16/01/15 09:27:06.60 0.net
>>242
まあむこうの考える理想としてそういうことをやってはいけないのだろう
現状を変えたいのだと
251:名無しさん@お腹いっぱい。
16/01/15 11:26:21.77 0.net
今のままじゃブラウザで不正証明書の警告が出ないオレオレ証明書と同じじゃないか
252:名無しさん@お腹いっぱい。
16/01/15 11:41:11.89 0.net
同じだよ?
全くその通りだしめざしてるのはそれだろ
目的は単純な暗号化なんだから
253:名無しさん@お腹いっぱい。
16/01/15 11:56:38.71 0.net
正しい証明書であることとサイトの信頼性はまったくべつのはなしだ
DV証明書ってそういうものだろ、という、繰り返されたいつものやつ
254:名無しさん@お腹いっぱい。
16/01/15 12:05:32.59 0.net
だが消費者は納得しない
なぜかといえばブラウザが緑になるせいでhttps=安心安全と教育されてきたから
255:名無しさん@お腹いっぱい。
16/01/15 12:14:50.59 0.net
緑になるのはEVだしかなり最近の話だな
鍵マークみたいなのが出るのは昔からだが
まぁ鍵マークとURLを確認=安全って教えられてるわな
256:名無しさん@お腹いっぱい。
16/01/15 12:16:43.45 0.net
>>249
緑に関してはもちろんそうだけどもEVとDVの違いをちゃんと理解して使ってる奴がどのくらいいるのかとね
257:名無しさん@お腹いっぱい。
16/01/15 12:20:28.94 0.net
「このWebサイトは認証されています。このサイトとの通信は安全です」
↓
通信は安全だけど、サイト自体はフィッシングサイトかもしれない、ウィルス流し込まれたかもねー
って一般には理解できんと思うが、そーいう目的だと言われたらもうここの発行した証明書を
ブロックするしかないな
258:名無しさん@お腹いっぱい。
16/01/15 14:29:43.02 0.net
>>251
だったら、RapidSSL とかグローバルサインとか含めて、DV証明書全部ブロックしたら?
DV証明書っていうのはそういうもんだからね
言っとくけど、フィッシング詐欺やらウイルス配布やらに悪用されているDV証明書なんて山ほどあるから
Let's Encrypt を糞会社のトレンドマイクロが叩いただけで、それ以外の既存の大手CAのDV証明書だってフィッシングサイトなどに悪用されてる
サイトを信頼したいなら、その法的に実在している法人や団体が運営していることを証明している
アドレスバーが緑色になるEV証明書だけ信頼していればいいでしょ
文句いってるトレンドマイクロの方が明らかにおかしなセキュリティ会社なんだけどね
トレンドマイクロの「パスワードマネージャ」が、localhostでNode.jsを使ってHTTPサーバーを実行していて、
全世界から任意のコードを実行できて、記録されたパスワードも盗用可能という致命的な脆弱性があるという糞会社だからセキュリティを語る資格はない
てか、パスワードマネージャに HTTPD が入ってるとか、脆弱性以前にバックドアとしか言いようがない糞設計だよね
ウイルス対策ソフト自体も誤検出放置で信頼性皆無だし
URLリンク(it.srad.jp)
259:名無しさん@お腹いっぱい。
16/01/15 18:55:27.50 0.net
こういうことが続いてLet'sの証明書が信用失ってブロックされたら困るよねーって話だし
トレンドマイクロ叩きとかどうでもいいし
何ヒートアップしてんの
260:名無しさん@お腹いっぱい。
16/01/15 18:57:36.35 0.net
全ては無知な大衆が悪い
261:名無しさん@お腹いっぱい。
16/01/15 21:11:13.99 0.net
なんかここではDV証明書の議論になってるけど
トレンドマイクロが危惧してるのは今回の domain shadowing の手法と
サブドメインだけで証明書を取りまくれる仕様の合わせ技って
ところじゃないかな
もちろん他にもそういうザル認証局はあるんだろうけど、Let's Encrypt は自動化しやすいし…
ほら、無職ニートとかが変態的犯罪を起こすと「犯人の自宅にはアニメのDVDが大量にあり…」
みたいな恣意的な報道されるじゃん? あんな感じでさ
今回の件で Let's Encrypt が悪いとは思わないけど
今後 Let's Encrypt が悪者にされるのは心配だよね
262:名無しさん@お腹いっぱい。
16/01/15 23:27:21.86 0.net
証明書で証明できるものは、公開鍵の正当性だけ
公開鍵証明書という正式な名称使った方が誤解ない
263:名無しさん@お腹いっぱい。
16/01/16 00:24:22.54 0.net
で、その公開鍵証明書にはサーバー用、クライアント用、S/MIME用、アプリ署名用とかいろいろあって
それを区別するためにだな。。。
264:名無しさん@お腹いっぱい。
16/01/16 00:26:26.02 0.net
>>257
サーバー用公開鍵証明書、
クライアント用公開鍵証明書、
S/MIME用公開鍵証明書、
アプリ署名用公開鍵証明書
という正式な名称使った方が誤解ない
265:名無しさん@お腹いっぱい。
16/01/16 02:35:20.81 0.net
イヤなら金払ってもっと上の証明書を使うなりすればいいじゃない。
俺はそれがイヤだから無料の Let's Encrypt を使っているだけというね。
暗号化経路さえ確保出来ていればそれでいいよ。
266:名無しさん@お腹いっぱい。
16/01/16 11:04:36.54 0.net
そう言う話ではないと思うが
267:名無しさん@お腹いっぱい。
16/01/17 00:38:25.41 0.net
>>260
暗号化とデータの保証では駄目なん?
268:名無しさん@お腹いっぱい。
16/01/17 00:49:40.72 0.net
またDV証明書の問題に論点すり替えか
269:名無しさん@お腹いっぱい。
16/01/17 12:28:29.61 0.net
>>262
今時大手CAもDV証明書売ってるし、フィッシングサイトが HTTPSに対応しているなんてのは今時当たり前(大手CAのDV証明書利用)であって、いちいちニュースにもならない。
ニュースになったとしても、○○銀行のフィッシング詐欺サイトがどうのこうのと注意喚起されるだけで、どこの証明書が使われたなんてのは記事にならない(実際どうでもいいし)。
ところが Let's Encrypt の証明書が使われたときだけ騒ぐというのは嫌がらせとしか思えない
大手CAと違って広告費払ってくれない非営利団体運営だから、叩きやすいんだろうね
一方、DVやってるジオトラストは、シマンテック・ベリサイン系列だから気軽に叩く訳にはいかんだろう�
270:オ
271:名無しさん@お腹いっぱい。
16/01/17 13:15:52.43 0.net
最初の発行時だけ手動の操作による認証が必要にすればいいんじゃないのかな?
自動化は更新だけで十分だよね
272:名無しさん@お腹いっぱい。
16/01/17 15:44:56.75 0.net
>>264
そんなことはジオトラストとかの大手DVもやってなくて機械的に取れるんだけど
だいたい、手動による認証ってなんか意味あるの?
証明書取得時だけ普通のサイトっぽくして、証明書取得後にフィッシングサイトに書き換えられたら終わりじゃん
もうちょっと考えてから書き込んだら?
273:この Web サイトのセキュリティ証明書には問題があります
16/01/17 15:46:37.77 0.net
/;;;;;;;;;;;;;;;;:.
i;;;」' __ __i
|;;| '・`, '・`{
(6|}. ・・ } 嫌なら使うな!
ヽ 'ー-ソ
ノ、ヽ_/
/, ヽ
ト,.| ト|
274:名無しさん@お腹いっぱい。
16/01/17 15:47:34.51 0.net
手動による認証ってなんだ?
電話やSMS確認でもするんか?
大概のことは自動化余裕だぞ
275:名無しさん@お腹いっぱい。
16/01/17 16:27:20.78 0.net
>>266
なにを?
276:オレオレ証明書
16/01/17 16:37:38.76 0.net
URLリンク(support.microsoft.com)
この Web サイトのセキュリティ証明書には問題があります。
URLリンク(www.knaw.nl)
sha384WithRSAEncryption
TLS 1.0、AES 256 / 256 ビット暗号 (高); RSA / 4096 ビット交換
オレオレ証明書
Program Files\CSR\CSR Harmony Wireless Software Stack
cert_install.bat
@ECHO OFF
cd .
call certmgr.exe /add HarmonyTest.cer /s /r localMachine root
call certmgr.exe /add HarmonyNewTest.cer /s /r localMachine root
Harmony(Test).cer
HarmonyNew(TEST).cer
bluetooth
bluetooth追加後、証明書が書き込まれる。
URLリンク(www.ssllabs.com)
TLS 1.0、Triple DES / 168 ビット暗号 (高); RSA / 2048 ビット交換
kb3081320
WEPOS および POSReady 2009 のセキュリティ更新プログラム (KB3081320)
schannel.dll
277:このページは表示できません
16/01/17 16:39:08.73 0.net
URLリンク(my.softbank.jp)
TLS 1.0、RC4 / 128 ビット暗号 (高); RSA / 2048 ビット交換
このページは表示できません
URLリンク(media.defcon.org)
sha512RSA
DigiCert SHA2 High Assurance Server CA
URLリンク(trinlink.tmfhs.org)
TLS 1.0、AES 256 / 256 ビット暗号 (高); RSA / 2048 ビット交換
278:名無しさん@お腹いっぱい。
16/01/17 17:02:32.38 0.net
>>268
時々現れる荒らしだからスルーな
279:この Web サイトのセキュリティ証明書には問題があります
16/01/17 22:59:27.42 0.net
σ < マイクロソフトの営業よ
(V) ヨドバシカメラのPC売り場に出かけて
|| 「嫌なら使うな」の腕章付けて販促活動して欲しいわ
受けること間違いなしwwww
280:名無しさん@お腹いっぱい。
16/01/23 01:53:53.03 0.net
./letsencrypt-auto certonly --webroot -w /var/www/http/ -d example.com -w /var/www2/http/ -d hoge.com --agree-tos
./letsencrypt-auto: line 104: [: too many arguments
./letsencrypt-auto: line 106: [: too many arguments
Updating letsencrypt and virtual environment dependencies..../letsencrypt-auto: line 186:
/root/.local/share/letsencrypt/bin/pip: そのようなファイルやディレクトリはありません
CentOS5.11とpython2.6はあかんのか?
281:名無しさん@お腹いっぱい。
16/01/23 02:05:00.95 0.net
pip install -U pip
282:名無しさん@お腹いっぱい。
16/01/23 03:55:52.51 0.net
Python は 2.7~じゃなかったっけか
283:名無しさん@お腹いっぱい。
16/01/23 09:38:48.70 0.net
docker
284:名無しさん@お腹いっぱい。
16/01/23 10:24:26.70 0.net
SCLは6系からだっけ?
既存環境壊したくなければ、chroot環境作るとか
#言ってはみたが試してはいない
285:名無しさん@お腹いっぱい。
16/01/23 11:35:00.08 0.net
サブドメインが違うのを何個か作ったら制限でアウトになった。
この制限って、どんな時に発動して、どうやったら解除?
286:名無しさん@お腹いっぱい。
16/01/23 11:41:41.99 0.net
俺は5個発行できたが
287:名無しさん@お腹いっぱい。
16/01/23 12:00:16.04 0.net
python は 2.6 だと「古くてもうメンテされてないよ」って警告出るだけで
使えないわけではない
最初はいちいちうざいけど crontab に登録してしまえばどうでもよくなる
他のクライアント使ってもいいし
288:名無しさん@お腹いっぱい。
16/01/23 13:31:52.00 0.net
domain shadowingって具体的にどういう手法なの?
ググってもよくわかんないんだけど
289:名無しさん@お腹いっぱい。
16/01/23 13:33:05.27 0.net
下に作って上のをGET
290:名無しさん@お腹いっぱい。
16/01/23 13:38:21.28 0.net
要するに
レジストラのアカハックしてサブドメイン作ったら
それを種に他のサブドメインの証明書も作れる
こういうこと?
291:名無しさん@お腹いっぱい。
16/01/23 13:42:00.40 0.net
ちゃうねん
www.yahoo.co.jpがあるとするやろ
ad.yahoo.co.jpを作ってそれを自分の鯖に向けて証明書を取得
そしてそこでフィッシング詐欺みたいな感じでユーザー情報GET
292:273
16/01/23 14:09:55.58 0.net
URLリンク(github.com)
↑これでいけた
centosでコケた人はお試しあれ
293:名無しさん@お腹いっぱい。
16/01/23 15:04:42.28 0.net
>>284
> ad.yahoo.co.jpを作って
これどうやるの?
294:名無しさん@お腹いっぱい。
16/01/23 15:07:57.51 0.net
>>283
295:名無しさん@お腹いっぱい。
16/01/23 15:40:34.77 0.net
>>286
自分がドメイン乗っ取りやフィッシングなどの犯罪行為の方法をkwsk質問してる自覚ある?
296:名無しさん@お腹いっぱい。
16/01/23 15:44:03.50 0.net
>>288
攻撃方法を知れば防御もできると思うぞ
297:名無しさん@お腹いっぱい。
16/01/23 15:49:22.14 0.net
>>281
URLリンク(security.srad.jp) に書かれている
レジストラの垢をフィッシング詐欺その他で乗っ取って、DNSのAレコードを書き換える攻撃のこと
>>283
そういうこと
>>284
> ad.yahoo.co.jpを作ってそれを自分の鯖に向けて証明書を取得
その ad というサブドメインを yahoo.co.jp に追加するために、ヤフー株式会社が所持しているレジストラアカウントを乗っ取るのが
domain shadowing という攻撃方法
単なるレジストラアカウントの乗っ取りで合って、別に目新しい攻撃方法ではないけど
・メインのAレコード(@ や www)を書き換えないので、ドメイン所有者が攻撃に気が付きにくい
・ブラウザやセキュリティソフトは長年使われていた正規サイトのサブドメインのため、ヒューリスティック判定で詐欺サイトとして自動検出しない
ってだけ
その不正につくったサブドメインにLet's Encryptの証明書が使われたと大騒ぎしているのがトレンドマイクロだけど
色々ブーメランなことになったので、トレンドマイクロはそのLet's Enbcrypt批判の記事を修正した
298:名無しさん@お腹いっぱい。
16/01/23 16:10:54.40 0.net
なるほどレジストラのアカウント乗っ取るなんて大がかりなことやるなら
Let's Encryptの証明書が使われるとか些細なことだな
299:名無しさん@お腹いっぱい。
16/01/23 16:21:19.63 0.net
お名前みたいなDNSサービスもやってるところはそうだけど
別にレジストラじゃなくてもDNSサーバー乗っ取ればいいわけで
それ自体は昔からある手法
サブドメインをこっそり乗っ取るのが最近の流行
300:名無しさん@お腹いっぱい。
16/01/23 18:12:12.98 0.net
DNSサーバを乗っ取るって・・・
DNSサービスではなくて?
サーバ乗っ取れるならWEBサーバ乗っ取ればいい
そうすればSSLなんて取得する必要ない
なんせ本物のサイトが弄りたい放題なのだから
301:名無しさん@お腹いっぱい。
16/01/23 20:42:01.55 0.net
>>293
普通速攻気付かれて修正されておわりだよね。
302:名無しさん@お腹いっぱい。
16/01/23 21:05:00.00 0.net
DNSサーバ乗っ取られるような会社なら
コンテンツイジられようが配下ディレクトリになんらかのコンテンツ設置されようが
気がつかないと思うぞ
303:名無しさん@お腹いっぱい。
16/01/23 21:19:51.79 0.net
キャッシュ毒とかのことかな
権威サーバー乗っ取られるのは、さすがに論外な気がする
304:名無しさん@お腹いっぱい。
16/01/23 22:24:28.39 0.net
要するにサブドメインでその上の認証がとれるってことでしょ
サブドメイン型ホスティング使ってたら同居人に証明書発行されてるかも知れないと
さすがに仕様が悪いんじゃないか
305:名無しさん@お腹いっぱい。
16/01/23 22:39:55.76 0.net
お前は何を言ってるんだ?
306:名無しさん@お腹いっぱい。
16/01/23 22:47:28.32 0.net
理解できなかっただけでしょほっとけよ
アホは書き込み禁止で
307:名無しさん@お腹いっぱい。
16/01/23 22:51:21.55 0.net
>>293
だーかーらー
そーいう派手な乗っ取りをすると
>>294
の言うように気付かれやすいから
こっそりサブドメインを作って A レコードで別サイトに誘導するってのが
domain shadowing っていうのさ
これ以上反論したいならセキュリティ専門家とでも議論してくれ
308:名無しさん@お腹いっぱい。
16/01/23 23:37:28.88 0.net
>>300
んなもん分かってる
お前がいきなり
> 別にレジストラじゃなくてもDNSサーバー乗っ取ればいいわけで
> それ自体は昔からある手法
まるでアカウント乗っ取るよりサーバ乗っ取る方が簡単みたいな事言い出したから
309:名無しさん@お腹いっぱい。
16/01/23 23:39:35.30 0.net
日本語力たりねえなぁ・・・書き込むなよ
310:名無しさん@お腹いっぱい。
16/01/24 00:05:40.10 0.net
オマエモナー
311:名無しさん@お腹いっぱい。
16/01/24 00:18:26.91 0.net
( ´∀`)
312:名無しさん@お腹いっぱい。
16/01/24 03:30:01.76 0.net
/;;;;;;;;;;;;;;;;:.
i;;;」' __ __i
|;;| '・`, '・`{
(6|}. ・・ } 馬鹿は使うな!
ヽ 'ー-ソ
ノ、ヽ_/
/, ヽ
ト,.| ト|
313:名無しさん@お腹いっぱい。
16/01/24 13:01:09.58 0.net
また2ちゃんねるでオレ様情強アピールかよ。
どんだけキチガイ多いんだよ。
314:名無しさん@お腹いっぱい。
16/01/24 19:12:57.94 0.net
別に間違えたって良いと思うけど、逆ギレしちゃうのだけは止めた方がいいw
315:名無しさん@お腹いっぱい。
16/01/24 20:22:27.31 0.net
他の発行元はサブドメイン用DV証明書の発行にも非サブドメインのドメイン所有権というか使用権を確認してるのに
LEは当該サブドメインの使用権しか確認してなくて
世間一般の認識ではサブドメイン用証明書はドメイン所有権確認してあるはずとなってるから
サブドメインへのHTTPS通信はドメイン所有者の責任があると認識されるが
316:名無しさん@お腹いっぱい。
16/01/24 20:23:33.84 0.net
途中で送っちゃった
が
LEはそう考えてなくて考え方のギャップでTMが因縁つけてるカンジか
317:名無しさん@お腹いっぱい。
16/01/24 21:47:35.98 0.net
そもそも暗号化するってだけで確認も何も無かろう。
これまでの考え方自体おかしいんでしょう。
存在確認とか、所有者確認とは別の仕組みにすべきって事の方が理にかなってるってのは誰にでも分かる事
318:名無しさん@お腹いっぱい。
16/01/24 22:01:58.66 0.net
さすがトレンドマイクロ
319:名無しさん@お腹いっぱい。
16/01/24 22:59:35.03 0.net
そもそもオレオレ証明書でド派手な警告出るようなしくみになってるのが
世間の認識を歪めることになった元凶。
320:名無しさん@お腹いっぱい。
16/01/25 00:09:04.16 0.net
>>310
OVで始まった歴史的経緯があるからね
そこをすっ飛ばしたら議論にならない
321:名無しさん@お腹いっぱい。
16/01/25 00:11:16.53 0.net
本当だよ。あれを誤解してる奴にどれだけ説明した事か。
あの警告出す事にオッケー出してる事にも疑問。
322:名無しさん@お腹いっぱい。
16/01/25 13:18:02.13 0.net
>>312 >>314
オレオレ証明書は、フィンガープリントの確認をしない限り、暗号化という意味でも安全ではないから
激しい警告を出すのは当然なんだが
例えば、安全でないアクセスポイント(クラッカーが運営)で無線LANを使っている場合、
オレオレ証明書のサイトを偽のオレオレ証明書に書き換え、www.example.com のサーバーへの接続を
クラッカーが運営するサーバへの接続(オレオレ証明書)に経路を書き換えることが可能
Let's Encrypt では二経路を改ざんしない限り、そういった悪用はできない。
証明書発行時にDNSのIP見てるので、
末端ユーザー ⇔ 無線LANアクセスポイント ⇔ ISP の経路だけではなく、
Let's Encrypt 証明書発行サーバ ⇔ DNSサーバ の経路も書き換えない限り、そういった不正ができなくなる
323:名無しさん@お腹いっぱい。
16/01/25 14:13:21.92 0.net
いやそれDNS一つでええやん
324:名無しさん@お腹いっぱい。
16/01/25 15:05:35.57 0.net
>>315 大丈夫かぁ?
325:名無しさん@お腹いっぱい。
16/01/25 17:39:15
326:.54 0.net
327:名無しさん@お腹いっぱい。
16/01/25 20:24:56.18 0.net
だから暗号化と所有者確認は切り分けろよ
328:名無しさん@お腹いっぱい。
16/01/25 21:42:50.21 0.net
>>319
PKIの基礎学べば分かると思うけど、ユーザー(ブラウザ)が暗号化に使う公開鍵が
期待する通信相手のものであることが明らかでない限り、その暗号化自体が何の意味も持たない
つまり、ドメインの所有者・正規使用者の確認というプロセスを省略して単に暗号化だけにした場合(オレオレ証明書の場合)
その暗号化という行為自体が技術的に無意味になるのよ
何故かというと、単に暗号化するだけなら、通信を傍受・改ざんするクラッカーによって、正規の通信相手の公開鍵がクラッカーの公開鍵にすり替えられていたら
クラッカーが通信内容を傍受・改ざんできてしまう
Let's Encrypt のDV証明書は、ドメインの正規利用者の公開鍵であることを認証しているので
example.com というドメインを信用するならば、ブラウザのアドレスバーが URLリンク(example.com) で始まっていることとと
ブラウザが警告を発しないことを確認するだけで、そのドメインの正規利用者と安全に通信できる
ってことで、「暗号化と所有者確認は切り分け」は、技術的に無意味(公開鍵のすり替えに対抗できない)のでやる意味なし
(公開鍵のフィンガープリントを電話とか郵送とか安全な方法で受け渡せば公開鍵のすり替えはできなくなるが)
Let's がやってるDNSベースでの認証は、安全な通信のために必要な最低限度の行為なので削ることはできない
329:名無しさん@お腹いっぱい。
16/01/26 02:11:20.74 0.net
なげーから読んでねーけど、
オレオレ証明書を使ってるようなサイトをどうにかしようとなんて時間と手間の無駄だから誰もやらない
だから安全
330:名無しさん@お腹いっぱい。
16/01/26 12:42:01.63 0.net
オレオレは自分と一部の友人しか使わんから
331:名無しさん@お腹いっぱい。
16/01/26 12:51:41.99 0.net
だったらオレオレCA作って、
その証明書をインポートしときゃいいじゃない
332:名無しさん@お腹いっぱい。
16/01/26 15:11:46.21 0.net
いや、そのオレオレCAをポリシーで信頼してるわ
333:sage
16/01/27 14:35:11.67 0.net
今日1カ月ぶりに更新したらできない
pip をアップグレードしろとか出てる
PIPなんて最初から入ってない。
前回は不要で今回から必要になったのか。
334:名無しさん@お腹いっぱい。
16/01/27 15:00:12.19 0.net
は?
pip install -U pipさっさとしろよ
335:名無しさん@お腹いっぱい。
16/01/27 15:11:21.35 0.net
試しにやってみたらそういうふうに言ってきたけど勝手にやってくれたみたいで
そのまま更新できた
336:名無しさん@お腹いっぱい。
16/01/27 18:33:45.43 0.net
勝手にやってくれるって便利だとおもうけど、反面あぶねーからこええよw
337:名無しさん@お腹いっぱい。
16/01/28 10:33:48.28 0.net
依存関係の解消ってどのインストーラーもこんな感じでは
338:名無しさん@お腹いっぱい。
16/01/29 08:34:41.88 0.net
Let'snote のバッテリーのリコール対象が増えたぞ Let'snote 持ってる人は要確認だ!
URLリンク(askpc.panasonic.co.jp)
CF-S8/S9/S10シリーズ、またはCF-N8/N9/N10シリーズ (新たな対象機種)
かなり古い機種も含まれているので、これで数年前のバッテリーが新品に蘇るぞ
パナソニックは神対応だな
……ところで、なんでこんな板にLet'snoteスレがあるんだ?
339:名無しさん@お腹いっぱい。
16/01/29 11:31:43.75 0.net
>>330
スレタイも読めない文盲乙
340:名無しさん@お腹いっぱい。
16/01/29 19:53:50.93 0.net
証明書の更新が半年とかになればなー。
341:名無しさん@お腹いっぱい。
16/01/29 21:00:30.42 0.net
自動にしてほっとけ
342:名無しさん@お腹いっぱい。
16/01/30 10:51:59.80 0.net
言われているが、
cronなどでの自動更新前提
343:名無しさん@お腹いっぱい。
16/01/31 11:26:27.64 0.net
レンタルサーバーだとめんどい。
344:名無しさん@お腹いっぱい。
16/01/31
345:20:52:02.43 0.net
346:名無しさん@お腹いっぱい。
16/01/31 20:54:33.92 0.net
まあめんどいのは事実だしただの愚痴やろ
347:名無しさん@お腹いっぱい。
16/01/31 22:46:37.84 0.net
こんな程度でめんどいと言っているようではおまえはうんたらかんたらって言いたいだけ
348:名無しさん@お腹いっぱい。
16/02/01 08:06:06.34 0.net
今朝にセットしてたcron自動更新うまくいってた
これで一ヵ月毎とか2ヶ月毎に更新しとけば、短い有効期限も気にならないな
エラーになった時のリトライ考慮してないけど
まぁそん時は手動でいいや
349:名無しさん@お腹いっぱい。
16/02/01 16:53:41.74 0.net
リトライさせるのは簡単では。
証明書の有効期限 n 日前になったら更新させる
って処理にして cron で回す周期を数日おきにすれば
エラーがあってもまた数日後、次の実行時に処理出来る。
openssl x509 -checkend
これ使うと良いね。
350:セキュリティ証明書には問題があります
16/02/02 00:35:58.97 0.net
URLリンク(api.2ch.net)
この Web サイトのセキュリティ証明書には問題があります。
URLリンク(www.virustotal.com)
351:黒猫のルート証明書更新
16/02/02 04:45:59.07 0.net
URLリンク(www.virustotal.com)
Qihoo-360 HEUR/QVM06.1.Malware.Gen
nProtect Trojan/W32.Chifrax.5
352:名無しさん@お腹いっぱい。
16/02/02 05:11:45.81 0.net
なんなん?
キモいな
353:名無しさん@お腹いっぱい。
16/02/02 09:32:00.93 0.net
そもそもケチつけるべきはここではなくCFだと思うんですが
SNI対応してないデバイス使うほうが悪い
354:名無しさん@お腹いっぱい。
16/02/02 11:38:23.78 0.net
>>341 は、Let's Encrypt に対して風評被害を与えるような糞レス
まず、第一に、そのサイトの証明書を確認してみたが、サブジェクトの代替名が
DNS Name=ssl366616.cloudflaressl.com
DNS Name=*.2ch.net
DNS Name=2ch.net
となっている COMODO の DV証明書。
もう一度いうと、「COMODO」 の DV証明書なので、Let's Encrypt は無関係。
ついでに、その証明書はきちんと検証できるので、全く問題が無い。
ちなみに、その証明書自体は問題ないけど、2chはあちこちセキュリティガバガバなので全く信用できない。
例えば、jump.2ch.net は、
URLリンク(www.example.com)
というリンクすらまともに処理できない
一応XSSは修正されたけど、エスケープ漏れに対して変なところで処理した結果、& を & に変換する処理が二重化されて二重エスケープでリンクが機能しなくなったり
ページ内リンクの # を処理できなかったりと、ガバガバ
そういうレベルのサイトなので、●のクレジットカード情報や個人情報漏洩したりとか、有料会員のパスワードがXSSやCSRFで漏洩したりとか、
レベルの低い問題を過去におこしまくっている
355:345
16/02/02 11:46:53.97 0.net
うわ、書き込み自体も変に文字列置換されて意図に反する内容になった
「& を & に変換する処理」とカキコしたら、HTML出力時に「& を & に変換する処理」となり、
ブラウザには「& を & に変換する処理」と表示されるのが、適切なエスケープ方法だけど、2chは適切にエスケープするのではなく変な変換処理をかけているようだ
2chの有料会員になるときには、個人情報を一切渡さない方法(プリペイドカードや匿名VISAデビットなど)で、偽の個人情報で課金することを推奨する
356:名無しさん@お腹いっぱい。
16/02/02 13:23:21.44 0.net
どうでも良いわ。
357:名無しさん@お腹いっぱい。
16/02/02 18:13:00.18 0.net
>>345
荒らしはスルー
358:名無しさん@お腹いっぱい。
16/02/05 14:46:12.08 0.net
まーたスクリプトのテストしてたら「お前たくさん発行しすぎ」ってエラーになった
なんとかしちくりー
359:名無しさん@お腹いっぱい。
16/02/05 15:28:21.48 0.net
発行しすぎ! ってエラーが出ることを正常系としてみりゃいいんでね?
360:名無しさん@お腹いっぱい。
16/02/05 15:54:01.29 0.net
警告が出るだけじゃなくて実際に発行を拒否されるのを正常系にしてどうする
その後(発行された証明書をApacheでロードして接続テスト)が出来ないじゃん
361:名無しさん@お腹いっぱい。
16/02/05 16:40:35.06 0.net
>>349
URLリンク(community.letsencrypt.org)
362:名無しさん@お腹いっぱい。
16/02/05 21:09:10.09 0.net
>>351
スクリプトの動作云々でそこまで求めるなら一週間またないとな。
更新処理のみに絞れば発行しすぎだろってエラーまで行けば制限外れれば更新は出来る。
気になるならログを見れば良いだけだし。
363:名無しさん@お腹いっぱい。
16/02/13 12:28:23.46 0.net
更新済みなのにこんなメールが来たんやけど?
"Let's Encrypt certificate expiration notice"
Hello,
Your certificate (or certificates) for the names listed below will expire in 19 days (on 03 Mar 16 04:05 +0000). Please make sure to renew your certificate before then, or visitors to your website will encounter errors.
www.example.com
For any questions or support, please visit URLリンク(community.letsencrypt.org) Unfortunately, we can't provide support by email.
364:名無しさん@お腹いっぱい。
16/02/13 12:38:52.12 0.net
>>354
俺にも来たけど、サブドメイン足す前の物は間もなく切れるからだった。
3ヶ月って短いな。
365:セキュリティ証明書の問題を検出
16/02/17 04:26:38.20 0.net
Internet Explorer はこの Web サイトのセキュリティ証明書の問題を検出しました
URLリンク(www.symantec.com)
大晦日に解散ライブを行い、フィナーレで照明を落とし
バイクに乗って森が登場して、キムタコに蹴りを入れて終了。
ゲーム 平安京エイリアン
366:名無しさん@お腹いっぱい。
16/02/17 15:05:27.10 0.net
>>356 は、Let's Encrypt に全く関係無いカキコ
荒らしなのでスルーよろしく
367:名無しさん@お腹いっぱい。
16/02/17 15:22:32.54 0.net
あなた以外全員スルーしてたと思うんですが・・・
368:名無しさん@お腹いっぱい。
16/02/17 19:46:53.13 0.net
まったくだww
369:名無しさん@お腹いっぱい。
16/02/19 16:46:20.92 0.net
>>356-359
ワロタw
370:名無しさん@お腹いっぱい。
16/02/20 18:57:23.17 0.net
更新忘れないように、有効期限が短い証明書更新してないとリマインダーメール来るんだね
意外と賢い仕組みだわw
371:名無しさん@お腹いっぱい。
16/02/24 17:31:34.35 0.net
.
.
板違い(?)の上に、話をさえぎってしまいゴメンナサイ!(*_ _)人
でも、この板のユーザーさんにも有意義な告知かと思うのでカキコませてください。
★ 謝礼は十分いたします ★ アメブロなどのサイト制作ができる方!!
アメブロなどを使用してのサイト制作のできる方を早急に求めています!
私はリケジョやPC女子からはほど遠く、サイト作成にはまったく疎いのでとても不自由しています…(> <;)
そこで私に代わりサイトを作成してくださる方を求めてこの場をお借りしました。
■サイトの内容…
アダルト系、違法性、その他公序良俗に反するものではありませんのでご安心ください。
■サイト制作の仕様ベース…
アメーバブログで十分です。願わくばwordpressなどのブログ形式のサイトを希望します。
それに準ずるもので使い慣れたものがあれば別のものでも構いません。
■条件はありません…
技術さえお持ちでしたら、学歴・職歴等は一切問いません。
フリーター、ニート、高齢ニート、コミュニケーション障害をお持ちの方、引きこもりの方、中年失業者、長期無職等、歓迎!
■作業形態…
作業は在宅でやって頂くことになりますので、時間の指定は一切ありません。別のお仕事の傍らに…でもOKです。
■詳細をお知りになりたい方は…
下記メールアドレスまでご連絡ください。詳しく書いた返信文を差し上げます。
※真剣な告知です。冷やかしはご遠慮ください。
井 上
inoue1952w★gmail.com
迷惑メール対策のため@部分を★にしてあります。
実際に送信する際には★を@マークに変えてください。
.
.
372:名無しさん@お腹いっぱい。
16/02/25 01:13:16.48 0.net
>>362
> inoue1952w★gmail.com
> 迷惑メール対策のため@部分を★にしてあります。
> 実際に送信する際には★を@マークに変えてください。
はぁ?
お前の書き込み自体が迷惑メールだろw
373:名無しさん@お腹いっぱい。
16/02/25 08:16:13.26 0.net
ただの荒らしに反応する必要ないぞ
374:名無しさん@お腹いっぱい。
16/02/25 08:38:11.63 0.net
>フリーター、ニート、高齢ニート、コミュニケーション障害をお持ちの方、引きこもりの方、中年失業者、長期無職等、歓迎!
問わないのはいいと思う。
だが歓迎しちゃいかんと思う。
375:名無しさん@お腹いっぱい。
16/02/29 16:55:04.19 0.net
ここっていつまでβなの
永遠にβってやつ?
376:名無しさん@お腹いっぱい。
16/03/01 21:09:29.50 0.net
>>76
βとれてるよ
377:名無しさん@お腹いっぱい。
16/03/02 00:23:55.11 0.net
>>367
取れてないよ
公式見てみ
URLリンク(letsencrypt.org)
「Get Started (Public Beta)」とある
パブリックβテスト中だ
378:名無しさん@お腹いっぱい。
16/03/02 02:31:45.69 0.net
>>368
ほんとだ、おっパブリックβだったね
379:名無しさん@お腹いっぱい。
16/03/02 15:12:14.54 0.net
くだらない質問で恐縮ですが、証明書取得時の80へのアクセスについて、アクセス元のアドレス帯とか公開されていたりしますか
380:名無しさん@お腹いっぱい。
16/03/02 15:15:33.75 0.net
ない
ssしてれば見えるんじゃね?
381:名無しさん@お腹いっぱい。
16/03/02 19:07:22.16 0.net
webroot指定でやった時は66.133.109.36からアクセスされた
382:名無しさん@お腹いっぱい。
16/03/03 09:36:02.87 0.net
>>372がoutbound1.letsencrypt.orgで、outbound2も存在しているようなので、その2つを開けて様子を見てみます。 ありがとうございました。
384:名無しさん@お腹いっぱい。
16/03/08 21:26:45.81 0.net
Let's Encryptをつかって署名された証明書を作成して、
それを、squidのssl-dumpで使うことってできるんでしょうか。
これができたら、ブラウザにオレオレルートの登録が不要になると思うので、
便利だと思ったんですが。
385:名無しさん@お腹いっぱい。
16/03/09 08:31:13.69 0.net
>>374
ssl-dumpの場合、信頼されたCA証明書で動的にSSL証明書が発行されないとダメだし、LetsEncryptではCA証明書が払い出されるわけでは無いから無理じゃね。
386:名無しさん@お腹いっぱい。
16/03/09 10:52:24.19 0.net
>>375
387:レスありがとうございます。 ssl-bumpだと動的に作成した証明書を「自分でその都度、署名して自己証明書を新たに作成」しているってことですか。 ssl-bumpの設定段階には、さきにオレオレ証明書を作成することになっています。 そして、おっしゃるとおり、動作中は接続先サーバのドメインに応じて矛盾しない証明書を動的に作成するらしいです。 だとしたら、どうして、最初にオレオレ証明書を準備したんでしょうか。 自己証明の代わりに、Let's Encryptがその都度、署名してくれればいいんだけどなあ。 そういうスクリプトが提供されているのではないのか。
388:名無しさん@お腹いっぱい。
16/03/09 12:09:40.83 0.net
その「オレオレ証明書」がCA証明書で、サーバ証明書を発行するのに使われる
ということだろう?
「どうして」って、サーバ証明書を生成するのに必要だから作ることになっている
つーか、「LEがその都度署名」って、自分が管理しているわけでもないドメインも対象なんだろう?
そんなん無理筋過ぎる
389:名無しさん@お腹いっぱい。
16/03/09 20:25:21.05 0.net
>>377
ちょっと、おれおれ証明書と、おれおれ認証局とを混同したように書いてしてしまっていた。
おれおれ証明書は、おれおれ認証局によって署名されたものという認識で合うかな。
ところで、squidの組織がルートの通った認証局を構築してくれればいいのかな?
googleあたりがそういうのをやってくれないかな?
390:名無しさん@お腹いっぱい。
16/03/09 20:26:03.22 0.net
自分で作ればええやん
391:名無しさん@お腹いっぱい。
16/03/09 21:17:54.39 0.net
とりあえずスレチになってきたので、続きはメモ帳に書いて保存せずに終了しとけ
392:名無しさん@お腹いっぱい。
16/03/09 23:03:18.86 0.net
>>378
そんな証明書出すCAは瞬く間にCA証明書がブラウザから削除される
さようなら
393:名無しさん@お腹いっぱい。
16/03/09 23:07:41.47 0.net
ここで証明書もらって手元のサイトSSL化してみたら
スマホもPCも問題なくSSLになって喜んでたら
ウィルコムとauのガラケーだと証明書エラーで開けんかった…orz
ガラケーは諦めるか
sslのテストでA評価もらえるように設定したのでXPの古いIEも捨ててしまってるし
394:名無しさん@お腹いっぱい。
16/03/09 23:28:11.07 0.net
ガラケーはちょっと古いとSHA2にすら対応できんから、もう見捨てるしかあるまいて
395:名無しさん@お腹いっぱい。
16/03/09 23:37:11.50 0.net
Let's Encryptの証明書はSHA-256なので古いガラケーだとエラーになる
他のCAも今後新規発行はSHA-256強制となるから同様にガラケーではエラー
396:名無しさん@お腹いっぱい。
16/03/10 00:10:31.50 0.net
>>382
>ここで証明書もらって
これって、正しく言ったら、
自分で作成した公開鍵と自分情報に、ここで署名してもらって、証明書を作成してもらった。
ここで電子署名されるのは、公開鍵+秘密鍵のハッシュ値?
それとも、公開鍵+秘密鍵のハッシュ値+自分情報?
397:名無しさん@お腹いっぱい。
16/03/10 01:39:09.26 0.net
>>385
> ここで電子署名されるのは、公開鍵+秘密鍵のハッシュ値?
> それとも、公開鍵+秘密鍵のハッシュ値+自分情報?
両方不正解
認証局に送信されて電子署名されるのは公開鍵とCSRだけで、秘密鍵も秘密鍵のハッシュも認証局には送信されない
URLリンク(letsencrypt.jp)
電子署名にはCAの秘密鍵が使われる(お前の公開鍵などをCAの秘密鍵で暗号化するのが署名)ので、電子署名作業はLet's Encryptのサーバでやる
電子署名後のデータ(お前が作成した公開鍵をCAの秘密鍵で暗号化したデータ)を
ユーザーのブラウザがCAの「公開鍵」で復号できたら正しい署名だとみなされる
何故ならば、CAの秘密鍵で暗号化したデータは対応するCAの公開鍵でしか復号できないわけで
CAの公開鍵で複合できたということはCAの秘密鍵で暗号化されたということになる = 正規のCAによるデジタル署名ということになる
398:名無しさん@お腹いっぱい。
16/03/11 14:08:19.28 0.net
ガラケーはもうほとんど使い物にならなくなってるから無視していいだろ
399:名無しさん@お腹いっぱい。
16/03/12 15:14:11.00 0.net
いい加減このスレでSSL勉強会するのやめーや
400:名無しさん@お腹いっぱい。
16/03/12 17:11:34.21 0.net
>>388
何の問題もないっしょ
1日1レスあるかどうか分からんような過疎スレなんだから
そうやって初心者排除していると、ただでさえ居ない人が�
401:Xにいなくなって 便所の落書きどころか、廃墟の建物の壁の落書きになってしまうw
402:名無しさん@お腹いっぱい。
16/03/12 17:32:28.77 0.net
さあ、暗号化しよう!っていうスレなんだから
SSLに初めて手を出す人も多いでしょ
403:名無しさん@お腹いっぱい。
16/03/12 17:41:25.87 0.net
そういう人は、横着せずにちゃんと勉強しようね
ってことだろ
404:名無しさん@お腹いっぱい。
16/03/12 17:46:21.43 0.net
Wikiでも作りますかね?
解説というより解説サイトの紹介みたいな感じで
405:名無しさん@お腹いっぱい。
16/03/12 18:24:37.84 0.net
>>389
どうでもいいけどこのスレの勢いは3.8だ
406:名無しさん@お腹いっぱい。
16/03/12 19:50:36.26 0.net
証明書周りは「オレオレ認証局」とか「自己認証局」でググって色んなサイトを熟読すれば
うわべ位わかるようになるだろうに。
仮想マシンでアレコレやって「証明書はこうやって作られる」とまで自分自身で
学習できないようならこのスレ来ても意味ないと思われる。
407:名無しさん@お腹いっぱい。
16/03/12 19:57:24.60 0.net
SSLのことよーわからんけど
テキトーにletsencrypt-autoコマンド叩いたら
いつのまにか証明書類が出来上がってて
ググって出てきたのをパクってテキトーにnginxに設定したら
自分のサイトがhttpsでアクセスできるようになっていて
すごいなぁと思った
細かいこと知ってなくてもコンセプト通り誰でも気軽にSSLできるね
408:名無しさん@お腹いっぱい。
16/03/13 14:34:14.97 0.net
Let's Encrypt で証明書を取得したドメインに対して
Netcraft を名乗る bot から集中的にSSL接続が来た
本当にあの Netcraft の調査なのか、偽者なのかはわからんが
とりあえずブロックしといた
409:名無しさん@お腹いっぱい。
16/03/14 13:35:12.12 0.net
>>386
>認証局に送信されて電子署名されるのは公開鍵とCSRだけで、秘密鍵も秘密鍵のハッシュも認証局には送信されない
レスありがとう。
秘密鍵のハッシュもいっしょに、oreore認証局に渡されるって記事を、
WEBの記事で見たんだよなあ。ずっとさがしているけど、その記事が見つからない・・・
410:名無しさん@お腹いっぱい。
16/03/14 19:41:52.03 0.net
脳内乙
411:名無しさん@お腹いっぱい。
16/03/14 22:01:58.97 0.net
>認証局に送信されて電子署名されるのは公開鍵とCSRだけで、秘密鍵も秘密鍵のハッシュも認証局には送信されない
この下りは解釈の仕方だろうけど、認証局に送られて署名されるのは CSR (署名要求証明書) だけでしょ。
もちろん CSR の中には公開鍵の情報も含まれているから間違いでは無いような気もするけど誤解されそう。
412:名無しさん@お腹いっぱい。
16/03/15 00:44:42.69 0.net
>>399
> CSR (署名要求証明書)
まぁ、解釈の仕方で技術的な話ではないけど、CSR は Certificate Signing Request つまり署名要求なわけで、
「この公開鍵に署名してくださいねー」と認証局に送るための署名要求、つまり手紙のようなもの
で、認証局がやるのは、公開鍵に署名してその公開鍵がそのドメインに属することを証明することなんだから、
「認証局に送られて署名されるのは『公開鍵』」という説明が分かりやすくて合理的なのでは?
CSRは署名してください、っていう手紙に過ぎない
413:名無しさん@お腹いっぱい。
16/03/15 01:10:55.18 0.net
そりゃCSRに署名だったらCN以外もCSR通りに署名してくれるだろw
414:名無しさん@お腹いっぱい。
16/03/15 01:17:36.89 0.net
>>400
CSR (署名要求証明書) ってかいた括弧の中がおかしかった。これは訂正。
言っていることは分かるし伝わる。結果として署名された公開鍵がくるわけだしね。否定する所も無い。
つまり、考え方、合理性の求め方が人それぞれ色々あるんだなと感じた。
もっとも俺がおかしいだけなのかも知れないがw
415:名無しさん@お腹いっぱい。
16/03/15 16:35:36.26 0.net
>>399
CSR(含む公開鍵)が認証局に送られるけど、署名されるのは公開鍵だけっしょ
例えば、Let's EncryptのCAに下記のCSRを送ったとする
コモンネーム: 2cher-no-oresama.jp
組織名: 2cher Co LTE
部門名: BBS Service
市区町村名: Tubo-City
都道府県名: Osaka
国別番号: JP
公開鍵: 公開鍵情報グダグダと長文で列挙
すると、Let'sのCAはCSRの組織名・部門名・市区町村名・都道府県名・国別番号を全部無視(削除)して証明書を発行する
何故ならば、単なるDV証明書でドメイン名しか認証できないのでコモンネーム以外は無視・削除する(ジオトラストとかのDV証明書も同様)
ってことで、CAが署名するのはサーバの公開鍵だけだ
もしCSR全体を署名するとするならば、CSRの記載事項(組織名とか部門名)を認証局が改ざんできないことになるけど、
実際には認証局が勝手に変更したり認証していない項目を削除したりする
416:名無しさん@お腹いっぱい。
16/03/15 18:50:46.72 0.net
CSR に署名って言うは俺の言葉足らずだったので訂正及び謝罪はしておく。
CSR に含まれる「公開鍵」に対し、DV 認証且つマルチドメイン対応だから CN 及び SAN の値以外を削除して署名する。
ということで。
大元に >>399 で俺が書いた引用部分
>認証局に送信されて電子署名されるのは公開鍵とCSRだけで
この部分への違和感は「署名されるのは公開鍵と CSR だけ」にあって、公開鍵は CSR に含まれるから
送信されるのは CSR だけでそこに含まれる公開鍵にのみ署名される
という事になる。
417:名無しさん@お腹いっぱい。
16/03/16 17:07:29.78 0.net
もうわかったから何度も同じこと繰り返し書かなくていいよ
続きはPKI勉強会スレでも立ててそっちでやってくれ
418:名無しさん@お腹いっぱい。
16/03/21 12:59:37.25 0.net
>>405 が怖いから、もう5日もレス無しじゃないか……
誰でもみんな最初は初心者なんだから、多めに見てあげてください
419:名無しさん@お腹いっぱい。
16/03/21 13:44:13.46 0.net
それが正常なスレの状態だ
スレ違いは他所でやれ
420:名無しさん@お腹いっぱい。
16/03/21 23:04:08.48 0.net
基本的なことですみませんが証明書の透明性について、
よく分かってないので質問させてください。
Google ChromeのURLの隣の鍵マークをクリックして接続タブをクリックすると、
「証明書の透明性に関する情報はサーバーから提供されませんでした。」
と表示されるんですが、解決策をぐぐるとApacheの場合はmod_ssl_ct、
nginxの場合はnginx-ctを組み込む解決策が出てくるんですが、
これは通常webサーバーのほうで対応する問題なんでしょうか?
URLリンク(news.valuessl.net)
こういう有料のところのを見てみると証明書発行側で対応しているように見えるのですが。
421:名無しさん@お腹いっぱい。
16/03/21 23:16:05.58 0.net
それはDV証明書以外なら出る
つまりそのサイトを作った奴が信用できるかってことだからLet's Encryptの管轄じゃない
422:名無しさん@お腹いっぱい。
16/03/21 23:36:53.62 0.net
>>409
OV証明書やEV証明書なら出ないということですかね?
ということは、webサーバー側でモジュール組み込んだりして
対応しているのは本来の解決法ではないんですね。
423:名無しさん@お腹いっぱい。
16/03/22 01:15:25.14 0.net
>>408
SCTのdelivery方法は3種類ある
1) CAが証明書にSCTを埋め込む(X.509v3 extension)
これならweb serverに特に何か設定する必要はない。有料証明書のCT対応は基本これ
だがLEは証明書にSCTを埋め込んでない(し、そうする予定はないと明言)
2) web serverのTLS extension
つまりmod_ssl_ctやnginx-ct
なおLEはCT Log serverにsubmitはしてるから、ct-submitは必要ない
3) OCSP stapling
CAが対応しないとNGで、LEはいずれ対応するかも知れないが現状まだ
>>409
色々間違いすぎで知識が古い
424:名無しさん@お腹いっぱい。
16/03/22 01:45:06.74 0.net
>>411
分かりやすく説明ありがとうございました。
説明のおかげで解決策に納得できました。
現状では2)でしか対応できないということですね。
425:名無しさん@お腹いっぱい。
16/03/22 08:16:25.54 0.net
>>411
こういうのってどこで覚えるのか、素直に教えてほしい
426:名無しさん@お腹いっぱい。
16/03/22 11:15:07.25 0.net
TLSサーバからクライアントにSCTを渡す方法は規格上は3つある
① TLSサーバ証明書のemvedSCT拡張に含める
② TLSハンドシェイクのsigned_certificate_timestamp型TLS拡張に含める
③ TLSハンドシェイクのstatus型TLS拡張のOOSP staplingに含める
ググったところ、実際に対応実装があるのは ① のみ(それも対応ブラウザは Google ChromeだけI)で、
それ以外の方法は実装例がないそうだけど、②や③に対応している環境はあるのか?
427:名無しさん@お腹いっぱい。
16/03/22 12:07:34.49 0.net
Chromeは2対応してる。確認済み。3はシラネ
428:414
16/03/22 12:12:26.37 0.net
>>415
貴重な情報サンクス
このスレにも神(本物のエンジニア)が居たようだ。。。
429:名無しさん@お腹いっぱい。
16/03/23 16:38:16.82 0.net
Let's Encrypt の話じゃないが、無料SSLの StartSSL にドメイン認証不備の脆弱性があったようだ
URLリンク(blog.tokumaru.org)
証明書取得時のWebフォームで、認証用メールアドレスのパラメーター(下記のDOM)を書き換えることで、
任意のメールアドレスでの認証が可能だったとのこと。
<input name=
430:名無しさん@お腹いっぱい。
16/03/23 16:38:53.53 0.net
(2chの不具合で投稿が途中で切れたので続き)
<input name="ValidateEmails" type="radio" value="webmaster@example.com">
こういうWebアプリケーション製作の入門書にも載っているような低レベルな脆弱性があるとか、StartSSL は信用できん
やっぱ90日ごとの更新が面倒でも Let's Encryptの方がいいね
431:名無しさん@お腹いっぱい。
16/03/23 21:31:47.02 0.net
Let's Encrypt が面倒なのは最初だけ。
自動更新するようにシェル書いたらあと放置。
432:名無しさん@お腹いっぱい。
16/03/23 22:26:49.34 0.net
最初の手順も、そこらのに比べれば楽だと思う。
433:名無しさん@お腹いっぱい。
16/03/25 03:07:50.27 0.net
>>418
クライアントから送られてくるデータを信用してはいけないと、
教科書に書いてありますね。
434:名無しさん@お腹いっぱい。
16/03/25 21:02:38.02 0.net
>>421
残業だらけで寝不足になってくるとセキュアなコーディングなんて心がける余裕はなくなってくるんだよ
時間が無いと、オブジェクト指向どころか、関数にすべきところをコピペして一部編集してコーディング、
ググって適当にでてきたコードをよく読まずに無理やりつなぎあわせて、エラーが出た場所だけとりあえず修正して間に合わせ
とにかく急いで完成させるようになるの
勿論、プロなのでできる限り穴がないようにするが、ところどころ抜けるのはやむを得ない
睡眠不足で過労死するよりはマシだろう
一番のWebアプリケーションの脆弱性対策は、教育ではなく労働環境の改善だと思う
セキュアなコーディングのやり方をプログラマーが知らないのではなく、それに気を配る時間がないというのが現実
435:422
16/03/25 21:04:57.01 0.net
その点、非営利で趣味でやっているようなオープンソースのフリーソフトってのは
「美しいコード」「オ�
436:uジェクト指向」「セキュアなコーディング」といった作者が拘りたいところに 時間を気にせずとことん拘れるから、場合によってはプロよりも良い物ができる 寝不足の中納期に無理やり間に合わせるような雑なコードとは違って、趣味のプログラミングなら 自分のやりたいペースでできるからね
437:名無しさん@お腹いっぱい。
16/03/25 21:34:39.75 0.net
おいスレタイ
438:名無しさん@お腹いっぱい。
16/03/31 23:33:18.91 0.net
βなのにトラブルとか全然なくてスレが盛り上がらない模様
439:名無しさん@お腹いっぱい。
16/04/01 12:17:41.78 0.net
いいことだ
440:名無しさん@お腹いっぱい。
16/04/01 12:47:27.45 0.net
仕込んでた自動更新スクリプトが無事勝手に更新して反映してくれていた事を確認出来たのでもう放置ですわ。
441:名無しさん@お腹いっぱい。
16/04/03 20:48:36.40 0.net
これ、期限の何日前になったらメール送られてくるのかねー
スクリプトで回すから、一ヶ月毎に強制的に更新してればメール来ないんだろうけど
442:名無しさん@お腹いっぱい。
16/04/03 22:52:01.98 0.net
>>428
19日前と9日前にメール届いてる
443:名無しさん@お腹いっぱい。
16/04/03 23:55:55.83 0.net
>>429
なるほど
やっぱり隔月で更新でちょうどいい感じなのね
ありがと
444:名無しさん@お腹いっぱい。
16/04/05 07:50:15.87 0.net
0日前(1日未満)メールも届いた!
445:名無しさん@お腹いっぱい。
16/04/05 07:56:49.16 0.net
最後通牒だぬw
446:名無しさん@お腹いっぱい。
16/04/15 22:39:46.28 0.net
Windows10 + xamppで導入してみようと思ってletsencrypt.exeを落としてきて実行したんですが、
Which host do you want to get a certificate for: m
Enter a host name: hogehoge.com
Enter a site path (the web root of the host for http authentication): d:\DATA\htdocs
System.ArgumentNullException: 値を Null にすることはできません。
パラメーター名:collection
場所 System.Collections.Generic.List`1..ctor(IEnumerable`1 collection)
場所 LetsEncrypt.ACME.Simple.ManualPlugin.HandleMenuResponse(String response, List`1 targets)
場所 LetsEncrypt.ACME.Simple.Program.Main(String[] args)
Press enter to continue.
とエラーとなってしまいます。どなたか解決策が分かる方はいらっしゃるでしょうか?
447:名無しさん@お腹いっぱい。
16/04/15 22:58:51.13 0.net
>>396
同じ事が起こった
一つ上のドメインにはアクセス来ないのに、
存在してないサブドメインに対するアクセスがあるね
とりあえず418返してるけど
448:名無しさん@お腹いっぱい。
16/04/15 23:21:57.68 0.net
>>433
Windows以外の環境で証明書作る
わざわざやりづらいWinでやる必要はない
449:名無しさん@お腹いっぱい。
16/04/15 23:35:04.04 0.net
>>434
毒入れ?
450:名無しさん@お腹いっぱい。
16/04/16 00:05:37.62 0.net
>>436
なんか狙われてるって?(笑)
451:名無しさん@お腹いっぱい。
16/04/16 02:18:15.04 0.net
>>434
418で草
452:名無しさん@お腹いっぱい。
16/04/16 03:15:01.02 0.net
ステータスコード 418 I'm a teapot のページ探してみたらあった
URLリンク(www.google.com)
てっきり無効なステータスコードとしてエラーになるかと思ったら、
RFCで定義されたステータスコードだけあって、ちゃんと主要ブラウザでエラーにならず問題なく閲覧できるんだね
453:名無しさん@お腹いっぱい。
16/04/16 14:03:42.05 0.net
てか大半のブラウザは不明なステータスコードとしてスルーしているだけだと思う
一部IEとかで404の時ブラウザ独自のエラー画面出すことがあるっぽいけど
普通は404でも403でも500でも何でもとりあえずサーバーから返されたHTML表示してるし
454:名無しさん@お腹いっぱい。
16/04/18 19:02:54.08 0.net
ベータ取れて正式版になったようだね
URLリンク(letsencrypt.jp)
URLリンク(gigazine.net)
455:名無しさん@お腹いっぱい。
16/04/25 02:35:42.29 0.net
2月の初めごろに証明書とった香具師、そろそろ更新の時期だから忘れずに更新しような!
456:名無しさん@お腹いっぱい。
16/04/25 09:17:39.41 0.net
ふつうに注意喚起のメール飛んでくるから、そういうのいらんです
457:名無しさん@お腹いっぱい。
16/04/25 09:18:49.83 0.net
あって困ることはない
458:名無しさん@お腹いっぱい。
16/04/25 10:06:36.81 0.net
2回目の取得は自動スクリプトがちゃんと動いてるかどうかの確認に使うのがいい
459:名無しさん@お腹いっぱい。
16/04/25 10:48:07.67 0.net
俺なんかスクリプトの記述を数文字間違えて、4日で更新しちまった事があるぜぃ
-ne と != は違うから気を付けような!(笑)
460:名無しさん@お腹いっぱい。
16/04/27 18:00:16.35 0.net
!rrbuild:age
461:名無しさん@お腹いっぱい。
16/04/27 18:00:30.56 0.net
板復帰(NG!:Gather .dat file OK:NOT moving DAT 592 -> 592:Get subject.txt OK:Check subject.txt 592 -> 592:fukki NG!)1.15, 1.04, 1.00
age Maybe not broken
462:名無しさん@お腹いっぱい。
16/05/08 23:53:04.44 0.net
証明書取得記念上げ
463:集ストテク犯被害者必見!
16/05/09 05:39:39.70 0.net
[拡散希望!]
参考になりそうなURL送っておきます
電磁波による拷問と性犯罪
URLリンク(denjiha.main.jp)
公共問題市民調査委員会
URLリンク(masaru-kunimoto.com)
この方たちは集団訴訟の会を立ち上げてマスコミに記事にしてもらう事を目的に集団訴訟を被害者でしようという試みを持っている方達です
訴訟は50人集めてしようという事なのですが50人で訴訟をすると記事に書けるそうです
記事には原発問題を取り上げてテク犯被害を受ける様になった大沼安史さんらが取り上げて下さるそうです
大沼安史さんがテク犯に遭っているという記事
URLリンク(ameblo.jp)
大沼安史の個人新聞
URLリンク(onuma.cocolog-nifty.com)
この方たちは電話相談等も受け付けている様で電話番号を載せている方達は電話かけ放題の契約をしていますのでこちらから電話して本人にかけ直してくれと頼むとかけ直してくれます
音声送信被害等を受けている「電磁波による拷問と性犯罪」の記事の水上さんは年金暮らしなので時間には余裕があるそうで宗教等に付随する集団ストーカー等の被害内容の話も聞いて下さいます
もう一人の電磁波犯罪には遭っていない国本さんという方は電磁波犯罪をしっかり理解されている方で年金暮らしの方なので長電話も大丈夫です
大沼さんはこちらのページからメールを受け付けておられる様です
URLリンク(onuma.cocolog-nifty.com)
電話をかけたい場合は人によってはメールで電話番号を訊くと教えてくれると思います
この文章を見られた方は全文コピーをしてできるだけ多くの知り合いの被害者の方等にメールを送るなり被害者ブログに書き込むなりしていただければ大変有難いです
もし大勢の方に送る事が出来なければまだこの文章に触れていない知り合いの被害者に少しでも全文コピーで送っていただけるとその方が次の何人かの方に繋いで頂ける場合があり結果として大勢の方に見て頂く事が出来るはずです
ご協力よろしくお願い致します 👀
Rock54: Caution(BBR-MD5:f70dfdc711a7c6ae6accccb939f27fbf)
464:名無しさん@お腹いっぱい。
16/05/09 20:06:24.10 0.net
おせわになてる
URLリンク(twitter.com)
465:名無しさん@お腹いっぱい。
16/05/11 02:21:24.12 0.net
Windowsで"sudo" is not availableってエラーが出るんだけど
466:名無しさん@お腹いっぱい。
16/05/11 07:27:16.99 0.net
草
467:名無しさん@お腹いっぱい。
16/05/11 11:23:30.66 0.net
sudoいらんだろうけど、その後ろのコマンドは何を動かそうとしてんの?
Windowsでやったことないけど、↓これ使ったら
URLリンク(github.com)
468:名無しさん@お腹いっぱい。
16/05/11 11:33:39.33 0.net
あーあとSolarisの人はOpenCSWでいける
469:名無しさん@お腹いっぱい。
16/05/11 15:27:54.09 0.net
☆ 総務省の、『憲法改正国民投票法』、でググってみてください。☆
日本国民の皆様方、2016年7月の『第24回 参議院選挙』で、日本人の悲願である
改憲の成就が決まります。皆様方、必ず投票に自ら足を運んでください。お願い致します。
470:名無しさん@お腹いっぱい。
16/05/28 12:54:37.67 0.net
公式のスクリプトって毎日更新されるね
日によっては複数回
471:名無しさん@お腹いっぱい。
16/06/04 01:51:08.99 0.net
日本語ドメイン登録しようとしたらエラー出るんだけど、どうすればいいの?
472:名無しさん@お腹いっぱい。
16/06/04 02:04:04.80 0.net
別の蔵使ってみる
473:名無しさん@お腹いっぱい。
16/06/05 13:42:01.62 0.net
OCSP stampingしたいときはどれを指定すればええんじゃ?
474:名無しさん@お腹いっぱい。
16/06/05 13:53:06.81 0.net
X3に署名されてるけどこれ用の証明書が見つからん
475:名無しさん@お腹いっぱい。
16/06/05 14:29:12.29 0.net
でけた
>>460-461は気にしないで
476:名無しさん@お腹いっぱい。
16/06/10 16:10:21.33 0.net
みなさんどんな感じ?
URLリンク(www.ssllabs.com)
477:名無しさん@お腹いっぱい。
16/06/10 21:45:22.95 0.net
>>463
A+
478:名無しさん@お腹いっぱい。
16/06/10 23:24:57.91 0.net
自分専用だーってセキュリティをガチガチにやりすぎると、
おかしな挙動として判定されてテストが完走できないw
479:名無しさん@お腹いっぱい。
16/06/10 23:34:56.25 0.net
完走出来ないってそれって設定ぽしゃってるんじゃなくて?w
480:名無しさん@お腹いっぱい。
16/06/10 23:40:50.98 0.net
どうなんだろ
まず認証かけてて、一定回数以内にパスしないだけでFWでシャットアウトだから…
たまに自分も締め出されるwww
481:名無しさん@お腹いっぱい。
16/06/10 23:52:00.28 0.net
そら完走するわけがない
482:名無しさん@お腹いっぱい。
16/06/11 00:15:29.12 0.net
Let's Encrypt の話じゃないけど、apacheの設定もっと簡単に出来るようにならないかなぁ
confに許可する暗号と許可しない
暗号をずらずらかくと長たらしくてしょうがない
483:名無しさん@お腹いっぱい。
16/06/11 00:24:48.39 0.net
SSLProtocol all -SSLv2 -SSLv3
SSLCipherSuite HIGH:!aNULL:!eNULL:!MD5
SSLHonorCipherOrder on
これで十分やろ
484:名無しさん@お腹いっぱい。
16/06/11 00:30:03.05 0.net
こんなのがあるんですな
URLリンク(mozilla.github.io)
485:名無しさん@お腹いっぱい。
16/06/11 03:44:27.84 0.net
まあ、暗号化スイート列挙したりすると、
confの見た目が汚くてなって直感的になに書いてあるか把握しにくい
というのはわかる
そこは自動生成したものを使うのでコピペではあるのだけれど
486:名無しさん@お腹いっぱい。
16/06/11 11:11:56.71 0.net
うちはsslの設定部分だけをどこかに書いておいてconfからそれをincludeしてる
487:名無しさん@お腹いっぱい。
16/06/11 11:25:51.42 0.net
何このメール
488:名無しさん@お腹いっぱい。
16/06/11 11:27:40.39 0.net
書くところミスったんかな?
メールアドレスがアホみたいに大量に書いてある
489:名無しさん@お腹いっぱい。
16/06/11 11:39:59.27 0.net
俺のメアドもあったな
こりゃオペミスで全アドレス流出ですかねwe've
490:名無しさん@お腹いっぱい。
16/06/11 11:40:22.44 0.net
we'veじゃなくてw・・・
余計な補完しなくていいのに
491:名無しさん@お腹いっぱい。
16/06/11 11:45:20.30 0.net
なかなかやばいな
俺は晒されても問題ないアドレスでしか登録しないから別にいいけど
492:名無しさん@お腹いっぱい。
16/06/11 13:04:05.46 0.net
今までlet's encryptからメール来たことないんだけど…
証明書の期限1日前まで放置しててもお知らせメールとかなかったし
今回のお漏らしメールも来てないし
493:名無しさん@お腹いっぱい。
16/06/11 13:17:03.62 0.net
おま環
494:名無しさん@お腹いっぱい。
16/06/11 17:00:10.22 0.net
これみたいですね
URLリンク(community.letsencrypt.org)
前代未聞というか、だいぶまずい気がするけどどう対応するんだろう
495:名無しさん@お腹いっぱい。
16/06/11 17:47:20.18 0.net
対応のしようがないだろ
どうするってんだ?
496:名無しさん@お腹いっぱい。
16/06/11 17:54:12.47 0.net
ac.jpなんかで作るなよ
497:名無しさん@お腹いっぱい。
16/06/11 17:57:01.30 0.net
俺のもぎりぎり入ってるんだなあ
別に問題はないけどどうするのかは気になる
498:名無しさん@お腹いっぱい。
16/06/11 18:15:36.50 0.net
手違い自体はまずいだろうが……。
SSL証明書なんだからドメインはだいたい公知、
ローカルパートは postmaster とか info とかその手のものなんじゃないの、普通。
499:名無しさん@お腹いっぱい。
16/06/11 18:18:29.65 0.net
手違いじゃなくてバグだってさ
途中で止めたから7200件くらい漏れたとか
500:名無しさん@お腹いっぱい。
16/06/14 06:44:42.11 0.net
ここから漏れるとは想定してなかったわ。
どうやってアドレス変更するんだ。
501:名無しさん@お腹いっぱい。
16/06/14 08:00:54.79 0.net
スレチ
502:名無しさん@お腹いっぱい。
16/06/14 08:16:30.03 0.net
適当なgmailを取ってた俺が勝ち栗
503:名無しさん@お腹いっぱい。
16/06/14 09:42:13.87 0.net
10minutemail使ってたから無問題
504:名無しさん@お腹いっぱい。
16/06/14 09:42:52.40 0.net
>>490
むしろそれは問題だ
505:名無しさん@お腹いっぱい。
16/06/14 09:51:54.50 0.net
>>491
期限過ぎても仕様書が上がってこなかったせいで、程なくして企画ごとなくなったからへーきへーき
506:名無しさん@お腹いっぱい。
16/06/14 10:40:48.35 0.net
>>463
F
sudo yum update openssll 実行して sudo service httpd restart したら A+ になったわ
OpenVZのVPSだから、全体的にyum updateできないのよね
助かったわー n ∧_∧
(ヨ(´∀` ) Thanks!
Y つ
507:名無しさん@お腹いっぱい。
16/06/14 10:43:38.41 0.net
うちはA+だなあ
どのドメインをメインにしてどれをSNIにするか選べないのかしら
508:名無しさん@お腹いっぱい。
16/06/14 11:46:14.77 0.net
HSTSを有効にしなければAが限界
HSTSを有効にすれば多分A+になる
509:名無しさん@お腹いっぱい。
16/06/14 11:52:01.89 0.net
有効にしないメリットって?
510:名無しさん@お腹いっぱい。
16/06/14 12:26:43.19 0.net
>>496
httpとhttpsで違うものが表示されるようにしてたらHSTSで酷い目にあったことならある。
今では反省してる
511:名無しさん@お腹いっぱい。
16/06/14 12:27:58.91 0.net
リダイレクトしとけよ・・・
512:名無しさん@お腹いっぱい。
16/06/14 12:36:16.68 0.net
期限切れ直前のドメインにアホみたいに長い時間指定したら嫌がらせできそうだな
513:名無しさん@お腹いっぱい。
16/06/14 13:08:54.28 0.net
してどうすんの?
514:名無しさん@お腹いっぱい。
16/06/14 13:09:36.31 0.net
別のサイトが使った時にhttpで繋いでくれなくなる
515:名無しさん@お腹いっぱい。
16/06/14 13:45:46.12 0.net
捨てるようなドメインにアクセスしてるヤツなんていない
516:名無しさん@お腹いっぱい。
16/06/14 13:49:40.63 0.net
アフィサイトとかが失効したドメイン買い漁ってるじゃん
それに嫌がらせできる
517:名無しさん@お腹いっぱい。
16/06/14 14:51:31.13 0.net
>>503
そうそうそう言うこと
良さげなドメインゲット!→接続来ない(;´Д`)
518:名無しさん@お腹いっぱい。
16/06/14 15:06:19.00 0.net
ただ単にHSTS設定しても失効する前にアクセスしたブラウザにしか効果ない
現役時代のアクセス層と跡地のアフィサイトのアクセス層が被る可能性は低い
ってことでpreload HSTSに登録しよう
そしたら全世界のChromeやFirefoxに効く
519:名無しさん@お腹いっぱい。
16/06/14 18:57:11.04 0.net
preload は全てのサブドメインを HTTPS にするのが面倒くさいから放置してる俺。
520:名無しさん@お腹いっぱい。
16/06/16 19:38:53.35 0.net
HSTSにしちゃうと、部分的にHTTPなページ作れなくなるじゃん?
月極広告の広告主がリファラ取りたいと言ってきたときとか(HTTPS→HTTPはIEだと飛ばない)、
A8.net とかのSSL非対応のASP使いたいときとかに困る
結構リスク高いのでHSTSには慎重になった方がいいと思う、もちろんセキュリティ上は重要なんだけどね
521:名無しさん@お腹いっぱい。
16/06/16 19:46:51.55 0.net
いつでもやめられるでしょ
時間0に設定すればいいだけ
アクセスするたびに
522:時間更新されるしあくせすしないならそいつは相手する必要ないんだし
523:名無しさん@お腹いっぱい。
16/06/17 17:29:20.70 0.net
スラドでも記事になった模様
【Let's Encrypt、ほかのユーザーのメールアドレスを記載したメールをユーザーに送信】
URLリンク(security.srad.jp)
524:名無しさん@お腹いっぱい。
16/06/17 17:57:54.07 0.net
まぁメールアドレスをミスで漏えいさせたぐらいでたたくまくるのもかわいそうな気がする
どっかの馬鹿CAみたいに秘密鍵漏えいさせたわけじゃないんだしw
525:名無しさん@お腹いっぱい。
16/06/17 18:04:32.52 0.net
URLリンク(tdrparkbgm.web.fc2.com)
526:名無しさん@お腹いっぱい。
16/06/17 18:15:44.25 0.net
>>511 はスパム行為 (Let's Encryptに無関係なサイト)
クリックせずにスルーよろ
527:名無しさん@お腹いっぱい。
16/06/17 18:47:33.18 0.net
>>511
「東京ディズニーリゾートの音楽情報サイト|Tokyo Disney Resort PARK BGM Lists」
明らかに全く無関係
>>512
ただ単にクリックせず~って言われると本当に関係ないのか逆に気になっちゃうじゃないかw
528:名無しさん@お腹いっぱい。
16/07/01 14:53:46.96 0.net
エックスサーバー、レンタルサーバー全プランで「Let's Encrypt」の無料SSL証明書が利用可能に
URLリンク(internet.watch.impress.co.jp)
> 今回の機能追加により、利用者はサーバー設定画面の
> 「SSL設定」から手軽にLet's Encryptの証明書を申請し、
> 発行および設定までを完了させることができる。
レンタルサーバー会社で初めてってわけではないみたいだが、
SSL対応の流れは止められないだろうし、管理者権限のない
レンタルサーバーでも導入できる環境が増えていくかな。
529:名無しさん@お腹いっぱい。
16/07/02 21:26:18.76 0.net
Let's Encryptは互換性の観点からいうとダメ過ぎる
8割対応するけど、ごく一部のアンドロイドやSHA-2に対応したニンテンドー3DS
はIdenTrustのルート証明書がないが故にエラーが出るからなぁ
たかが3DSに対応する必要はあるんかというと、結構なアクセス数なんだよなぁ
ジオトラストのルート証明書を使用するRapidSSLのような有料証明書の方が3DSも対応するし
互換性でいうとほぼ完璧だから使い分けがいいと思う
530:名無しさん@お腹いっぱい。
16/07/02 23:33:52.15 0.net
3DS相手にするコンテンツ載っけてるヤツなんてごくごくごく一部だけだろw
531:名無しさん@お腹いっぱい。
16/07/03 00:17:05.93 0.net
>>516
それがだな、ゲーム系扱ってるせいか3DSからも結構アクセスしてくる
Let's Encrypt導入して4日後New 3DSで閲覧したら「証明書が見つかりませんでした」とエラー
吐いたから調べたらそもそも対応してなかったと聞いて、SSL化は断念したわ
532:名無しさん@お腹いっぱい。
16/07/03 00:58:01.47 0.net
対応できていない古いものは無視しろよ
533:名無しさん@お腹いっぱい。
16/07/03 01:05:22.52 0.net
>>517
あれ?理解してもらえなかった
お前みたいなヤツは世の中的には極少数だ
だから、一般人は気にせず導入して良い
534:名無しさん@お腹いっぱい。
16/07/03 03:36:18.49 0.net
確かに RapidSSL の方が IdenTrust より対応環境多い気がする
ただ、「有料証明書の方が対応」というのは間違いで IdenTrust は有料証明書を販売しているかなり大手の認証局
あと、高い証明書の方が対応率が高いというわけでもなくて、クレジットカード業界の3Dセキュア認証ページなんかは、
古いブラウザの対応率が下がるのを懸念して EV SSL(アドレスバー緑のやつ)じゃなくてセキュリティレベルの低いOV証明書を使い続けたりもしている
調べたら3DSはルート認証局にかなり偏りがあってしかも少なく有料でも対応していないとこも多いね
535:ルート証明書のアップデートも事実上行われなくて放置だし、これは任天堂が悪いとしか言いようがない 任天堂は DS / DSi で 脆弱なWEP暗号を強要して世界中のWi-Fiのセキュリティレベルを下げたりと、問題が多すぎる はっきり言って、任天堂の問題 数年後には3DSに入っているルート証明書の有効期限があちこち切れるので、弾かれる認証局はどんどん増えてくよ、任天堂はルート証明書のアップデートの面倒も見る気なさそうだから
536:520
16/07/03 03:38:37.46 0.net
あと、ゲーム系サイト運営なら >>517 の判断は正解
3DSのゲーム攻略系サイトで、3DSのブラウザからアクセスできないとかは、ユーザビリティからして論外だろう
何よりもターゲットとなる環境でアクセスできる証明書を選ぶことが最重要
任天堂の糞ブラウザに合わせるしかない
537:名無しさん@お腹いっぱい。
16/07/03 03:47:21.58 0.net
おまえ
さくらの長文野郎だろ!
538:名無しさん@お腹いっぱい。
16/07/03 11:39:02.75 0.net
ゲーム系サイト見ないから単に疑問なだけなんだけど、
3DSの攻略情報をスマホやPCじゃなくて3DSで見るの?
539:名無しさん@お腹いっぱい。
16/07/03 12:50:58.39 0.net
スマフォとか持てなかったりする子供が、って前置きじゃないの?
勿論大人も楽しむだろうけど、子供向けゲームソフトだってたくさん出てるし
540:名無しさん@お腹いっぱい。
16/07/03 13:18:03.98 0.net
全端末対応のサイトなんてのもないでしょう
普通は切り捨てると思うけどなぁ
541:名無しさん@お腹いっぱい。
16/07/03 13:28:19.83 0.net
>>525
ゲーム系で3DS切り捨ては有り得ない選択
(Google アナルティクスアクセス解析結果)
Chrome … 30%
Safari … 25%
IE … 10%
Android 標準ブラウザ … 8%
Nintendo 3DS Browser … 6%
Nintendo Browser … 6%
Firefox … 5%
Edge … 4%
Playstation Vita Browser … 2%
Safari (in-app) … 2%
任天堂系のブラウザが 1割以上を占めてるんだけど、これ切り捨てろと?
流石にそれは頭悪いと思う
542:名無しさん@お腹いっぱい。
16/07/03 13:34:12.59 0.net
アフィで儲かってるんだから、有料のちゃんとした証明書買え。
543:526
16/07/03 14:04:45.24 0.net
>>527
そうですね
対応状況調べたりとか悩んだりとか格安業者探すのに無駄な時間を使うのもバカバカしいので、
明確に3DS対応している ジオトラスト クイックSSL プレミアムを3年分買いました
78,200円しましたが1カ月あたりにするとせいぜい2000円程度、AdSense+アフィ収入は月70万ぐらいあるのでこれぐらい痛くも痒くもないです
544:名無しさん@お腹いっぱい。
16/07/03 14:07:43.44 0.net
技術系ブログはこう
1. Chrome 65%
2. Internet Explorer 15%
3. Firefox 14%
4. Edge 2%
5. Safari 1%
3DS?何それ美味しいの?
545:名無しさん@お腹いっぱい。
16/07/03 14:08:51.73 0.net
一瞬未対応かと
546:526
16/07/03 14:16:00.12 0.net
買ったのはいいけど、メールで来た説明が専門用語書き並べてよくわからない
続いて、以下より2つの中間CA証明書の(-----BEGIN CERTIFICATE-----) から (-----END CERTIFICATE-----)までをそれぞれコピーし、
3階層目を上に2階層目を下にテキストエディタに貼り付け、中間CA証明書ファイルとして任意のファイル名で保存します。
テキストエディタとか貼り付けとか言われても、専用サーバにTera Termで接続だと文字書き換えは簡単でもマウス使えないからコピペムズイ
テキストエディタがどうとか、Windowsサーバを前提にしてるのか?
どうやってインストールしたらいいかサポートに電話したら平日9:30-17:30じゃないと対応できないとか言われるし最悪
土日電話対応しないとかサービス業としてなってない
Let's Encrypt関係なくなるのでそろそろ退場しますがみなさん、ジオトラ○トはわけのやめたほうがいいです
547:名無しさん@お腹いっぱい。
16/07/03 14:18:29.21 0.net
調べてみたらうちも今月は一件もないな
Google Chrome 207,634
Firefox 24,388
Internet Explorer 6,042
Android Browser 4,572
Opera 4,313
Mobile Safari 945
Dolphin(Android) 411
Safari 751
UCBrowser(Nokia) 210
サポートに電話して聞かなきゃいけないほど無能だって自覚があるならそんなことやらなきゃいいのに・・・
548:名無しさん@お腹いっぱい。
16/07/03 14:20:39.58 0.net
>>531
これはひどいw
こんなヤツがSSL買う時代なんだね・・・
てかこいつはなんでSSLを導入しようとしてんだ?
GoogleのSEO対策のためだけか?
549:526
16/07/03 14:41:27.49 0.net
>>532
サイトによってそこまでブラウザが違うのか!
> サポートに電話して聞かなきゃいけないほど無能だって自覚があるならそんなことやらなきゃいいのに・・・
そんなにいうほど無能?
そりゃ、お前らみたいなパソコンオタクには勝てないだろうけど、文系の中ではパソコンできる方だよ
これでも専用サーバへのapache+php+mySQL+ワードプレスの構築は、Mysqlのインストール時にエラー出て鯖屋に遠隔でやってもらったのを除けば自分でできたんだよ
ただviはコピペが難しくて行数調べて 5yy みたいにうってpで貼り付けなきゃいけないんだけど
そのとき上書きされたり1行ずれたりしてなかなかうまくいかないしし、中間証明書の階層がどうとかと言われてもどっちが上からわからない
ジオトラ○トは、証明書の統合が必要なら最初からくっつけたのを送ってくれればいいし、コマンド1つで導入できるアプリとかを用意してほしかった
>>533
うん
IT系コンサルやってる知人に聞いた話ではPCからの検索だと順位への影響は1%程度だけど
スマホからの検索だともっと影響するらしい(Googleは広告強制注入したりする悪質なフリーWi-Fiスポットだらけの海外が基準でSSL推進らしい)
SSLだとA8のアフィ貼れなくなるけど、収入の大半がAdSense,Amazonアフィ,月極広告だからデメリットは少ないと考えた
リピーターよりも検索経由のアクセスの方が圧倒的に広告クリック率も広告クリック単価も高いしね
550:名無しさん@お腹いっぱい。
16/07/03 14:43:33.81 0.net
まあ導入しようとする意欲があるのはいいことだ
ゲーム機だとうちは一昔前PSPからのアクセスが結構あったな
551:名無しさん@お腹いっぱい。
16/07/03 14:47:34.05 0.net
>>534
viが難しいなら他のを使えばいいのですよ
Linux慣れてないならコンソール複数開いてnanoがいいんじゃないの?
552:名無しさん@お腹いっぱい。
16/07/03 14:59:54.84 0.net
ローカルで編集してからうぷすれば良いだけ
553:名無しさん@お腹いっぱい。
16/07/03 16:58:28.71 0.net
うちはktai.example.comみたいなドメインにガラケー用ページを全部まとめて置いて3DSも(対応するとしたら)そこにおく方向で考えてる
554:名無しさん@お腹いっぱい。
16/07/03 17:13:23.67 0.net
>>538
ガラケーからのアクセスはどんなジャンルのサイトだろうと1%未満っしょ?
もう対応しなくていいと思う
あと3DSはどちらかと言えばスマホサイトに近いつくりで問題なく表示できるので
ガラケー向けよりスマホ向けコンテンツ(普通のレスポンシブデザイン)を配信するのが合理的
555:名無しさん@お腹いっぱい。
16/07/03 17:32:16.70 0.net
え、IdenTrust非対応のシステムなんて今どきあったのか…
まあ、アクセスするユーザ数がふえるまではこのままでいいかな
556:名無しさん@お腹いっぱい。
16/07/03 17:41:10.71 0.net
>>540
実際、IdenTrustな環境なんてのは、3DS ・ Android 2 ・ Blackberry OS 10以下、ぐらいしか存在しない
XPのSP2以下で非対応なのはSHA-256非対応が原因だから別問題
URLリンク(community.letsencrypt.org)
Known not to work (based on URLリンク(groups.google.com))
Blackberry OS 10, 7, & 6
Android 2.3.5 (HTC Wildfire S, Stock Browser)
Nintendo 3DS
Windows XP-pre SP3 - cannot handle SHA256 signed certificates
557:名無しさん@お腹いっぱい。
16/07/03 17:41:38.02 0.net
非対応が抜けた
IdenTrustな環境 ⇒ IdenTrust非対応な環境
558:名無しさん@お腹いっぱい。
16/07/03 17:43:24.36 0.net
DSのときのWEP暗号強要に続いてSSLでも問題を起こす任天堂
皆に迷惑なのでインターネットに繋がる機器を二度と作らないでいただきたいものだ
559:名無しさん@お腹いっぱい。
16/07/03 20:38:15.45 0.net
ゴキブリが湧いてきたなww
PSは新しい機種のくせに古いプロトコルバージョンしか対応しない欠陥品じゃんw
>>520
DSiはWEPじゃねーよww
560:名無しさん@お腹いっぱい。
16/07/03 20:39:40.43 0.net
スレチ
な?
561:名無しさん@お腹いっぱい。
16/07/03 20:59:16.92 0.net
少しでも叩ける要素があるとゴキちゃん湧いてくるからなwwwwwwwww
562:名無しさん@お腹いっぱい。
16/07/03 21:10:32.86 0.net
>>544
実質的にWEP強制だよ
【DSiのWPA対応がまるで意味を成していない件】
URLリンク(blog.goo.ne.jp)
うごくメモとブラウザのみの目的でDSiをWi-Fiに接続する人がどんだけいんの?
ゲームをネット接続しようとするとエラーが出るのでWEPにせざるを得なかった
563:名無しさん@お腹いっぱい。
16/07/03 21:14:07.86 0.net
ゲハことハゲ民死ね
564:名無しさん@お腹いっぱい。
16/07/03 21:17:08.71 0.net
いや、これは重要な問題だよ
Let's Encrypt の証明書と3DSのブラウザに互換性が無いというのは極めて重大な問題
Nintendoにルート証明書のアップデートを呼びかける必要がある
565:名無しさん@お腹いっぱい。
16/07/03 21:23:38.79 0.net
インターネットブラウザー 対応している認証局(CA)
URLリンク(www.nintendo.co.jp)
任天堂はルートCAの一覧をWeb上で公開していることだけは評価できるな
しかしIdenTrustは北米ではシェア結構あるのに、どうしてるんだろうか
大人は3DSのブラウザに期待していないし子供は何が原因だか判別できないからクレーム少なくてスルーなのか?
566:名無しさん@お腹いっぱい。
16/07/03 23:56:46.62 0.net
Let's encryptを使ってAPIを公開した場合に、Javaからアクセスすると認証に失敗して接続できないというのも地味に不便
567:名無しさん@お腹いっぱい。
16/07/04 00:52:54.36 0.net
>>551
わかる。
568:名無しさん@お腹いっぱい。
16/07/04 01:06:32.52 0.net
javaのcaに追加すれば済むだろ
569:名無しさん@お腹いっぱい。
16/07/04 02:00:31.74 0.net
>>553
だから「地味に」不便
相手側にやらせなきゃいけないしね……
570:名無しさん@お腹いっぱい。
16/07/04 02:03:42.17 0.net
ちなみにLet's Encryptを否定したり責めたりしているわけじゃないからね(わかるだろうけど念のため
JDKはバージョンアップ続けているんだから対応して欲しい
571:名無しさん@お腹いっぱい。
16/07/04 02:38:55.22 0.net
javaのcaに入ってないせいでLINEのapi鯖からletsencの鯖へのコールバックができなくて
LINEのAPI試した人たちが阿鼻叫喚してた
572:名無しさん@お腹いっぱい。
16/07/04 06:55:15.80 0.net
ゲーム機なんて切りの一択でしょ
そのためにごちゃごちゃやらなきゃいけない方がデメリットだ
というか、そんな一般的なこと言われて頭悪いとか反論してるバカさってどうよ
573:名無しさん@お腹いっぱい。
16/07/04 07:56:21.14 0.net
一般的には無視する一手だろう
どうしてもそれが出来ない特定用途だというなら、そうかがんばれ、としか
574:名無しさん@お腹いっぱい。
16/07/04 15:47:00.41 0.net
サイトの内容によって客層・年齢層が違いアクセスの傾向なんて千差万別。
未だに「一般的」でない古いIEへの対応どうするかなんて言ってるのに
個々のサイト運営を「一般的」かどうかで判断してもしょうがない。
1000万台以上普及してるんだから趣味のサイトならともかく
ゲーム以外の一般向けサイトでも影響について気にかけるのが当然だろう。
575:名無しさん@お腹いっぱい。
16/07/04 16:11:05.31 0.net
いいえ
完全に無視してOKです
576:名無しさん@お腹いっぱい。
16/07/04 16:59:20.02 0.net
スレチな
577:名無しさん@お腹いっぱい。
16/07/04 18:05:19.62 0.net
>>559
IE6サポートし続けろよ
578:名無しさん@お腹いっぱい。
16/07/04 18:17:59.85 0.net
>>562
ゲーム系じゃなくてもIE6ユーザーより3DSからのアクセスの方が圧倒的に多いんだけどね……
UserAgentだけ見るとIE6のアクセス結構あるけど、実態は単なるボット(メールアドレス収集とか掲示板にスパム投稿するボットとか)であることが多い
その証拠に、Apacheの生ログでは結構あるIE6のアクセスが、JavaScriptによるアクセス解析だと皆無になる
実際に仮想マシンにIE6入れて使ってみればわかるけど、GoogleやYahooを含めて大半のサイトがまともに表示されないから使い続けている人なんて現実的に存在するわけがない
勿論、ツイッターやフェイスブックもまともに動作せず
YahooもGoogleもフェイスブックもツイッターも見れないブラウザじゃあ実用上意味使い物にならないでしょ?
上記のサイトは3DSなら見れるので、IE6対応よりも3DS対応が優先なのは明らか
579:名無しさん@お腹いっぱい。
16/07/04 18:20:46.56 0.net
ガラケー用サイトを作って古いIEやスマホ用に対応できないゲーム機などはそこに飛ばす
スマホ版やPC版はリッチでモダンなブラウザでないとダメだけどテキストベースのサイトは全てのブラウザで見れるので自サイトへの最低限のアクセス手段を確保
ガラケーサイトといってもテキストベースで超軽量なだけで普通のUTF-8なページだけど(UTF-8非対応なガラケーはさすがに捨てていいだろう)
let's encryptやモダンなTSL通信に対応してない端末も申し訳ないけどガラケーサイトで我慢していただく
580:名無しさん@お腹いっぱい。
16/07/04 18:22:10.95 0.net
以前IE6のUAでtwitter開いたらモバイル向けに飛ばされてたな
581:名無しさん@お腹いっぱい。
16/07/04 20:24:35.19 0.net
参考までに15名限定セミナーらしいです
SSLサーバー証明書の重要性と適切な証明書の選び方について
URLリンク(pub.sakura.ad.jp)
582:名無しさん@お腹いっぱい。
16/07/04 23:44:57.69 0.net
>>566
さくらのセミナーはお菓子のおみやげくれたりクラウドクーポンくれるからお得感あるよな?
583:名無しさん@お腹いっぱい。
16/07/04 23:49:09.91 0.net
対象者がな・・・
584:名無しさん@お腹いっぱい。
16/07/05 00:13:55.01 0.net
「SSL初心者向けセミナー」
ってのは >>531 よりも更にレベルの低い人がターゲットだからな
root権限があるサーバの管理はもちろん、レンタルサーバすら自分で使ったことのない経営・営業関係の人が対象
このスレにいるような人は、間違いなく行っても退屈するだけだからやめた方が良い
たぶん、「アドレスバー緑だと安心感がありますね~ やっぱ EV がいいですよ~」とか言われるだけだろうな
585:名無しさん@お腹いっぱい。
16/07/05 01:51:14.26 0.net
なんでDV証明書プレゼントじゃないの?w
EVとか銀行か政党くらいしか見たことないぞ。
586:名無しさん@お腹いっぱい。
16/07/05 02:18:20.11 0.net
>>570
> EVとか銀行か政党くらいしか見たことないぞ。
よっぽど観察力無いんだな。
お前らがアクセスしそうなところだと、
URLリンク(www.sakura.ad.jp)
URLリンク(twitter.com)
とかもEV
某不倫サイトもEV URLリンク(www.ashleymadison.com)
さくらのSSLなら、年5万円でEV取れるんで、商用サイトな取るのがお勧め URLリンク(ssl.sakura.ad.jp)
587:名無しさん@お腹いっぱい。
16/07/05 11:14:50.92 0.net
いつの間にかnginxとStrongSwanがLet's Encryptになっとった。
githubはEVか。
588:名無しさん@お腹いっぱい。
16/07/05 22:01:41.12 0.net
>>550
任天堂への呼びかけはこちらへ
URLリンク(www.nintendo.co.jp)
589:531
16/07/07 13:43:10.51 0.net
証明書販売会社の電話サポートと >>536 >>537 を参考に、なんとか自力で SSLの設定ができました!
導入までにかかった時間は、普段のサイト更新をやりながらの作業でしたが1日3時間×日曜日から木曜日までの5日間=15時間 + 電話かけて質問したりする時間 でした
>>536 >>537 さん、ありがとう
後で知ったのですが、認証局のサポートセンターではなく、専用サーバ業者の方に電話すれば、たいていのサーバ屋さんで1時間当たり1万円ぐらいでコンソール作業を代行してくれたようです
私の場合、自力で導入するのに15時間かかりましたが、プロなら1時間以内で通常インストールできるので1万円で証明書導入が可能だそうです
有効期限が3年の業者だったら、1万円払ってインストールしてもらえば3年使えるのでお得なので、最初から自力でやろうとせずにサーバ屋さんに依頼した方が手間がかからずよかったかもしれません
サーバ管理のプロではない一般人の場合、
・証明書は3年の業者から買う
・サーバ屋さんにコンソール代行でインストールしてもらう
というのが良さそうです
590:名無しさん@お腹いっぱい。
16/07/07 23:22:29.82 0.net
>>574
作業代行と証明書代って別じゃないの?
591:名無しさん@お腹いっぱい。
16/07/08 00:36:36.87 0.net
> なんとか自力で
どこが自力なのかと小一時間
592:名無しさん@お腹いっぱい。
16/07/08 10:30:55.12 0.net
そもそもこういうレベルで設定されたサーバーが安心なのか?って意見は無いのか?
593:名無しさん@お腹いっぱい。
16/07/08 10:33:10.89 0.net
その用途なら安心である必要はないでしょ
594:名無しさん@お腹いっぱい。
16/07/08 13:42:08.86 0.net
いや、だから、だったら証明書も要らんだろ。
595:名無しさん@お腹いっぱい。
16/07/08 13:46:09.83 0.net
>>579
SSLの方がグーグルで上位表示されやすいんですよ
これはグーグルが公式で発表していることなので間違いありません
596:名無しさん@お腹いっぱい。
16/07/08 13:54:28.29 0.net
>>579
証明書がほしいのではなくhttpsやh2やりたい場合が多いでしょ
特にこんなサービスではね
597:名無しさん@お腹いっぱい。
16/07/08 14:01:22.68 0.net
きちんとした証明書がほしいならEV一択だわ
それが不要なら格安系やLet'sのDVで十分
一般人は証明書の検証方法を知らないんだから(知っている人は1%も居ないだろうね、IE6のシェアより低いかも)、
今のブラウザのUI的にOVなんて中途半端で無意味
598:名無しさん@お腹いっぱい。
16/07/08 14:18:43.49 0.net
無料で証明書取れるのは良いけど、最低限勉強しとけ話しだな。
599:名無しさん@お腹いっぱい。
16/07/09 03:54:40.52 0.net
先月30日までにIPv6完全対応化するってアナウンスしてたのが8月31日まで延期に
その他、日本語ドメインのサポートは8月31日までが11月30日まで、ECDSA中韓証明書サポートも年度末まで延期
URLリンク(letsencrypt.org)
サボってるんじゃね?
このままドロンとか
600:名無しさん@お腹いっぱい。
16/07/09 09:00:43.66 0.net
お前がそう思うならそうなんだろうな
お前の中ではな
601:名無しさん@お腹いっぱい。
16/07/09 09:30:57.40 0.net
Let's Encrypt Subscriber Agreement updateされるそうかんだが
まだ頭が眠ってるようで頭に入ってこない
結局何が変わるの?
602:名無しさん@お腹いっぱい。
16/07/12 21:09:30.85 0.net
Let’s EncryptのSSL証明書で、安全なウェブサイトを公開
URLリンク(knowledge.sakura.ad.jp)
Web鯖導入、ポート開放、証明書生成・参照、自動更新および
設定のバックアップまでの流れ。
エンジニア向けで10~20分の作業を想定しているので難易度は
低くはないだろうが、うまくはまれば15時間+αの苦労を
せずに済むはず。
603:名無しさん@お腹いっぱい。
16/07/13 02:47:17.84 0.net
15時間かける阿呆とか現実にはいないから
604:名無しさん@お腹いっぱい。
16/07/13 10:01:00.32 0.net
>>587
わざわざそんな手間暇かけて自分でやるとか、社会人からすると考えられん
そういう作業を自分でやるやつって、パソコン買うときも完成品買わずにBTOとか自作とかやるんだろうな
さくらなら、たった2万で「apache」や「Microsoft IIS」の
・SSL通信の利用に関するmod_sslのインストール
・CSR/秘密鍵の生成、
・証明書のインストール
を全部やってくれる
URLリンク(ssl.sakura.ad.jp)
勉強時間まで考えると外注に出した方が合理的だ
605:名無しさん@お腹いっぱい。
16/07/13 10:12:45.49 0.net
スレチ
606:名無しさん@お腹いっぱい。
16/07/13 10:44:22.86 0.net
>>590
他にSSLのスレ無いんだしちょっとぐらいのすれ違いはやむを得ないんじゃね
この過疎板でSSL総合スレとか別スレ立てても殆どレスが付かず板汚しになるだけだしw
607:名無しさん@お腹いっぱい。
16/07/13 10:52:04.05 0.net
SSLやりたいけど、サーバーの知識ほとんど無いからなーって人結構ここにいるんだね
見てる人、みんな何かしらApacheとかphpとかある程度触った事あるイメージなんだけど
下手したらターミナル叩いたことない人もいるんじゃ・・・
608:名無しさん@お腹いっぱい。
16/07/13 11:02:52.14 0.net
俺も大昔は自宅ローカルにapache+php+mysql環境作ってたけどここ数年はレンタルサーバOnlyでターミナルの叩き方とか忘れたw
昔はPerlとかphpとかでプログラミングする際にはローカルに実行環境用意する必要あったけど 今は普通にレンタルサーバでデバッグできるからね
現にVALUE SERVERとかさくらとかロリポとかで、cgi実行→エラー→修正→実行を数百回繰り返してもサーバ会社からクレームが来たりしないのでレンタルサーバとテキストエディタでphpプログラミングができる
プログラムが間違って無限ループしてプロセスが暴走したりしても、CPU使用率などがアカウントごとにきちんと制限・制御されているから他のユーザーに迷惑もかからんし、30秒とかで勝手にkillしてくれる
ちなみに10年ちょっと昔はそういうのは許されず、「他の利用者の迷惑になるので、開発段階のプログラムのテスト実行などにレンタルサーバを使用するな」とサーバ会社から警告メールが届いたりアカウントBANされた
当時はアカウントごとの負荷制御どころかSuEcecの導入すらままならず他のユーザのファイルにcgi経由でアクセスできるのが当たり前で、cgiが暴走したらサーバ全体のload average急上昇で大変なことになってた
609:名無しさん@お腹いっぱい。
16/07/13 11:04:17.29 0.net
誰も聞いてねえよ
610:名無しさん@お腹いっぱい。
16/07/13 12:10:02.81 0.net
アフィ野郎まだいるのかよ
その貴重なお時間を割いてまでこんなスレでレスバトルして下さるとは
611:名無しさん@お腹いっぱい。
16/07/13 16:44:37.48 0.net
>>591
>他にSSLのスレ無いんだしちょっとぐらいのすれ違いはやむを得ないんじゃね
自宅鯖板にあるからそっちでやれ
612:名無しさん@お腹いっぱい。
16/07/13 17:49:14.05 0.net
>>596
自作鯖板で専用サーバとかVPSにSSL入れる話とか、スレ違いではなくても板違いだろw
スレ違いも板違いも団栗の背比べだよ
613:名無しさん@お腹いっぱい。
16/07/13 18:24:58.91 0.net
アフォは専鯖借りてサポートに聞け
自分で出来る奴はググってわからないところだけ2chで聞け
614:名無しさん@お腹いっぱい。
16/07/13 19:10:35.92 0.net
>>589
自作PCとか1時間も無くて作れるが?
615:名無しさん@お腹いっぱい。
16/07/13 20:01:19.89 0.net
>>599
お前はツクモとかドスパラとかの社員か?
何百台作ったらそんな早くなるんだ?
616:名無しさん@お腹いっぱい。
16/07/13 20:32:02.11 0.net
自作PCとかスレチ
TLSの導入がhttpdの設定を含めて1時間でできるかどうかの方が重要
617:名無しさん@お腹いっぱい。
16/07/13 20:52:49.86 0.net
httpd()
鯖とまともなネット回線とドメインくれれば一時間で終わらせられるわ
618:名無しさん@お腹いっぱい。
16/07/13 21:09:51.65 0.net
CSR送って帰ってくるのも早くなったしな。
619:名無しさん@お腹いっぱい。
16/07/13 21:46:28.12 0.net
んなもん五分もかからんだろ。
620:名無しさん@お腹いっぱい。
16/07/13 21:59:14.96 0.net
1時間かかるとかいったい何をやってるんだ? 理解に苦しむ
621:名無しさん@お腹いっぱい。
16/07/13 22:18:59.84 0.net
きっとyumのアップデートで50分くらい掛かるんだろう
622:名無しさん@お腹いっぱい。
16/07/13 22:21:59.28 0.net
なんの話してんのや
自己満足に浸りたのか?
623:名無しさん@お腹いっぱい。
16/07/13 22:29:50.18 0.net
>>606
確かにうちの鯖はCentOS入れてyum updateしたら1時間じゃ足りない・・・
意外な盲点だった
624:名無しさん@お腹いっぱい。
16/07/13 22:36:04.01 0.net
更新スクリプトなんで標準環境で動かないようなpython使ってるんだろう
625:名無しさん@お腹いっぱい。
16/07/13 22:40:29.51 0.net
>>609
サードパーティ製のがいくらでもあるでしょ
626:名無しさん@お腹いっぱい。
16/07/14 08:04:53.60 0.net
yumで一時間て、お前らどんなサーバー使ってんの?自宅でダイヤルアップって時代じゃねーだろ
627:名無しさん@お腹いっぱい。
16/07/14 17:01:42.05 0.net
カーネルのカスタムまでやり始めるとビルドが1時間じゃ終わんねえな
628:名無しさん@お腹いっぱい。
16/07/14 17:02:42.63 0.net
>>611
CelM@1.46Ghz+256Mでつ
629:名無しさん@お腹いっぱい。
16/07/14 18:13:19.49 0.net
>>613
メモリ256MBって……
今時スマホですら3GBが当たり前だぞ?
サーバならCPUはXeon、メモリは最低32GB(普通は64GB)積むのが常識だろ
極限までデータベースをチューニングするよりも、DBとクエリキャッシュを丸ごと物理メモリに入れる設計の方が
開発人件費も節約できて合理的だわ
630:名無しさん@お腹いっぱい。
16/07/14 18:16:04.32 0.net
>>614
常識ってなんだろうな
スレチだからさっさと帰れよ
631:名無しさん@お腹いっぱい。
16/07/14 18:25:22.78 0.net
>>614
> 今時スマホですら3GBが当たり前だぞ?
一部のハイエンド機以外は2GBが一般的だしローエンド機では1GBもちょくちょくある
> サーバならCPUはXeon、メモリは最低32GB(普通は64GB)積むのが常識だろ
let's encrypt使う層とそんな化け物マシン使う業務層とはあんまかぶらないと思う
個人層の多いさくらVPSやconohaの1GBプラン同等が普及帯だと思うんですが
ラズパイや古いPCで自宅鯖もあるでしょうに
(釣られた?)
まあラズパイでもアップデートに1時間もかからんしメモリー256MBはさすがに卒業しないときつそう