encrypt を使っているだけというね。
暗号化経路さえ確保出来ていればそれでいいよ。

260 :名無しさん@お腹いっぱい。:2016/01/16(土) 11:04:36.54 0
そう言う話ではないと思うが

261 :名無しさん@お腹いっぱい。:2016/01/17(日) 00:38:25.41 0
>>260
暗号化とデータの保証では駄目なん?

262 :名無しさん@お腹いっぱい。:2016/01/17(日) 00:49:40.72 0
またDV証明書の問題に論点すり替えか

263 :名無しさん@お腹いっぱい。:2016/01/17(日) 12:28:29.61 0
>>262
今時大手CAもDV証明書売ってるし、フィッシングサイトが HTTPSに対応しているなんてのは今時当たり前(大手CAのDV証明書利用)であって、いちいちニュースにもならない。
ニュースになったとしても、○○銀行のフィッシング詐欺サイトがどうのこうのと注意喚起されるだけで、どこの証明書が使われたなんてのは記事にならない(実際どうでもいいし)。

ところが Let's Encrypt の証明書が使われたときだけ騒ぐというのは嫌がらせとしか思えない
大手CAと違って広告費払ってくれない非営利団体運営だから、叩きやすいんだろうね
一方、DVやってるジオトラストは、シマンテック・ベリサイン系列だから気軽に叩く訳にはいかんだろうし

264 :名無しさん@お腹いっぱい。:2016/01/17(日) 13:15:52.43 0
最初の発行時だけ手動の操作による認証が必要にすればいいんじゃないのかな?
自動化は更新だけで十分だよね

265 :名無しさん@お腹いっぱい。:2016/01/17(日) 15:44:56.75 0
>>264
そんなことはジオトラストとかの大手DVもやってなくて機械的に取れるんだけど

だいたい、手動による認証ってなんか意味あるの?
証明書取得時だけ普通のサイトっぽくして、証明書取得後にフィッシングサイトに書き換えられたら終わりじゃん
もうちょっと考えてから書き込んだら?

266 :この Web サイトのセキュリティ証明書には問題があります:2016/01/17(日) 15:46:37.77 0
  /;;;;;;;;;;;;;;;;:.

   i;;;」'  __ __i

   |;;|  '・`, '・`{
  (6|}.   ・・ }   嫌なら使うな!
    ヽ 'ー-ソ
    ノ、ヽ_/
   /,   ヽ
  ト,.|   ト|

267 :名無しさん@お腹いっぱい。:2016/01/17(日) 15:47:34.51 0
手動による認証ってなんだ?
電話やSMS確認でもするんか?

大概のことは自動化余裕だぞ

268 :名無しさん@お腹いっぱい。:2016/01/17(日) 16:27:20.78 0
>>266
なにを?

269 :オレオレ証明書:2016/01/17(日) 16:37:38.76 0
https://support.microsoft.com/ja-jp/kb/931850

この Web サイトのセキュリティ証明書には問題があります。
https://www.knaw.nl/nl

sha384WithRSAEncryption
TLS 1.0、AES 256 / 256 ビット暗号 (高); RSA / 4096 ビット交換

オレオレ証明書
Program Files\CSR\CSR Harmony Wireless Software Stack
cert_install.bat
@ECHO OFF
cd .
call certmgr.exe /add HarmonyTest.cer /s /r localMachine root
call certmgr.exe /add HarmonyNewTest.cer /s /r localMachine root
Harmony(Test).cer
HarmonyNew(TEST).cer
bluetooth
bluetooth追加後、証明書が書き込まれる。
https://www.ssllabs.com/index.html
TLS 1.0、Triple DES / 168 ビット暗号 (高); RSA / 2048 ビット交換
kb3081320
WEPOS および POSReady 2009 のセキュリティ更新プログラム (KB3081320)

schannel.dll

270 :このページは表示できません:2016/01/17(日) 16:39:08.73 0
https://my.softbank.jp/msb/d/top
TLS 1.0、RC4 / 128 ビット暗号 (高); RSA / 2048 ビット交換

このページは表示できません
https://media.defcon.org/

sha512RSA
DigiCert SHA2 High Assurance Server CA

https://trinlink.tmfhs.org/EpicCareLink/common/epic_login.asp

TLS 1.0、AES 256 / 256 ビット暗号 (高); RSA / 2048 ビット交換

271 :名無しさん@お腹いっぱい。:2016/01/17(日) 17:02:32.38 0
>>268
時々現れる荒らしだからスルーな

272 :この Web サイトのセキュリティ証明書には問題があります:2016/01/17(日) 22:59:27.42 0
  σ < マイクロソフトの営業よ
 (V)    ヨドバシカメラのPC売り場に出かけて
  ||     「嫌なら使うな」の腕章付けて販促活動して欲しいわ
       受けること間違いなしwwww

273 :名無しさん@お腹いっぱい。:2016/01/23(土) 01:53:53.03 0
./letsencrypt-auto certonly --webroot -w /var/www/http/ -d example.com -w /var/www2/http/ -d hoge.com --agree-tos
./letsencrypt-auto: line 104: [: too many arguments
./letsencrypt-auto: line 106: [: too many arguments
Updating letsencrypt and virtual environment dependencies..../letsencrypt-auto: line 186:
/root/.local/share/letsencrypt/bin/pip: そのようなファイルやディレクトリはありません

CentOS5.11とpython2.6はあかんのか?

274 :名無しさん@お腹いっぱい。:2016/01/23(土) 02:05:00.95 0
pip install -U pip

275 :名無しさん@お腹いっぱい。:2016/01/23(土) 03:55:52.51 0
Python は 2.7〜じゃなかったっけか

276 :名無しさん@お腹いっぱい。:2016/01/23(土) 09:38:48.70 0
docker

277 :名無しさん@お腹いっぱい。:2016/01/23(土) 10:24:26.70 0
SCLは6系からだっけ?
既存環境壊したくなければ、chroot環境作るとか
#言ってはみたが試してはいない

278 :名無しさん@お腹いっぱい。:2016/01/23(土) 11:35:00.08 0
サブドメインが違うのを何個か作ったら制限でアウトになった。
この制限って、どんな時に発動して、どうやったら解除?

279 :名無しさん@お腹いっぱい。:2016/01/23(土) 11:41:41.99 0
俺は5個発行できたが

280 :名無しさん@お腹いっぱい。:2016/01/23(土) 12:00:16.04 0
python は 2.6 だと「古くてもうメンテされてないよ」って警告出るだけで
使えないわけではない

最初はいちいちうざいけど crontab に登録してしまえばどうでもよくなる
他のクライアント使ってもいいし

281 :名無しさん@お腹いっぱい。:2016/01/23(土) 13:31:52.00 0
domain shadowingって具体的にどういう手法なの?
ググってもよくわかんないんだけど

282 :名無しさん@お腹いっぱい。:2016/01/23(土) 13:33:05.27 0
下に作って上のをGET

283 :名無しさん@お腹いっぱい。:2016/01/23(土) 13:38:21.28 0
要するに
レジストラのアカハックしてサブドメイン作ったら
それを種に他のサブドメインの証明書も作れる
こういうこと?

284 :名無しさん@お腹いっぱい。:2016/01/23(土) 13:42:00.40 0
ちゃうねん
www.yahoo.co.jpがあるとするやろ
ad.yahoo.co.jpを作ってそれを自分の鯖に向けて証明書を取得
そしてそこでフィッシング詐欺みたいな感じでユーザー情報GET

285 :273:2016/01/23(土) 14:09:55.58 0
https://github.com/lukas2511/letsencrypt.sh
↑これでいけた
centosでコケた人はお試しあれ

286 :名無しさん@お腹いっぱい。:2016/01/23(土) 15:04:42.28 0
>>284
> ad.yahoo.co.jpを作って
これどうやるの?

287 :名無しさん@お腹いっぱい。:2016/01/23(土) 15:07:57.51 0
>>283

288 :名無しさん@お腹いっぱい。:2016/01/23(土) 15:40:34.77 0
>>286
自分がドメイン乗っ取りやフィッシングなどの犯罪行為の方法をkwsk質問してる自覚ある?

289 :名無しさん@お腹いっぱい。:2016/01/23(土) 15:44:03.50 0
>>288
攻撃方法を知れば防御もできると思うぞ

290 :名無しさん@お腹いっぱい。:2016/01/23(土) 15:49:22.14 0
>>281
http://security.srad.jp/comments.pl?sid=676026&cid=2947587 に書かれている
レジストラの垢をフィッシング詐欺その他で乗っ取って、DNSのAレコードを書き換える攻撃のこと

>>283
そういうこと

>>284
> ad.yahoo.co.jpを作ってそれを自分の鯖に向けて証明書を取得
その ad というサブドメインを yahoo.co.jp に追加するために、ヤフー株式会社が所持しているレジストラアカウントを乗っ取るのが
domain shadowing という攻撃方法

単なるレジストラアカウントの乗っ取りで合って、別に目新しい攻撃方法ではないけど
・メインのAレコード(@ や www)を書き換えないので、ドメイン所有者が攻撃に気が付きにくい
・ブラウザやセキュリティソフトは長年使われていた正規サイトのサブドメインのため、ヒューリスティック判定で詐欺サイトとして自動検出しない
ってだけ

その不正につくったサブドメインにLet's Encryptの証明書が使われたと大騒ぎしているのがトレンドマイクロだけど
色々ブーメランなことになったので、トレンドマイクロはそのLet's Enbcrypt批判の記事を修正した

291 :名無しさん@お腹いっぱい。:2016/01/23(土) 16:10:54.40 0
なるほどレジストラのアカウント乗っ取るなんて大がかりなことやるなら
Let's Encryptの証明書が使われるとか些細なことだな

292 :名無しさん@お腹いっぱい。:2016/01/23(土) 16:21:19.63 0
お名前みたいなDNSサービスもやってるところはそうだけど
別にレジストラじゃなくてもDNSサーバー乗っ取ればいいわけで
それ自体は昔からある手法
サブドメインをこっそり乗っ取るのが最近の流行

293 :名無しさん@お腹いっぱい。:2016/01/23(土) 18:12:12.98 0
DNSサーバを乗っ取るって・・・
DNSサービスではなくて?

サーバ乗っ取れるならWEBサーバ乗っ取ればいい
そうすればSSLなんて取得する必要ない
なんせ本物のサイトが弄りたい放題なのだから

294 :名無しさん@お腹いっぱい。:2016/01/23(土) 20:42:01.55 0
>>293
普通速攻気付かれて修正されておわりだよね。

295 :名無しさん@お腹いっぱい。:2016/01/23(土) 21:05:00.00 0
DNSサーバ乗っ取られるような会社なら
コンテンツイジられようが配下ディレクトリになんらかのコンテンツ設置されようが
気がつかないと思うぞ

296 :名無しさん@お腹いっぱい。:2016/01/23(土) 21:19:51.79 0
キャッシュ毒とかのことかな
権威サーバー乗っ取られるのは、さすがに論外な気がする

297 :名無しさん@お腹いっぱい。:2016/01/23(土) 22:24:28.39 0
要するにサブドメインでその上の認証がとれるってことでしょ
サブドメイン型ホスティング使ってたら同居人に証明書発行されてるかも知れないと
さすがに仕様が悪いんじゃないか

298 :名無しさん@お腹いっぱい。:2016/01/23(土) 22:39:55.76 0
お前は何を言ってるんだ?

299 :名無しさん@お腹いっぱい。:2016/01/23(土) 22:47:28.32 0
理解できなかっただけでしょほっとけよ
アホは書き込み禁止で

300 :名無しさん@お腹いっぱい。:2016/01/23(土) 22:51:21.55 0
>>293
だーかーらー
そーいう派手な乗っ取りをすると

>>294
の言うように気付かれやすいから

こっそりサブドメインを作って A レコードで別サイトに誘導するってのが
domain shadowing っていうのさ

これ以上反論したいならセキュリティ専門家とでも議論してくれ

301 :名無しさん@お腹いっぱい。:2016/01/23(土) 23:37:28.88 0
>>300
んなもん分かってる

お前がいきなり
> 別にレジストラじゃなくてもDNSサーバー乗っ取ればいいわけで
> それ自体は昔からある手法
まるでアカウント乗っ取るよりサーバ乗っ取る方が簡単みたいな事言い出したから

302 :名無しさん@お腹いっぱい。:2016/01/23(土) 23:39:35.30 0
日本語力たりねえなぁ・・・書き込むなよ

303 :名無しさん@お腹いっぱい。:2016/01/24(日) 00:05:40.10 0
オマエモナー

304 :名無しさん@お腹いっぱい。:2016/01/24(日) 00:18:26.91 0
( ´∀`)

305 :名無しさん@お腹いっぱい。:2016/01/24(日) 03:30:01.76 0
  /;;;;;;;;;;;;;;;;:.

   i;;;」'  __ __i

   |;;|  '・`, '・`{
  (6|}.   ・・ }   馬鹿は使うな!
    ヽ 'ー-ソ
    ノ、ヽ_/
   /,   ヽ
  ト,.|   ト|

306 :名無しさん@お腹いっぱい。:2016/01/24(日) 13:01:09.58 0
また2ちゃんねるでオレ様情強アピールかよ。
どんだけキチガイ多いんだよ。

307 :名無しさん@お腹いっぱい。:2016/01/24(日) 19:12:57.94 0
別に間違えたって良いと思うけど、逆ギレしちゃうのだけは止めた方がいいw

308 :名無しさん@お腹いっぱい。:2016/01/24(日) 20:22:27.31 0
他の発行元はサブドメイン用DV証明書の発行にも非サブドメインのドメイン所有権というか使用権を確認してるのに
LEは当該サブドメインの使用権しか確認してなくて
世間一般の認識ではサブドメイン用証明書はドメイン所有権確認してあるはずとなってるから
サブドメインへのHTTPS通信はドメイン所有者の責任があると認識されるが

309 :名無しさん@お腹いっぱい。:2016/01/24(日) 20:23:33.84 0
途中で送っちゃった


LEはそう考えてなくて考え方のギャップでTMが因縁つけてるカンジか

310 :名無しさん@お腹いっぱい。:2016/01/24(日) 21:47:35.98 0
そもそも暗号化するってだけで確認も何も無かろう。
これまでの考え方自体おかしいんでしょう。
存在確認とか、所有者確認とは別の仕組みにすべきって事の方が理にかなってるってのは誰にでも分かる事

311 :名無しさん@お腹いっぱい。:2016/01/24(日) 22:01:58.66 0
さすがトレンドマイクロ

312 :名無しさん@お腹いっぱい。:2016/01/24(日) 22:59:35.03 0
そもそもオレオレ証明書でド派手な警告出るようなしくみになってるのが
世間の認識を歪めることになった元凶。

313 :名無しさん@お腹いっぱい。:2016/01/25(月) 00:09:04.16 0
>>310
OVで始まった歴史的経緯があるからね
そこをすっ飛ばしたら議論にならない

314 :名無しさん@お腹いっぱい。:2016/01/25(月) 00:11:16.53 0
本当だよ。あれを誤解してる奴にどれだけ説明した事か。
あの警告出す事にオッケー出してる事にも疑問。

315 :名無しさん@お腹いっぱい。:2016/01/25(月) 13:18:02.13 0
>>312 >>314
オレオレ証明書は、フィンガープリントの確認をしない限り、暗号化という意味でも安全ではないから
激しい警告を出すのは当然なんだが

例えば、安全でないアクセスポイント(クラッカーが運営)で無線LANを使っている場合、
オレオレ証明書のサイトを偽のオレオレ証明書に書き換え、www.example.com のサーバーへの接続を
クラッカーが運営するサーバへの接続(オレオレ証明書)に経路を書き換えることが可能

Let's Encrypt では二経路を改ざんしない限り、そういった悪用はできない。
証明書発行時にDNSのIP見てるので、

末端ユーザー ⇔ 無線LANアクセスポイント ⇔ ISP の経路だけではなく、
Let's Encrypt 証明書発行サーバ ⇔ DNSサーバ の経路も書き換えない限り、そういった不正ができなくなる

316 :名無しさん@お腹いっぱい。:2016/01/25(月) 14:13:21.92 0
いやそれDNS一つでええやん

317 :名無しさん@お腹いっぱい。:2016/01/25(月) 15:05:35.57 0
>>315 大丈夫かぁ?

318 :名無しさん@お腹いっぱい。:2016/01/25(月) 17:39:15.54 0
>>316
オリジナルのDNSサーバに毒入れできたら、Let's の証明書は取得できちゃうけど、それは困難

Let's の証明書取得時には、一般のユーザーが使うような毒入れ可能なDNSキャッシュサーバではなく
権限サーバに直接つないで照会かけてるだろうし

319 :名無しさん@お腹いっぱい。:2016/01/25(月) 20:24:56.18 0
だから暗号化と所有者確認は切り分けろよ

320 :名無しさん@お腹いっぱい。:2016/01/25(月) 21:42:50.21 0
>>319
PKIの基礎学べば分かると思うけど、ユーザー(ブラウザ)が暗号化に使う公開鍵が
期待する通信相手のものであることが明らかでない限り、その暗号化自体が何の意味も持たない
つまり、ドメインの所有者・正規使用者の確認というプロセスを省略して単に暗号化だけにした場合(オレオレ証明書の場合)
その暗号化という行為自体が技術的に無意味になるのよ

何故かというと、単に暗号化するだけなら、通信を傍受・改ざんするクラッカーによって、正規の通信相手の公開鍵がクラッカーの公開鍵にすり替えられていたら
クラッカーが通信内容を傍受・改ざんできてしまう


Let's Encrypt のDV証明書は、ドメインの正規利用者の公開鍵であることを認証しているので
example.com というドメインを信用するならば、ブラウザのアドレスバーが https://example.com/ で始まっていることとと
ブラウザが警告を発しないことを確認するだけで、そのドメインの正規利用者と安全に通信できる


ってことで、「暗号化と所有者確認は切り分け」は、技術的に無意味(公開鍵のすり替えに対抗できない)のでやる意味なし
(公開鍵のフィンガープリントを電話とか郵送とか安全な方法で受け渡せば公開鍵のすり替えはできなくなるが)

Let's がやってるDNSベースでの認証は、安全な通信のために必要な最低限度の行為なので削ることはできない

321 :名無しさん@お腹いっぱい。:2016/01/26(火) 02:11:20.74 0
なげーから読んでねーけど、
オレオレ証明書を使ってるようなサイトをどうにかしようとなんて時間と手間の無駄だから誰もやらない
だから安全

322 :名無しさん@お腹いっぱい。:2016/01/26(火) 12:42:01.63 0
オレオレは自分と一部の友人しか使わんから

323 :名無しさん@お腹いっぱい。:2016/01/26(火) 12:51:41.99 0
だったらオレオレCA作って、
その証明書をインポートしときゃいいじゃない

324 :名無しさん@お腹いっぱい。:2016/01/26(火) 15:11:46.21 0
いや、そのオレオレCAをポリシーで信頼してるわ

325 :sage:2016/01/27(水) 14:35:11.67 0
今日1カ月ぶりに更新したらできない
pip をアップグレードしろとか出てる
PIPなんて最初から入ってない。
前回は不要で今回から必要になったのか。

326 :名無しさん@お腹いっぱい。:2016/01/27(水) 15:00:12.19 0
は?
pip install -U pipさっさとしろよ

327 :名無しさん@お腹いっぱい。:2016/01/27(水) 15:11:21.35 0
試しにやってみたらそういうふうに言ってきたけど勝手にやってくれたみたいで
そのまま更新できた

328 :名無しさん@お腹いっぱい。:2016/01/27(水) 18:33:45.43 0
勝手にやってくれるって便利だとおもうけど、反面あぶねーからこええよw

329 :名無しさん@お腹いっぱい。:2016/01/28(木) 10:33:48.28 0
依存関係の解消ってどのインストーラーもこんな感じでは

330 :名無しさん@お腹いっぱい。:2016/01/29(金) 08:34:41.88 0
Let'snote のバッテリーのリコール対象が増えたぞ Let'snote 持ってる人は要確認だ!
http://askpc.panasonic.co.jp/info/160128.html

CF-S8/S9/S10シリーズ、またはCF-N8/N9/N10シリーズ (新たな対象機種)

かなり古い機種も含まれているので、これで数年前のバッテリーが新品に蘇るぞ
パナソニックは神対応だな

……ところで、なんでこんな板にLet'snoteスレがあるんだ?

331 :名無しさん@お腹いっぱい。:2016/01/29(金) 11:31:43.75 0
>>330
スレタイも読めない文盲乙

332 :名無しさん@お腹いっぱい。:2016/01/29(金) 19:53:50.93 0
証明書の更新が半年とかになればなー。

333 :名無しさん@お腹いっぱい。:2016/01/29(金) 21:00:30.42 0
自動にしてほっとけ

334 :名無しさん@お腹いっぱい。:2016/01/30(土) 10:51:59.80 0
言われているが、
cronなどでの自動更新前提

335 :名無しさん@お腹いっぱい。:2016/01/31(日) 11:26:27.64 0
レンタルサーバーだとめんどい。

336 :名無しさん@お腹いっぱい。:2016/01/31(日) 20:52:02.43 0
めんどいって、自動にする為のしょりがめんどいのか、自動処理出来ないから毎回めんどいのか。
レンタルサーバーだから自動処理出来ないってのなら、工夫すればできるはず。
ま、わからんならめんどい、って文句だけ言うしかないが。

337 :名無しさん@お腹いっぱい。:2016/01/31(日) 20:54:33.92 0
まあめんどいのは事実だしただの愚痴やろ

338 :名無しさん@お腹いっぱい。:2016/01/31(日) 22:46:37.84 0
こんな程度でめんどいと言っているようではおまえはうんたらかんたらって言いたいだけ

339 :名無しさん@お腹いっぱい。:2016/02/01(月) 08:06:06.34 0
今朝にセットしてたcron自動更新うまくいってた
これで一ヵ月毎とか2ヶ月毎に更新しとけば、短い有効期限も気にならないな

エラーになった時のリトライ考慮してないけど
まぁそん時は手動でいいや

340 :名無しさん@お腹いっぱい。:2016/02/01(月) 16:53:41.74 0
リトライさせるのは簡単では。
証明書の有効期限 n 日前になったら更新させる
って処理にして cron で回す周期を数日おきにすれば
エラーがあってもまた数日後、次の実行時に処理出来る。

openssl x509 -checkend
これ使うと良いね。

341 :セキュリティ証明書には問題があります:2016/02/02(火) 00:35:58.97 0
https://api.2ch.net/

この Web サイトのセキュリティ証明書には問題があります。

https://www.virustotal.com/ja/url/3a7f1e291d79d6ada135fe19e2153d723c165bbd019b4d66f70c9f973545caca/analysis/1454339116/

342 :黒猫のルート証明書更新:2016/02/02(火) 04:45:59.07 0
https://www.virustotal.com/ja/file/e68921ee4e47fe2a8b029df64dcd27d0cbc86e5b3fed78caf297a05a83b572c6/analysis/1454215745/

Qihoo-360 HEUR/QVM06.1.Malware.Gen

nProtect Trojan/W32.Chifrax.5

343 :名無しさん@お腹いっぱい。:2016/02/02(火) 05:11:45.81 0
なんなん?
キモいな

344 :名無しさん@お腹いっぱい。:2016/02/02(火) 09:32:00.93 0
そもそもケチつけるべきはここではなくCFだと思うんですが
SNI対応してないデバイス使うほうが悪い

345 :名無しさん@お腹いっぱい。:2016/02/02(火) 11:38:23.78 0
>>341 は、Let's Encrypt に対して風評被害を与えるような糞レス

まず、第一に、そのサイトの証明書を確認してみたが、サブジェクトの代替名が

DNS Name=ssl366616.cloudflaressl.com
DNS Name=*.2ch.net
DNS Name=2ch.net

となっている COMODO の DV証明書。

もう一度いうと、「COMODO」 の DV証明書なので、Let's Encrypt は無関係。
ついでに、その証明書はきちんと検証できるので、全く問題が無い。

ちなみに、その証明書自体は問題ないけど、2chはあちこちセキュリティガバガバなので全く信用できない。

例えば、jump.2ch.net は、

http://www.example.com/test.cgi?a=123&b=456#InPageLinkTest

というリンクすらまともに処理できない

一応XSSは修正されたけど、エスケープ漏れに対して変なところで処理した結果、& を & に変換する処理が二重化されて二重エスケープでリンクが機能しなくなったり
ページ内リンクの # を処理できなかったりと、ガバガバ
そういうレベルのサイトなので、●のクレジットカード情報や個人情報漏洩したりとか、有料会員のパスワードがXSSやCSRFで漏洩したりとか、
レベルの低い問題を過去におこしまくっている

346 :345:2016/02/02(火) 11:46:53.97 0
うわ、書き込み自体も変に文字列置換されて意図に反する内容になった

「& を &amp; に変換する処理」とカキコしたら、HTML出力時に「&amp; を &amp;amp; に変換する処理」となり、
ブラウザには「& を &amp; に変換する処理」と表示されるのが、適切なエスケープ方法だけど、2chは適切にエスケープするのではなく変な変換処理をかけているようだ

2chの有料会員になるときには、個人情報を一切渡さない方法(プリペイドカードや匿名VISAデビットなど)で、偽の個人情報で課金することを推奨する

347 :名無しさん@お腹いっぱい。:2016/02/02(火) 13:23:21.44 0
どうでも良いわ。

348 :名無しさん@お腹いっぱい。:2016/02/02(火) 18:13:00.18 0
>>345
荒らしはスルー

349 :名無しさん@お腹いっぱい。:2016/02/05(金) 14:46:12.08 0
まーたスクリプトのテストしてたら「お前たくさん発行しすぎ」ってエラーになった
なんとかしちくりー

350 :名無しさん@お腹いっぱい。:2016/02/05(金) 15:28:21.48 0
発行しすぎ! ってエラーが出ることを正常系としてみりゃいいんでね?

351 :名無しさん@お腹いっぱい。:2016/02/05(金) 15:54:01.29 0
警告が出るだけじゃなくて実際に発行を拒否されるのを正常系にしてどうする

その後(発行された証明書をApacheでロードして接続テスト)が出来ないじゃん

352 :名無しさん@お腹いっぱい。:2016/02/05(金) 16:40:35.06 0
>>349
ttps://community.letsencrypt.org/t/testing-against-the-lets-encrypt-staging-environment/6763

353 :名無しさん@お腹いっぱい。:2016/02/05(金) 21:09:10.09 0
>>351
スクリプトの動作云々でそこまで求めるなら一週間またないとな。
更新処理のみに絞れば発行しすぎだろってエラーまで行けば制限外れれば更新は出来る。
気になるならログを見れば良いだけだし。

354 :名無しさん@お腹いっぱい。:2016/02/13(土) 12:28:23.46 0
更新済みなのにこんなメールが来たんやけど?

"Let's Encrypt certificate expiration notice"

Hello,

Your certificate (or certificates) for the names listed below will expire in 19 days (on 03 Mar 16 04:05 +0000). Please make sure to renew your certificate before then, or visitors to your website will encounter errors.

www.example.com

For any questions or support, please visit https://community.letsencrypt.org/. Unfortunately, we can't provide support by email.

355 :名無しさん@お腹いっぱい。:2016/02/13(土) 12:38:52.12 0
>>354
俺にも来たけど、サブドメイン足す前の物は間もなく切れるからだった。
3ヶ月って短いな。

356 :セキュリティ証明書の問題を検出:2016/02/17(水) 04:26:38.20 0
Internet Explorer はこの Web サイトのセキュリティ証明書の問題を検出しました


http://www.symantec.com/security_response/writeup.jsp?docid=2010-021223-0550-99


大晦日に解散ライブを行い、フィナーレで照明を落とし

バイクに乗って森が登場して、キムタコに蹴りを入れて終了。


ゲーム  平安京エイリアン

357 :名無しさん@お腹いっぱい。:2016/02/17(水) 15:05:27.10 0
>>356 は、Let's Encrypt に全く関係無いカキコ
荒らしなのでスルーよろしく

358 :名無しさん@お腹いっぱい。:2016/02/17(水) 15:22:32.54 0
あなた以外全員スルーしてたと思うんですが・・・

359 :名無しさん@お腹いっぱい。:2016/02/17(水) 19:46:53.13 0
まったくだww

360 :名無しさん@お腹いっぱい。:2016/02/19(金) 16:46:20.92 0
>>356-359
ワロタw

361 :名無しさん@お腹いっぱい。:2016/02/20(土) 18:57:23.17 0
更新忘れないように、有効期限が短い証明書更新してないとリマインダーメール来るんだね
意外と賢い仕組みだわw

362 :名無しさん@お腹いっぱい。:2016/02/24(水) 17:31:34.35 0
.
.
板違い(?)の上に、話をさえぎってしまいゴメンナサイ!(*_ _)人
でも、この板のユーザーさんにも有意義な告知かと思うのでカキコませてください。

★ 謝礼は十分いたします ★ アメブロなどのサイト制作ができる方!! 

アメブロなどを使用してのサイト制作のできる方を早急に求めています!
私はリケジョやPC女子からはほど遠く、サイト作成にはまったく疎いのでとても不自由しています…(> <;)
そこで私に代わりサイトを作成してくださる方を求めてこの場をお借りしました。

■サイトの内容…
アダルト系、違法性、その他公序良俗に反するものではありませんのでご安心ください。

■サイト制作の仕様ベース…
アメーバブログで十分です。願わくばwordpressなどのブログ形式のサイトを希望します。
それに準ずるもので使い慣れたものがあれば別のものでも構いません。

■条件はありません…
技術さえお持ちでしたら、学歴・職歴等は一切問いません。
フリーター、ニート、高齢ニート、コミュニケーション障害をお持ちの方、引きこもりの方、中年失業者、長期無職等、歓迎!

■作業形態…
作業は在宅でやって頂くことになりますので、時間の指定は一切ありません。別のお仕事の傍らに…でもOKです。

■詳細をお知りになりたい方は…
下記メールアドレスまでご連絡ください。詳しく書いた返信文を差し上げます。

※真剣な告知です。冷やかしはご遠慮ください。

井 上
inoue1952w★gmail.com
迷惑メール対策のため@部分を★にしてあります。
実際に送信する際には★を@マークに変えてください。
.
.

363 :名無しさん@お腹いっぱい。:2016/02/25(木) 01:13:16.48 0
>>362
> inoue1952w★gmail.com
> 迷惑メール対策のため@部分を★にしてあります。
> 実際に送信する際には★を@マークに変えてください。

はぁ?
お前の書き込み自体が迷惑メールだろw

364 :名無しさん@お腹いっぱい。:2016/02/25(木) 08:16:13.26 0
ただの荒らしに反応する必要ないぞ

365 :名無しさん@お腹いっぱい。:2016/02/25(木) 08:38:11.63 0
>フリーター、ニート、高齢ニート、コミュニケーション障害をお持ちの方、引きこもりの方、中年失業者、長期無職等、歓迎!

問わないのはいいと思う。
だが歓迎しちゃいかんと思う。

366 :名無しさん@お腹いっぱい。:2016/02/29(月) 16:55:04.19 0
ここっていつまでβなの
永遠にβってやつ?

99 KB
新着レスの表示

★スマホ版★ 掲示板に戻る 全部 前100 次100 最新50
名前: E-mail (省略可) :


read.cgi ver 05.04.02 2018/11/22 Walang Kapalit ★
FOX ★ DSO(Dynamic Shared Object)