15/12/03 16:48:10.38 0.net
ん?
55:名無しさん@お腹いっぱい。
15/12/03 16:57:33.62 0.net
>>49
今は、クローズベータだから、クローズベータで承認されたドメインでしか使えないの。
パブリックベータになったら、そのエラー出なくなるよ
パブリックベータ開始は、アメリカ時間の今日中だから、もうしばらくお待ちを
56:名無しさん@お腹いっぱい。
15/12/03 18:13:53.89 0.net
Let's Encrypt Status
URLリンク(letsencrypt.status.io)
> Public Beta begins at 6 PM GMT on 3 December.
日本時間だと明日の午前3時だな。
57:名無しさん@お腹いっぱい。
15/12/03 19:19:46.60 0.net
>>54
全WebサイトのSSL(TLS)化を目指しているプロジェクトなんだから https のリンクにしてあげないと可哀想です
URLリンク(letsencrypt.status.io)
58:名無しさん@お腹いっぱい。
15/12/03 19:46:07.25 0.net
>>54
貴重な情報サンクス
59:名無しさん@お腹いっぱい。
15/12/03 19:48:26.33 0.net
>>55 おっと! フォーラムの公式ポストでもHTTPSでリンクされてた…。
60:名無しさん@お腹いっぱい。
15/12/03 19:56:44.49 0.net
>>54
わくわくするぜ
61:名無しさん@お腹いっぱい。
15/12/04 00:49:56.49 0.net
WEBサーバとは別のメールサーバも暗号化するにはどうすればいい?
やっぱりHTTPSしか想定してないんだろうか
無理やりやるとしたら、メールサーバ用のWEBサーバ別に立てて証明書作って、
さらに自動化処理の中に作成した証明書ファイルをメールサーバに
コピる処理を作らなければならないのかな
62:名無しさん@お腹いっぱい。
15/12/04 01:17:39.68 0.net
>>59
Postfix とか、Dovecot とか最近のメール鯖はちゃんと暗号化の
メカニズムを内蔵してる。証明書はウェブと同じものが使える。
63:名無しさん@お腹いっぱい。
15/12/04 02:23:19.75 0.net
>>60
あー、そうなんだけど、
WEBサーバ無しの(外部からポート80接続させない)メールサーバだけでは
証明書の自動処理できないでしょって話。
外部から接続できるWEBサーバで自動処理を動かして証明書ファイルを受け取るわけでしょ?
それをメールサーバの所定のディレクトリに配置するには自分で仕組みを作らないとってこと。
それともメールサーバだけで完結する何かいい方法あります?
64:名無しさん@お腹いっぱい。
15/12/04 02:24:57.92 0.net
URLリンク(letsencrypt.jp)
あと30分ちょいか
65:名無しさん@お腹いっぱい。
15/12/04 03:47:50.20 0.net
ubuntuの方は恐ろしく簡単に入ったな、、、
手作業でいれたやつ対応させるとするか、、
66:名無しさん@お腹いっぱい。
15/12/04 05:11:52.30 0.net
おはよー
URLリンク(letsencrypt.jp) の解説のとおりにやってみたら
5分足らずであっさり証明書取得できたわ
あまりにも簡単で拍子抜けたわ
67:名無しさん@お腹いっぱい。
15/12/04 05:46:41.59 0.net
あっという間に取得完了
68:名無しさん@お腹いっぱい。
15/12/04 07:38:57.24 0.net
>>61
letsencryptのスクリプトで内蔵httpd立ち上げてるみたいだから行けるんじゃないの
69:49
15/12/04 07:40:03.15 0.net
>>48
うまく出来ました。
cron 用のスクリプトで動作できましたので月1回動作で登録します
70:49
15/12/04 07:45:26.42 0.net
期間は 12月3日から3月2日まで。
12月と1月が31日まで、2月が29日までだからちょうど90日です。
71:名無しさん@お腹いっぱい。
15/12/04 09:17:11.76 0.net
>>66
つまりhttpアクセス禁止してるサーバじゃ無理
72:名無しさん@お腹いっぱい。
15/12/04 10:29:26.32 0.net
そんなの開ければいいじゃん
普段HTTP起動していないんだから何の問題もない
73:名無しさん@お腹いっぱい。
15/12/04 11:24:20.85 0.net
>>69
ごめん勘違いしてた
一応他のポートでも行けるようにする議論はあるみたい
74:名無しさん@お腹いっぱい。
15/12/04 12:49:39.98 0.net
80以外のポート指定できないのかな?
それならサーバ毎にポート分けて対応できそうな気がするが
75:名無しさん@お腹いっぱい。
15/12/05 16:31:14.43 0.net
おい、おまいら
スラドでも記事になったようだぞ
【サーバー証明書を無料発行する「Let's Encrypt」がパブリックベータに移行】
URLリンク(security.srad.jp)
76:名無しさん@お腹いっぱい。
15/12/05 17:10:54.25 0.net
よし
今夜から使うぞ
77:名無しさん@お腹いっぱい。
15/12/05 20:02:25.82 0.net
SNI 用にいくつかもらいたいのだけど
./letsencrypt-auto certonly -a standalone \
-d letsencrypt.jp -d www.letsencrypt.jp \
--server URLリンク(acme-v01.api.letsencrypt.org)
をその分ドメインだけ変えて繰り返せばよいのかな。
78:名無しさん@お腹いっぱい。
15/12/06 10:48:40.19 0.net
-d example.com をその数だけ並べればいいよ
79:名無しさん@お腹いっぱい。
15/12/06 11:08:00.09 0.net
>>76
ん?SANじゃなくてSNIなのですが…
80:名無しさん@お腹いっぱい。
15/12/06 11:13:29.95 0.net
だったらそんな初歩的な質問するまえにやってるはずだが
何でも聞かないとできないタイプか
81:名無しさん@お腹いっぱい。
15/12/06 11:37:07.15 0.net
>>77
は?
SANsの証明書を使いまわせばいいだけだろ
82:名無しさん@お腹いっぱい。
15/12/06 11:37:09.55 0.net
SAN のやつを SNI でホスト毎に同じの指定すりゃいいじゃんか。
83:名無しさん@お腹いっぱい。
15/12/06 11:37:53.82 0.net
2sec 先こされたわww
84:名無しさん@お腹いっぱい。
15/12/06 15:31:13.61 0.net
startsslで結構梃子摺ったのに
こっちはかなり楽そうだな
85:名無しさん@お腹いっぱい。
15/12/06 15:40:47.29 0.net
startsslにてこずるところなんてなかったろ
86:名無しさん@お腹いっぱい。
15/12/06 15:43:23.50 0.net
CSR すら自分でやる必要も無く全自動だから、たいして知識がなくとも
説明通りに設定するだけで使える。メリットでもあるし、デメリットにもなるかもしれないなw
証明書だけじゃなく、SSL の動作に関してもある程度設定詰めないといけないしね。
まぁそれすら生成してくれるサイトあるけど。
87:名無しさん@お腹いっぱい。
15/12/06 16:05:25.12 0.net
>>83
ウェブ素人なんや
察してくれ
88:名無しさん@お腹いっぱい。
15/12/08 00:19:35.55 0.net
最大手のアットマークITでも取り上げられた模様
URLリンク(www.atmarkit.co.jp)
これは Let's Encrypt がどんどん普及していくかもしれない
89:名無しさん@お腹いっぱい。
15/12/08 08:03:51.94 0.net
自分のサブドメイン分作ろうと思ったら発行上限に達して作れなくなった模様ww
マルチドメインはなんだかなーなんだよなー
90:名無しさん@お腹いっぱい。
15/12/08 13:20:31.44 0.net
何個発行しようとしたんだ?
91:名無しさん@お腹いっぱい。
15/12/08 13:49:27.66 0.net
>パブリックβ期間中は 7日間で5証明書/ドメイン
となってるな
92:名無しさん@お腹いっぱい。
15/12/08 15:49:24.08 0.net
BlueOnyxコンパネが対応した。
マウスクリックしかできないweb素人でも
一瞬で証明書が取れる時代になったわけだ。
93:名無しさん@お腹いっぱい。
15/12/08 18:21:15.34 0.net
>>88
>>89 の通り 5 個だった。
話変わるけど、
<VirtualHost *:443>
Define vhost hoge.example.com
ServerName ${vhost}
SSLEngine on
SSLCertificateFile /etc/letsencrypt/live/${vhost}/cert.pem
SSLCertificateKeyFile /etc/letsencrypt/live/${vhost}/privkey.pem
SSLCACertificateFile /etc/letsencrypt/live/${vhost}/fullchain.pem
...
...
こう書けば証明書の記述はコピペで行けるから楽だな。
letsencrypt-auto の証明書配置好きだわw
94:名無しさん@お腹いっぱい。
15/12/08 18:44:07.02 0.net
gmailからpopsでのフェッチアクセスも認証通りますか?
95:名無しさん@お腹いっぱい。
15/12/08 23:35:04.30 0.net
今 httpd.conf を grep したら VirtualHost が 122 個もあった
全部外部向けに https で公開したいわけじゃないけど
7日間で5証明書では毎日チビチビ取得するの面倒だな
β取れたら緩和されるかな?
96:名無しさん@お腹いっぱい。
15/12/08 23:47:14.46 0.net
>>91
>SSLCACertificateFile /etc/letsencrypt/live/${vhost}/fullchain.pem
これ
97:間違ってない?
98:名無しさん@お腹いっぱい。
15/12/08 23:56:22.62 0.net
内部向けはオレオレで認証局作ってクライアントに信頼させときゃいいっしょ。 証明書はワイルドカード 1 つでw
証明書の発行やらは現状だと httpd 止めないと行けないからあまりホスト数多いと更新の時点ではダウンタイム長くなりそうだな。
99:名無しさん@お腹いっぱい。
15/12/08 23:58:54.89 0.net
>>94
そこは fullchain.pem か chain.pem どっちでもいいけどそうした方が結果としては良い。
最悪無くとも暗号化経路は確保されるけど SSL Server Test のスコア落ちるから嫌だw
100:名無しさん@お腹いっぱい。
15/12/09 00:03:58.02 0.net
>>96
いんや、そっちじゃなくて
SSLCA~
クライアント証明書を認証するためのサーバー側のCA証明書ストアを記述するディレクティブじゃない?
って話
101:名無しさん@お腹いっぱい。
15/12/09 00:08:24.10 0.net
Let's は今のところワイルドカードに対応する予定は無いってFAQにあるし
SubjectAltName は証明書を見るとサブドメインが全部バレてしまうので嫌なんじゃー
102:名無しさん@お腹いっぱい。
15/12/09 00:37:24.14 0.net
ライセンス同意とメールアドレス入力のためにわざわざ画面が立ち上がるのは
自動で大量取得されないため?
でもオープンソースだからどうにでもなるよね
103:名無しさん@お腹いっぱい。
15/12/09 01:25:13.97 0.net
>>99
それ、初回だけだよ
ライセンス同意とメールアドレスの入力の内容は保存されるので
他のドメインで取得する場合でも、確認画面などは一切立ち上がらずコマンドのみでいける
104:名無しさん@お腹いっぱい。
15/12/09 01:38:51.57 0.net
保存されると書いてあるだろ
105:名無しさん@お腹いっぱい。
15/12/09 01:40:32.68 0.net
>>97
ああ、なぜそのディレクティブが~ってって事か。
俺もそれは謎に思って調べたら Let's Encrypt のフォーラムでそう記述するところが大半だった。
SSLCACertificateFile の指定が無いと SSL Server Test で Incomplete Chain だかなんだかアラートが出た。
この点、今一理解してないw
106:名無しさん@お腹いっぱい。
15/12/09 01:40:37.79 0.net
それなら尚更あの画面を出す意味がわからない
全部CUIでいいじゃん
--debug とかログとか見ると、あれのために python の追加モジュールとか
色々インストールさせられるみたいなんだけど
普段 python なんか使わないからゴミが増えて邪魔なんだよなぁ
107:名無しさん@お腹いっぱい。
15/12/09 01:42:54.51 0.net
SSLCACertificateFile じゃなくて SSLCertificateFile が正解だと思うんだが
まだ Apache2.2 使いだから Apache2.4 のことはよくわからない
108:名無しさん@お腹いっぱい。
15/12/09 01:45:13.55 0.net
あ、ちょい古の 2.2 は SSLCertificateChainFile が正解かな
109:名無しさん@お腹いっぱい。
15/12/09 08:08:46.18 0.net
>>95
そんな恐ろしいことできるわけない
110:名無しさん@お腹いっぱい。
15/12/09 08:53:41.24 0.net
>>95
内部向けは内部にCA作ってWindowsのポリシーで信頼させてる
WindowsでActiveDirectoryのみになるけどこれが楽
111:名無しさん@お腹いっぱい。
15/12/09 10:58:03.26 0.net
>>105
最新の Apache でも同じ。obsolute だけど。
112:名無しさん@お腹いっぱい。
15/12/09 11:15:45.46 0.net
./letsencrypt-auto --apache で全自動で作ったやつは
SSLCertificateChainFile /etc/letsencrypt/live/example.com/chain.pem
となってるな、Apacheは 2.4.7
113:名無しさん@お腹いっぱい。
15/12/10 18:05:22.42 0.net
Value Serverで使いたいんだけど「プライベートキーのパスワード」欄には何を入力すれば良いのでしょうか?
証明書は発行してもらいました
114:名無しさん@お腹いっぱい。
15/12/10 18:55:01.81 0.net
>>110
Let's Encrypt の秘密鍵は暗号化されてないので、本来は不要
もし、バリューサーバーが空白の暗号キーを受け付けないなら、
openssl のコマンドで、何らかのパスフレーズで秘密鍵を暗号化して、
そのパスフレーズを入力すればおっけー
115:名無しさん@お腹いっぱい。
15/12/10 20:26:22.38 0.net
パスワード設定しないとできなかったはず
共有レンサバとはいえ秘密鍵を盗める状況じゃ
他が詰んでる気がするんだけどどうなの
あともう直ってるかもしれないけど
俺がやったときはCA証明書がエラーで設定できなかったよ
サポートに言えばやってくれるけど3ヶ月ごとに連絡は面倒だわな
116:名無しさん@お腹いっぱい。
15/12/10 20:32:48.72 0.net
110です。
パスワードの入力は必須とありますね。
正常に接続出来た様です。ありがとうございました。
117:名無しさん@お腹いっぱい。
15/12/11 12:31:35.87 0.net
RapidSSLが来年頭で更新だけど、Lets導入でトラブルのも嫌だし、とりあえずもう1年だけ更新しようかなぁ
すでにサブドメインで何十とサイトがあると導入失敗リスク高いよね多分
まぁテスト環境でも作っていっぺん導入してみるか
118:名無しさん@お腹いっぱい。
15/12/11 17:19:03.62 0.net
>>114
Rapid は値上げしたから他のにしたら。
119:名無しさん@お腹いっぱい。
15/12/12 00:33:14.50 0.net
俺たちの、オレオレ認証局をネットワークでつなげよう!
120:名無しさん@お腹いっぱい。
15/12/12 04:12:10.47 0.net
>>116
俺だよ俺、俺だけどさ
え、俺って誰だって? いや俺は俺だよ
メールで添付したルート証明書、インストールしてくれない?
121:名無しさん@お腹いっぱい。
15/12/12 09:32:37.34 0.net
そんなあなたに究極のオレオレ証明書
URLリンク(www.cacert.org)
122:名無しさん@お腹いっぱい。
15/12/13 00:55:30.07 0.net
そろそろ Public Beta から一週間経つから
5 domain 制限越えられるかなってやったら追加で証明書取れたよ。
123:名無しさん@お腹いっぱい。
15/12/13 01:16:21.23 0.net
URLリンク(community.letsencrypt.org)
124:名無しさん@お腹いっぱい。
15/12/14 02:02:14.90 0.net
実サーバー1台でたくさんドメイン持ってると単純にcronで定期更新ってわけにはいかないなぁ
5ドメインずつ分けて週一で取得or更新しにいくドメイン管理スケジューラみたいなのが無いと
ややこしいことになりそうだ
週に5ドメインで、60日に一度更新が推奨されてるからざっくり最大40ドメインが限界か
125:名無しさん@お腹いっぱい。
15/12/14 03:01:54.79 0.net
cron で毎日証明書の期限をチェック。
期限が 30~40 日前程度になった証明書は更新させてしまう。
って言うような単純なスクリプトを書いて回してるよ。
Too many うんたらで週制限掛かっても、cron で毎日勝手にリトライすることになるから
制限が外れ次第順次更新いけるはず。
更新周期は 60 日に一度とかなっているけど、実際にはもっと速く更新は出来るからなー。
126:名無しさん@お腹いっぱい。
15/12/14 21:44:41.53 0.net
ちょっとシェルスクリプトのテストしてたら
更新しすぎでエラーになってしまった
もうちょっと緩和してくれんかな
1IPあたりの制限とか、1アカウントあたりの制限とか、色々
127:名無しさん@お腹いっぱい。
15/12/14 21:46:04.70 0.net
テスト用のAPI Endpointがないのがイケてない
128:名無しさん@お腹いっぱい。
15/12/14 22:16:53.59 0.net
善意の有志で翻訳してくれてるからあまり言いたくないけど日本語サイトの人
クライアントの使い方を翻訳してくれるのはいいんだけど --standalone モードで
一度 httpd を落として 80番を落とさないといけないように書いてあるけど
これってやっぱ導入のハードル上げてると思うのよね
本家英語の使い方には --webroot モードで無停止でやる方法も併記されてて
この方法を知ってればもっと早く導入してたしさ
どっちにしろ総合的に色々煩雑な印象がして
無料の StartSSL でいいやってなってしまうわ
129:名無しさん@お腹いっぱい。
15/12/14 22:31:10.50 0.net
でもstartsslって対応してないブラウザ多いんじゃなかったっけ
130:名無しさん@お腹いっぱい。
15/12/15 01:15:10.82 0.net
おまえはなにをいっているんだ?
131:名無しさん@お腹いっぱい。
15/12/15 02:22:13.01 0.net
>>126
いつの話をしてるんだ?
2009年には主要3ブラウザで使えるようになってるぞ。
132:名無しさん@お腹いっぱい。
15/12/15 09:49:11.00 0.net
>>125
> 一度 httpd を落として 80番を落とさないといけないように書いてあるけど
> これってやっぱ導入のハードル上げてると思うのよね
>
> 本家英語の使い方には --webroot モードで無停止でやる方法も併記されてて
> この方法を知ってればもっと早く導入してたしさ
まったくだ。
そいでもって
>>123
> ちょっとシェルスクリプトのテストしてたら
> 更新しすぎでエラーになってしまった
とすっかり同じ状態。こまったもんだ。
133:名無しさん@お腹いっぱい。
15/12/15 11:07:53.90 0.net
だからベータテスト中だってばよ
134:名無しさん@お腹いっぱい。
15/12/15 11:15:32.43 0.net
証明書再読み込みのためにHTTPDの再起動は必要だろ
人によるのだろうが、自分の場合は今までオレオレ証明書だったSTG環境やバックエンド用ドメインなので、
IP制限やBasic認証が掛かっているために設定を変更しなければならない
それならstandaloneの方が便利だし楽
135:名無しさん@お腹いっぱい。
15/12/15 13:23:53.78 0.net
90日は短いな。
136:名無しさん@お腹いっぱい。
15/12/15 13:40:59.50 0.net
postfixやdovecotのca鍵設定する場所にはfullchain指定しておけばいいんですかね?
一応それでgoogleとの暗号化通信はsmtpsもpop3sでfetchも成功したけど正しい設定か不安
137:名無しさん@お腹いっぱい。
15/12/15 16:40:56.77 0.net
Apache2.4 でどうなってるか知らんけど 2.2 なら apache2ctl -k graceful で gracefully restart すれば
サービスとしては無停止で再読み込みできる
httpd stop -> letsクライアント起動 -> httpd start より100倍マシ
nginx も reload で無停止再読み込みいけるんじゃなかったっけ?
138:名無しさん@お腹いっぱい。
15/12/15 16:41:16.97 0.net
>>133
それでよいと思うよ。openssl s_client -connect で大丈夫ならOK.
ここは中間証明書は親切だね。
comodoなんか3tもファイル出してきてどれが中間ファイルだかわからなくて苦戦したよ。
結局3つを指定の順番でマージしろって。ならマージしたファイルよこせっての。
139:名無しさん@お腹いっぱい。
15/12/15 17:31:11.78 0.net
>>133
正しい設定かと言われるとたぶんNO
暗号化通信成功してるから結果オーライというならYES
140:名無しさん@お腹いっぱい。
15/12/15 19:21:01.52 0.net
そう言えば MTA に使うのも楽だよな。
httpd 側でデフォルトサーバーを用意して、mx のホスト名を httpd に定義しなければ
デフォルトサーバーに回るから、そのまま --webroot で更新行ける。
141:名無しさん@お腹いっぱい。
15/12/15 20:30:30.46 0.net
MTAはオレオレでいいから
142:名無しさん@お腹いっぱい。
15/12/15 20:38:02.89 0.net
オレオレで良いならそのままにしておけば良いわけで、食い付くほどの事でもないだろw
143:名無しさん@お腹いっぱい。
15/12/15 20:48:18.29 0.net
なーんか
postfix やら dovecot とかにレッツのサーバー証明書を設定したりする人現れてるし
無駄無駄無駄無駄~って叫びたかっただけ
あ、イントラネットとかセキュアな通信が必須な相手で事前に合意した2者間とかはまた別だけどね
144:名無しさん@お腹いっぱい。
15/12/15 21:32:34.01 0.net
実際に必要かどうか言われると、オレオレで良いとも思うけど
そこは “面白そうだから“ という正当な理由で Postfix や Dovecot にも Let's の証明書つかってるよ!
145:名無しさん@お腹いっぱい。
15/12/15 21:41:15.42 0.net
gmailからのメール転送に必須なんだよな>サーバ証明書
146:名無しさん@お腹いっぱい。
15/12/15 23:38:10.88 0.net
へーそうなんだ
じゃ無駄じゃないね
147:名無しさん@お腹いっぱい。
15/12/17 01:57:29.79 0.net
いやー
考えてみれば当たり前の話なんだが
SubjectAltName にドメイン羅列するためにいっぱい -d を指定したら、
指定したドメイン1個1個に対してチェックのために接続してくるんだね
プライマリMX と セカンダリMX の証明書を1個にまとめようとしたら
let's Encrypt の居ない セカンダリMX の 80 番ポートにチェックしに来てエラーになって
しまった
148:名無しさん@お腹いっぱい。
15/12/17 15:35:19.97 0.net
-d っていくつ書いてもいいの?
-d でトップドメインが違うのでも良いの JP と gtld がごちゃ混ぜ
149:名無しさん@お腹いっぱい。
15/12/18 19:11:19.16 0.net
>>125 >>129
今見たら解説が更新されててhttpd停止不要なやり方も併記されたみたいだよ
URLリンク(letsencrypt.jp)
>>144
証明書取得時には当然全部に接続チェックが入る
ただ、ブラウザは SAN の関係ないドメインへの接続はしないので、SAN に100~200のドメインを列挙
150:しても、 一般ユーザーのページの表示が遅くなったりはしない(証明書の容量が増えるのは誤差範囲) >>145 いくつ書いてもおk TLD が違っても良いけど、-d を複数書くとサブジェクトの代替名(SAN : Subject Alternative Name)が使われた1枚の証明書になるから、 SNI に対応していないブラウザ、例えば Windows XP とか Android 2系とかもサポートしたいなら注意が必要(Windows Vista以降はSNI対応) 詳しくは https://letsencrypt.jp/docs/using.html#webroot を参照
151:名無しさん@お腹いっぱい。
15/12/18 19:26:25.57 0.net
>>146
おう
ありがとう日本語の中の人
152:名無しさん@お腹いっぱい。
15/12/18 19:38:36.50 0.net
レン鯖でボタンひとつで設定できるようにしてくれよ。
153:名無しさん@お腹いっぱい。
15/12/18 20:28:30.35 0.net
もう今の段階から XP なんか古い OS はぶった切って良いだろw
154:146
15/12/18 20:56:42.30 0.net
>>146 の書き込み内容の SAN と SNI についての部分が著しく間違っていたので訂正
SNI は1つのサーバーで複数の証明書を使う技術
つまり Virtual Host ごとに違う証明書をクライアントに放出するので、1つのIPアドレスのサーバで複数の証明書を分けられる
SNI対応ブラウザは、PCからなら Windows XP は不可だけど、Windows Vista 以上なら対応している
URLリンク(ja.wikipedia.org)
スマホがネックで、Android 2 系が対応していない。Android のうち、まだ 5~10%のシェアがあるので困りもの
一方、SANs は 1枚の証明書に複数の SAN を書くことで1枚の証明書を複数のドメインに対応させるもの
Let's Encrypt で -d に複数ドメイン書くとこっちになる(証明書を別々に発行して SNI を使うことも可能)
こっちは、たぶん Windows XP にも対応しているので、SANs使った方がサポートOSは多くなる
ただSANs については Android 2系が対応しているかどうかの情報は、ググっても曖昧に書かれた個人ブログぐらいしか見つからなかった
SNI と混同している人もいそうなので、確かなソースが欲しいが、なかなか見つからない
そして自分で検証しようにも Android 2がないからできない
155:名無しさん@お腹いっぱい。
15/12/18 21:24:23.35 0.net
自分の理解がおかしかったのかと、愕然となったぞw
156:名無しさん@お腹いっぱい。
15/12/19 00:03:17.00 0.net
>>150
これもちょっと誤解を招くレスだなぁ
https で VirtualHost するための技術・手段という意味では近いとも言えるが
どっちを使ったほうがいいとかそういうもんじゃないんだが
説明するのも面倒だ
157:名無しさん@お腹いっぱい。
15/12/19 00:33:45.06 0.net
>>152
> どっちを使ったほうがいいとかそういうもんじゃないんだが
概念的には全く別物だけど、「1つのIPアドレスしかない1台のサーバで、複数の HTTPS なサイトを運営したい」という一般的な要件なら
下記の (1) SNI でも (2) SANs でも、同じ結果が得られるわけで、どっちでも良いのでは?
(1) SNI で example.com にアクセスしているブラウザには example.com 専用の証明書A、
example.jp にアクセスしているブラウザには example.jp 専用の証明書Bを送り付ける
(2) example.com にアクセスしているブラウザにも
example.jp にアクセスしているブラウザにも
同様に SANs を使って複数ドメイン(example.com と example.jp の2つ)に対応した証明書Cを送り付ける
管理上のメリット・デメリットとしては、ブラウザの対応状況を除くと、
(1) だと、サイトの数だけ別々の証明書を取得して管理しなければならない。それぞれで有効期限などを管理するのが面倒。
(2) だと、サイトが増えるたびに、証明書を発行しなおさなければならない。失敗すると他のサイトにも影響が出る。
といった感じだと思われ
勿論、「概念的には別物」なので、SNI でサイトごとに SANs で複数ドメインに対応した別々の証明書を送るなんて併用も可能
www の有り無しと同一サブドメインのだけ SANs で1つの証明書でまとめて、あとは SNI で分けるなんて併用も一般的
つまり (1) と (2) を併用することもできるってことね
まぁ、なんらかの事業者が顧客のサイトを代理で運営している(もしくはレンタルサーバ業務をやっている)とかの場合には
他の顧客のドメイン名がSANsに入った証明書を使うというのはどうかと思うから (1) のSNI 一択になるけどね
158:名無しさん@お腹いっぱい。
15/12/19 02:12:03.32 0.net
>>153
> まぁ、なんらかの事業者が顧客のサイトを代理で運営している(もしくはレンタルサーバ業務をやっている)とかの場合には
> 他の顧客のドメイン名がSANsに入った証明書を使うというのはどうかと思うから (1) のSNI 一択になるけどね
と、思うじゃん?
でも身近なCDNでは(ry
159:名無しさん@お腹いっぱい。
15/12/19 16:38:28.15 0.net
今話題の CloudFlare のことですね
URLリンク(uzulla.hateblo.jp)
URLリンク(cdn-ak.f.st-hatena.com)
他人のドメイン名がだぁ~~~っと入った証明書って気持ち悪いな
てか、これって秘密鍵が万が一漏えいしたら羅列されたドメイン名全部の偽サイトの作成ができちゃうんだから危険だよね
CloudFlare退会したとしても、そのSANsを消した証明書を作り直したりもしないだろうし
こういうのはやめるべきだと思う
160:名無しさん@お腹いっぱい。
15/12/19 16:47:58.69 0.net
レンタル鯖関係について語り合うならおすすめ。
よかったら、「blngs」で検索してみて!
161:名無しさん@お腹いっぱい。
15/12/19 17:10:21.91 0.net
>>156
SNSの宣伝ですか
今時、独自のSNS展開するなんていうのはセンスが無いからやめた方が良いよ
既存のSNS内でコミュ作ればいいだけでしょ
そんなのではアクセス稼げない 時代遅れだしセンスが無い
そして、この過疎版で宣伝して宣伝効果があると考えるのが痛い
「板」全体で1日数レスあるかないかのような掲示板で宣伝して何になるの?
この「板」全体のPVも数百/dayぐらいしか無いと思うよ?
悪い事言わないから、お前さんはネットビジネスのセンスが全くないんで、早く諦めた方がいい
時間が無駄になるだけなんで、サーバ運営、Web製作、Webプログラミングのうちなにかができるんだったら
それを生かした雇われの仕事探した方がいいよ
162:名無しさん@お腹いっぱい。
15/12/19 17:18:14.41 0.net
「口コミ」で宣伝すると1件いくらで報酬もらえるんでしょ
163:名無しさん@お腹いっぱい。
15/12/19 21:05:15.93 0.net
ネットで「口コミ」とかいう表現するのやめて欲しいわ > ぐるなびとか価格.comとかもだけど
「口コミ」はその場にいる人に対してしか聞いて貰えないんだから「書き込み」と書くべきだ
「可視化」を「見える化」と言ったり「コミットする」だの「アボイドする」だの横文字連発した上で
「君もビジネス用語ぐらい使えるようになりなさい」と説教してくる上司と同じぐらいうざい
164:名無しさん@お腹いっぱい。
15/12/19 21:15:28.46 0.net
スレチはもっとうざいけどな
165:名無しさん@お腹いっぱい。
15/12/19 21:35:43.28 0.net
ごめん
ここ Let's note のスレだったのね
すまそ
166:名無しさん@お腹いっぱい。
15/12/19 23:07:02.36 0.net
昔 CF-Y4 っていうパームレスト部分がパカっと開いて光学ドライブが出てくる奴持ってたわー
っておい
167:名無しさん@お腹いっぱい。
15/12/20 20:05:21.93 0.net
>>161-162
ワロタ
最近のLet'snoteの光学ドライブ普通になって特色なくなっちゃったよな……
168:名無しさん@お腹いっぱい。
15/12/23 01:09:45.46 0.net
Let's Encrypt マジスゲーや
色々面倒だと思ってたらコマンド数行打つだけで終わった
前ベリサリンで証明書取るときにはCSRの発行とかなんとかでつまずいて
(opensslのバージョン古くて鍵がちが
169:かったりとかで) 何度も何度も何度も電話して2週間ぐらいかかったけどLet'sだと1時間足らずだった
170:名無しさん@お腹いっぱい。
15/12/23 23:26:46.54 0.net
まじ凄いのは分かるんだけど、余りに簡単過ぎて
証明書発行のプロセスに関する知識の無い人が凄い増えそうだ。
まぁ俺も勉強中で Let's Encrypt きたから途中で投げちゃったけどなww
171:名無しさん@お腹いっぱい。
15/12/24 01:25:23.84 0.net
レンタルサーバーでは使えないの?
172:名無しさん@お腹いっぱい。
15/12/24 08:01:25.64 0.net
>>166
お前さんにゃ無理かも知れぬ
173:名無しさん@お腹いっぱい。
15/12/24 10:13:10.48 0.net
Pythonが動かせる鯖ならあるいは
174:名無しさん@お腹いっぱい。
15/12/24 20:07:03.26 0.net
悪魔バスター★スター・バタフライ
URLリンク(livedoor.2.blogimg.jp)
悪魔バスター★スター・バタフライ
URLリンク(livedoor.2.blogimg.jp)
悪魔バスター★スター・バタフライ
URLリンク(livedoor.2.blogimg.jp)
悪魔バスター★スター・バタフライ
URLリンク(livedoor.2.blogimg.jp) 👀
Rock54: Caution(BBR-MD5:0be15ced7fbdb9fdb4d0ce1929c1b82f)
175:名無しさん@お腹いっぱい。
15/12/24 22:57:47.13 0.net
>>166
VPSレンタルサーバーで使っていますよ。
httpもpopも色々なドメインが1の種類のファイルで済むので楽だね。
176:名無しさん@お腹いっぱい。
15/12/25 12:08:40.38 0.net
さくらのレンタルサーバで試してみようと思って調べてみましたが、結構面倒くさそうですね
URLリンク(msnr.net)
177:名無しさん@お腹いっぱい。
15/12/25 20:20:41.82 0.net
時刻まで気にするってのはあまりないんだけどさ、こう気軽に発行できてじっくりながめることができて気づいたんだけど、
ちょうど1時間ずれるのは、こういうもんなの?
それとも Let's Encrypt だけ?
178:172
15/12/25 20:34:41.99 0.net
>>172
書いたあとに自分でググった。
URLリンク(community.letsencrypt.org)
あえて1時間ずらしてるらしい。時計が多少狂っていても大丈夫なように。
179:名無しさん@お腹いっぱい。
15/12/25 22:30:16.70 0.net
>>171
そもそも共用サーバじゃできないよ
180:名無しさん@お腹いっぱい。
15/12/25 23:44:44.98 0.net
>>174
何が出来ないのさ?
181:名無しさん@お腹いっぱい。
15/12/25 23:53:03.77 0.net
おまえさんの使ってるどこぞの共用サーバは独自SSLが使えると仕様にあるのかい?
182:名無しさん@お腹いっぱい。
15/12/26 00:01:51.12 0.net
>>176
本当に知らんのか?
URLリンク(www.sakura.)<) ad.jp/app/answers/detail/a_id/2326/~/ssl%E3%82%92%E5%88%9D%E3%82%81%E3%81%A6%E8%A8%AD%E5%AE%9A%E3%81%99%E3%82%8B
つーか、お前>>171のリンク先見てないだろ? 👀
Rock54: Caution(BBR-MD5:0dc23c366b23c59a9fe320a62dd69b5a)
183:名無しさん@お腹いっぱい。
15/12/26 00:23:47.38 0.net
アフィリブログ踏めとかワロタ
184:名無しさん@お腹いっぱい。
15/12/26 00:25:44.43 0.net
>>178
恥ずかしい奴だな
185:名無しさん@お腹いっぱい。
15/12/26 00:32:27.12 0.net
リンク踏めとかウィルス製作者がよく言うセリフだな
通報しておいた
186:名無しさん@お腹いっぱい。
15/12/26 00:36:24.47 0.net
Cautionって書いてあるしな
187:名無しさん@お腹いっぱい。
15/12/26 02:08:20.88 0.net
伊藤正典さん?
Registrant Name: MASANORI ITO
Registrant Organization: MSNR.NET
Registrant Email: POSTMASTER@MSNR.NET
Created Date: Sunday, December 16th, 2001
Updated Date: Sunday, November 17th, 2013
Expires Date: Friday, December 16th, 2016
Admin Name: MASANORI ITO
Admin Organization: MSNR.NET
Admin Email: POSTMASTER@MSNR.NET
188:名無しさん@お腹いっぱい。
15/12/27 10:58:50.18 0.net
こういう
189:知ったかをなんとかして欲しいわ
190:名無しさん@お腹いっぱい。
15/12/27 22:19:33.85 0.net
粘着って何処でスイッチが入るか分からんね。
191:名無しさん@お腹いっぱい。
15/12/27 23:53:53.89 0.net
知識をひけらかそうとしたら、無知を露呈させちゃって顔真っ赤になったんでしょ
素直に知らなかったと認めれば良いのに、関係ない事にいちゃもんつけたあげく、
あまつさえ無関係なブログの人を晒すとか・・・
いくら公開情報だからって非常識すぎ
192:名無しさん@お腹いっぱい。
15/12/28 10:17:57.80 0.net
>>171
>>177
さくらのレンタルサーバーでも、Let's Encryptを使えるということですが、
でも、Let's Encryptって、動的に短期間で更新処理を行ってroot権限で再配置する必要があったんじゃなかったんですか?
193:186
15/12/28 10:33:08.20 0.net
>>186自己レス
>>171のリンクを読みました。
更新処理用のマシン(root)を別途用意してますね。
でも、証明書のアップロードは手動なんですか。
90日ごとに手動でこの操作が必要なの?
194:名無しさん@お腹いっぱい。
15/12/28 11:20:41.70 0.net
いやまあポート80、、という1024以下のポート使うならroot必須だろう
195:名無しさん@お腹いっぱい。
15/12/28 11:37:12.39 0.net
>>188
デーモンを起動することを言っている?
196:名無しさん@お腹いっぱい。
15/12/28 11:38:44.88 0.net
あと証明書の同期は手動でも自動でも好きにしたらいいじゃん
197:名無しさん@お腹いっぱい。
15/12/28 11:40:30.42 0.net
>>189
ポート80で受けるならその時点ではrootが必要なのは当たり前、という話
わざわざrootて書いてるからさ
198:名無しさん@お腹いっぱい。
15/12/28 11:41:50.64 0.net
どいつもこいつも
199:名無しさん@お腹いっぱい。
15/12/28 11:43:02.18 0.net
>>190
証明書の同期?crontab?
そして、RSYNCで?、FTP?、SCP?
疑問
1、証明書関係のファイルのコピー(同期)って、
さくらのレンタルサーバーでできるの?
やったことがないから知らないが、証明書って特定のディレクトリに収める必要があって、
そこの書き込みにはroot権限が要るんじゃない?
2、さくらのレンタルサーバーで、同期の手段って、どっちの方向へアクセスできる?
さくらレンタルサーバー → 取得専用自分マシン
取得専用自分マシン → さくらレンタルサーバー
200:名無しさん@お腹いっぱい。
15/12/28 11:47:30.28 0.net
>>191
>ポート80で受ける
?postで証明書ファイルを受けるの?それは怖いことだ。
201:名無しさん@お腹いっぱい。
15/12/28 11:51:32.25 0.net
ドメインが有効かを向こうが80でアクセスしてくるだろ
仕組みもよく知らんで茶々いれてんじゃないよ
202:名無しさん@お腹いっぱい。
15/12/28 11:53:36.39 0.net
サクラの共有よくしらんけど、VirtualHost使ってんじゃないの?
だったらその定義ファイルに証明書の場所書いてあるはずだし
そこがrootである必要はない
203:名無しさん@お腹いっぱい。
15/12/28 12:09:34.61 0.net
さくらの共用の話はさくらの共用鯖スレでやれよ
204:名無しさん@お腹いっぱい。
15/12/28 14:56:16.94 0.net
ヘルプ見れば解決するやろ
何を見当違いな話しとんや?
無料っていろいろと危険なんやなぁ
205:名無しさん@お腹いっぱい。
15/12/28 16:35:58.82 0.net
これだけ情報出てて理解できない奴は諦めろよ。
206:名無しさん@お腹いっぱい。
15/12/28 17:53:37.03 0.net
Let's Decrypt
207:名無しさん@お腹いっぱい。
15/12/28 18:10:51.44 0.net
レンタル系の特殊な環境は別でスレたてれば?w
208:名無しさん@お腹いっぱい。
15/12/29 21:32:12.22 0.net
複数のサーバーの証明書を1台の親玉サーバーで一元管理(取得・更新・配布)したい場合
webroot モードで NFS で /var/www/~ を共有するか、manual モードでやるしかないっぽいけど
なんかもっといい方法ないかな
有効期限短いからcron自動化したいけど、各サーバーに lets クライアントを入れて回るのは嫌だな
209:名無しさん@お腹いっぱい。
15/12/29 23:35:22.74 0.net
>>202
rsyncで、マスターマシン内の証明書を、他のマシンと同期するとかは?
210:名無しさん@お腹いっぱい。
15/12/30 01:23:44.93 0.net
放置する阿呆がいるからこまめに面倒見るようにと1年更新じゃないのに
阿呆はさらに余計なことをしようと
211:名無しさん@お腹いっぱい。
15/12/30 07:29:07.37 0.net
もし証明書が中途半端になってるとアウトだから自動更新はしたくないけどな。
212:名無しさん@お腹いっぱい。
15/12/30 10:10:24.58 0.net
自動化はサーバーの基本だろ
213:名無しさん@お腹いっぱい。
15/12/30 13:33:46.66 0.net
リバースプロキシサーバをたてて、そこでまとめてSSL化すればいい
バックのサーバ群はSSLしない
ただいろいろと修正がいるだろうけど
214:名無しさん@お腹いっぱい。
15/12/30 16:57:06.46 0.net
>>207
それが一番いいな
215:sage
15/12/30 22:35:33.54 0.net
ブラウザで取得できるらしい。
URLリンク(sslnow.ml)
誰か試してみて
216:名無しさん@お腹いっぱい。
15/12/30 23:01:50.13 0.net
テメェで確認しろ
217:softbank.jp
15/12/31 10:25:07.77 0.net
TLS 1.0、AES 256 / 256 ビット暗号 (高); RSA / 2048 ビット交換
sha1RSA
CN = avast! Web/Mail Shield Root
O = avast! Web/Mail Shield
OU = generated by avast antivirus for SSL/TLS scanning
URLリンク(my.softbank.jp)
TLS 1.0、RC4 / 128 ビット暗号 (高); RSA / 2048 ビット交換
TLS 1.0、Triple DES / 168 ビット暗号 (高); RSA / 2048 ビット交換
TLS 1.0、AES 128 / 128 ビット暗号 (高); RSA / 2048 ビット交換
TLS 1.0、AES 256 / 256 ビット暗号 (高); RSA / 2048 ビット交換
URLリンク(www.virustotal.com)
218:名無しさん@お腹いっぱい。
16/01/04 21:59:17.11 0.net
さくらのレンタルサーバ上で使う方法は、
--manualするの面倒で別のFreeBSDマシンからsshfsして--webroot指定で取得したんだが
まとめるの面倒なのでやってないけど分かる人には分かるってことで。
なので、CentOSからでもsshfsいければいけるはず。
あとはコントロールパネルから手動でアップロードしないといけない点については
スクリプト書けばよさそうだけど、まだ書いていない。
219:名無しさん@お腹いっぱい。
16/01/04 22:22:51.82 0.net
"All ISRG keys are currently RSA keys. We are planning to generate ECDSA keys in early 2016."
URLリンク(letsencrypt.org) より
ECDSAが無料で体験できるのが待ち遠しいなぁ
RSAとECDSAのDual署名はopensslが対応しているのでapache他多数でも使えるハズ
220:名無しさん@お腹いっぱい。
16/01/08 02:05:25.98 0.net
ssl/tslでは、どのタイミングで、設定されたドメイン名が使われるんですか?
自分のドメイン名を設定する意味がいまいちピンとこなくて。
221:名無しさん@お腹いっぱい。
16/01/08 08:29:16.99 0.net
>>214
そりゃ、アクセスされた時でしょ。
証明書に書いてあるドメイン名とアクセスしてるドメイン名が一致してますよって証明書だよ。
222:名無しさん@お腹いっぱい。
16/01/08 15:21:46.72 0.net
>>215
ありがとうございます。
クライアント側が、
サーバ証明書に記載されているサーバのドメイン名と、自分がアクセスしている先のドメイン名とを
照合しているってことかな。
なんか緩いなあと感じるが、
サーバ証明書は、第三者機関からデジタル署名を受けているんだよね。
でもそれって、含まれている公開鍵だけじゃなかったっけ。
その署名された公開鍵にも、サーバのドメイン名って含まれているのかな。
それなら、冒頭の、クライアント側でのドメイン名の照合には意味があるね。
223:名無しさん@お腹いっぱい。
16/01/08 16:19:52.75 0.net
いろいろ突っ込みたいが、とりあえず板違いと思う
224:名無しさん@お腹いっぱい。
16/01/09 12:17:01.50 0.net
先生!! これ letsencrypt-auto に任せず手動で出来るもんなのでしょうか
letsencrypt-auto の中身みてみたらどうもpythonのvirtualenvが必須のようで、
しかも自動でgccとか触って欲しくないものを強制的に更新・インストールしようとしてくれちゃうのでさっき実行しかけて慌てて止めました
最低限不要なものをインストールしないで済むなら、少々.shなり.plなり書く労力は受け容れるんですが
225:218
16/01/09 14:02:15.45 0.net
すまん自己解決しました
letsencrypt-nosudoで、途中関係ない問題が出て手間取ったけどもあっさりできた
あとでこれ参考にcronで走らせられる完全自動化バッチか何か書くことにします
226:名無しさん@お腹いっぱい。
16/01/09 23:37:52.01 0.net
うむ。gcc はともかく、python のライブラリやそれが依存するライブラリが色々入るのはあまり歓迎しない。
しかも、最初のドメイン名やメールアドレスの対話入力のためだけにTUIの環境が要求されるのは
なんじゃそりゃーと思った
CUIでいいじゃんね…
227:名無しさん@お腹いっぱい。
16/01/09 23:46:38.09 0.net
>>216
>クライアント側が、
>サーバ証明書に記載されているサーバのドメイン名と、自分がアクセスしている先のドメイン名とを
>照合しているってことかな。
YES.
もちろんその証明書の正当性有効性自体も。
>サーバ証明書は、第三者機関からデジタル署名を受けているんだよね。
YES.
>でもそれって、含まれている公開鍵だけじゃなかったっけ。
NO.
228:名無しさん@お腹いっぱい。
16/01/10 01:29:13.49 0.net
好きなの使えばいい
URLリンク(community.letsencrypt.org)
229:名無しさん@お腹いっぱい。
16/01/12 10:35:21.50 0.net
こんなとこにスレあったのか
いつの間に・・・
230:名無しさん@お腹いっぱい。
16/01/13 23:03:20.93 0.net
しかし、説明どおりにやって cron 登録までいくと
大して話題が無いという…
231:名無しさん@お腹いっぱい。
16/01/13 23:18:28.74 0.net
ところで80番開けてないと更新できないの?
できればweb鯖止めたくないなーと
232:名無しさん@お腹いっぱい。
16/01/13 23:21:19.34 0.net
あるよ
233:名無しさん@お腹いっぱい。
16/01/13 23:50:00.77 0.net
Let'sEncryptのIPだけ別マシンにルーティングすればいいか
234:名無しさん@お腹いっぱい。
16/01/14 01:29:02.91 0.net
いつIPが変わるかわからんけどな
235:名無しさん@お腹いっぱい。
16/01/14 02:12:02.42 0.net
広告ウイルスに悪用されたんだってよ
236:名無しさん@お腹いっぱい。
16/01/14 09:25:40.12 0.net
>>228
最初にweb鯖止めないで公式蔵動かして繋いできたそれっぽいリモホのIP使えばええんやろ
237:名無しさん@お腹いっぱい。
16/01/14 15:52:02.94 0.net
>>224
cron の周期はどれくらい?
毎週?
238:名無しさん@お腹いっぱい。
16/01/14 17:04:52.37 0.net
>>229
最近のアンチウィルスソフトはSSL通信の監視も出来るけど
そのためにオレオレ証明書を入れてクライアントを騙したりするし
SSL通信の内容がアンチウィルスソフトメーカーに筒抜けになる気がして
機能OFFにしてるんだよなぁ
Let's Encryptの登場で今後不正サイトがSSL/TLS化されるって言われてるし、
監視しないと心配になってきたな
239:名無しさん@お腹いっぱい。
16/01/14 20:27:42.19 0.net
証明書が悪用されたと発覚しても revoke しないポリシーってどうなんだ。
イタチごっこなのはわかるんだが。
以下ちょっと長い引用
>Let's Encryptは証明書を発行する前にGoogleのSafe Browsing APIを用いてドメインが
>悪用されていないか確認しているが、発行後の確認は行っていない。
>Trend Microのブログ記事では発行後にドメインの悪用が確認された場合、認証局が証明書を
>取り消すべきだと主張する。
>一方、Let's Encryptのサービスを提供するInternet Security Research Group(ISRG)の
>Josh Aas氏は発行後の取り消しについて、効果的でなく現実的でもないとしている。
240:名無しさん@お腹いっぱい。
16/01/14 21:54:17.88 0.net
Let's Encryptの証明書、不正広告攻撃に悪用される
URLリンク(srad.jp)
241:名無しさん@お腹いっぱい。
16/01/14 22:19:33.43 0.net
まあ期限を短くしてくのが効果的だろうね
そもそも現状の証明書の扱いに問題があるわけだけれども
242:名無しさん@お腹いっぱい。
16/01/14 22:56:47.10 0.net
>>234
証明書発行機関はインターネットの警察ではない
DV証明書はそのドメインと暗号化通信していることを保証するだけでそのサイトの善悪までは知らん
というのはエンジニアとしてはものすごく正しいことを言っているのだが
実際にインターネットを利用して被害にあうエンドユーザーには通じない
最終的にLet'sの証明書は信用できない、Let'sはウィルス、マルウェア被害を助長する悪の組織、
みたいにならなければいいけど
243:名無しさん@お腹いっぱい。
16/01/14 23:18:54.14 0.net
もうなりつつあるんじゃないかなぁ
多数の人の中で証明書の正しさとSSL/TLSであることがごっちゃになってるし
244:名無しさん@お腹いっぱい。
16/01/14 23:27:15.43 0.net
例えば無料DV証明書でも
example.com + www.example.com の証明書は取れても
それのサブドメイン sub.example.com は取れないみたいな制限あること多いよね
あとは親ドメインの証明書を他の人が取ってたらそれのサブドメインの証明書は取れないみたいなのとか
Let's Encrypt ってそーいう制限ないから domain shadowing と相性ピッタリなんだよね
245:名無しさん@お腹いっぱい。
16/01/14 23:39:37.41 0.net
他人がどうやってサブドメインできるの?
246:名無しさん@お腹いっぱい。
16/01/14 23:45:37.58 0.net
例えば無料のHPでサブドメインが割り当てられるなんてのはよくあるやつだろ
247:名無しさん@お腹いっぱい。
16/01/14 23:48:47.11 0.net
>>239
domain shadowing
248:名無しさん@お腹いっぱい。
16/01/15 00:42:06.65 0.net
責任の所在がどこにあるかは別にして
被害者を少しでも減らすためにもうちょっと対策考えるべきじゃね
義務じゃないけど努力義務的な感じで
トレンドマイクロから通報されてrevokeするのがそんなに大変な作業かね
249:セキュリティ証明書には問題があります
16/01/15 00:54:26.45 0.net
この Web サイトのセキュリティ証明書には問題があります。
URLリンク(nakedsecurity.sophos.com)
この Web サイトで提供されているセキュリティ証明書にはエラーがあるため、
信頼しないでください。
セキュリティ証明書の問題によって、詐欺や、お使いのコンピューターから
サーバーに送信される情報を盗み取る意図が示唆されている場合があります。
250:名無しさん@お腹いっぱい。
16/01/15 09:27:06.60 0.net
>>242
まあむこうの考える理想としてそういうことをやってはいけないのだろう
現状を変えたいのだと
251:名無しさん@お腹いっぱい。
16/01/15 11:26:21.77 0.net
今のままじゃブラウザで不正証明書の警告が出ないオレオレ証明書と同じじゃないか
252:名無しさん@お腹いっぱい。
16/01/15 11:41:11.89 0.net
同じだよ?
全くその通りだしめざしてるのはそれだろ
目的は単純な暗号化なんだから
253:名無しさん@お腹いっぱい。
16/01/15 11:56:38.71 0.net
正しい証明書であることとサイトの信頼性はまったくべつのはなしだ
DV証明書ってそういうものだろ、という、繰り返されたいつものやつ
254:名無しさん@お腹いっぱい。
16/01/15 12:05:32.59 0.net
だが消費者は納得しない
なぜかといえばブラウザが緑になるせいでhttps=安心安全と教育されてきたから
255:名無しさん@お腹いっぱい。
16/01/15 12:14:50.59 0.net
緑になるのはEVだしかなり最近の話だな
鍵マークみたいなのが出るのは昔からだが
まぁ鍵マークとURLを確認=安全って教えられてるわな
256:名無しさん@お腹いっぱい。
16/01/15 12:16:43.45 0.net
>>249
緑に関してはもちろんそうだけどもEVとDVの違いをちゃんと理解して使ってる奴がどのくらいいるのかとね
257:名無しさん@お腹いっぱい。
16/01/15 12:20:28.94 0.net
「このWebサイトは認証されています。このサイトとの通信は安全です」
↓
通信は安全だけど、サイト自体はフィッシングサイトかもしれない、ウィルス流し込まれたかもねー
って一般には理解できんと思うが、そーいう目的だと言われたらもうここの発行した証明書を
ブロックするしかないな
258:名無しさん@お腹いっぱい。
16/01/15 14:29:43.02 0.net
>>251
だったら、RapidSSL とかグローバルサインとか含めて、DV証明書全部ブロックしたら?
DV証明書っていうのはそういうもんだからね
言っとくけど、フィッシング詐欺やらウイルス配布やらに悪用されているDV証明書なんて山ほどあるから
Let's Encrypt を糞会社のトレンドマイクロが叩いただけで、それ以外の既存の大手CAのDV証明書だってフィッシングサイトなどに悪用されてる
サイトを信頼したいなら、その法的に実在している法人や団体が運営していることを証明している
アドレスバーが緑色になるEV証明書だけ信頼していればいいでしょ
文句いってるトレンドマイクロの方が明らかにおかしなセキュリティ会社なんだけどね
トレンドマイクロの「パスワードマネージャ」が、localhostでNode.jsを使ってHTTPサーバーを実行していて、
全世界から任意のコードを実行できて、記録されたパスワードも盗用可能という致命的な脆弱性があるという糞会社だからセキュリティを語る資格はない
てか、パスワードマネージャに HTTPD が入ってるとか、脆弱性以前にバックドアとしか言いようがない糞設計だよね
ウイルス対策ソフト自体も誤検出放置で信頼性皆無だし
URLリンク(it.srad.jp)
259:名無しさん@お腹いっぱい。
16/01/15 18:55:27.50 0.net
こういうことが続いてLet'sの証明書が信用失ってブロックされたら困るよねーって話だし
トレンドマイクロ叩きとかどうでもいいし
何ヒートアップしてんの
260:名無しさん@お腹いっぱい。
16/01/15 18:57:36.35 0.net
全ては無知な大衆が悪い
261:名無しさん@お腹いっぱい。
16/01/15 21:11:13.99 0.net
なんかここではDV証明書の議論になってるけど
トレンドマイクロが危惧してるのは今回の domain shadowing の手法と
サブドメインだけで証明書を取りまくれる仕様の合わせ技って
ところじゃないかな
もちろん他にもそういうザル認証局はあるんだろうけど、Let's Encrypt は自動化しやすいし…
ほら、無職ニートとかが変態的犯罪を起こすと「犯人の自宅にはアニメのDVDが大量にあり…」
みたいな恣意的な報道されるじゃん? あんな感じでさ
今回の件で Let's Encrypt が悪いとは思わないけど
今後 Let's Encrypt が悪者にされるのは心配だよね
262:名無しさん@お腹いっぱい。
16/01/15 23:27:21.86 0.net
証明書で証明できるものは、公開鍵の正当性だけ
公開鍵証明書という正式な名称使った方が誤解ない
263:名無しさん@お腹いっぱい。
16/01/16 00:24:22.54 0.net
で、その公開鍵証明書にはサーバー用、クライアント用、S/MIME用、アプリ署名用とかいろいろあって
それを区別するためにだな。。。
264:名無しさん@お腹いっぱい。
16/01/16 00:26:26.02 0.net
>>257
サーバー用公開鍵証明書、
クライアント用公開鍵証明書、
S/MIME用公開鍵証明書、
アプリ署名用公開鍵証明書
という正式な名称使った方が誤解ない
265:名無しさん@お腹いっぱい。
16/01/16 02:35:20.81 0.net
イヤなら金払ってもっと上の証明書を使うなりすればいいじゃない。
俺はそれがイヤだから無料の Let's Encrypt を使っているだけというね。
暗号化経路さえ確保出来ていればそれでいいよ。
266:名無しさん@お腹いっぱい。
16/01/16 11:04:36.54 0.net
そう言う話ではないと思うが
267:名無しさん@お腹いっぱい。
16/01/17 00:38:25.41 0.net
>>260
暗号化とデータの保証では駄目なん?
268:名無しさん@お腹いっぱい。
16/01/17 00:49:40.72 0.net
またDV証明書の問題に論点すり替えか
269:名無しさん@お腹いっぱい。
16/01/17 12:28:29.61 0.net
>>262
今時大手CAもDV証明書売ってるし、フィッシングサイトが HTTPSに対応しているなんてのは今時当たり前(大手CAのDV証明書利用)であって、いちいちニュースにもならない。
ニュースになったとしても、○○銀行のフィッシング詐欺サイトがどうのこうのと注意喚起されるだけで、どこの証明書が使われたなんてのは記事にならない(実際どうでもいいし)。
ところが Let's Encrypt の証明書が使われたときだけ騒ぐというのは嫌がらせとしか思えない
大手CAと違って広告費払ってくれない非営利団体運営だから、叩きやすいんだろうね
一方、DVやってるジオトラストは、シマンテック・ベリサイン系列だから気軽に叩く訳にはいかんだろう�
270:オ
271:名無しさん@お腹いっぱい。
16/01/17 13:15:52.43 0.net
最初の発行時だけ手動の操作による認証が必要にすればいいんじゃないのかな?
自動化は更新だけで十分だよね
272:名無しさん@お腹いっぱい。
16/01/17 15:44:56.75 0.net
>>264
そんなことはジオトラストとかの大手DVもやってなくて機械的に取れるんだけど
だいたい、手動による認証ってなんか意味あるの?
証明書取得時だけ普通のサイトっぽくして、証明書取得後にフィッシングサイトに書き換えられたら終わりじゃん
もうちょっと考えてから書き込んだら?
273:この Web サイトのセキュリティ証明書には問題があります
16/01/17 15:46:37.77 0.net
/;;;;;;;;;;;;;;;;:.
i;;;」' __ __i
|;;| '・`, '・`{
(6|}. ・・ } 嫌なら使うな!
ヽ 'ー-ソ
ノ、ヽ_/
/, ヽ
ト,.| ト|
274:名無しさん@お腹いっぱい。
16/01/17 15:47:34.51 0.net
手動による認証ってなんだ?
電話やSMS確認でもするんか?
大概のことは自動化余裕だぞ
275:名無しさん@お腹いっぱい。
16/01/17 16:27:20.78 0.net
>>266
なにを?
276:オレオレ証明書
16/01/17 16:37:38.76 0.net
URLリンク(support.microsoft.com)
この Web サイトのセキュリティ証明書には問題があります。
URLリンク(www.knaw.nl)
sha384WithRSAEncryption
TLS 1.0、AES 256 / 256 ビット暗号 (高); RSA / 4096 ビット交換
オレオレ証明書
Program Files\CSR\CSR Harmony Wireless Software Stack
cert_install.bat
@ECHO OFF
cd .
call certmgr.exe /add HarmonyTest.cer /s /r localMachine root
call certmgr.exe /add HarmonyNewTest.cer /s /r localMachine root
Harmony(Test).cer
HarmonyNew(TEST).cer
bluetooth
bluetooth追加後、証明書が書き込まれる。
URLリンク(www.ssllabs.com)
TLS 1.0、Triple DES / 168 ビット暗号 (高); RSA / 2048 ビット交換
kb3081320
WEPOS および POSReady 2009 のセキュリティ更新プログラム (KB3081320)
schannel.dll
277:このページは表示できません
16/01/17 16:39:08.73 0.net
URLリンク(my.softbank.jp)
TLS 1.0、RC4 / 128 ビット暗号 (高); RSA / 2048 ビット交換
このページは表示できません
URLリンク(media.defcon.org)
sha512RSA
DigiCert SHA2 High Assurance Server CA
URLリンク(trinlink.tmfhs.org)
TLS 1.0、AES 256 / 256 ビット暗号 (高); RSA / 2048 ビット交換
278:名無しさん@お腹いっぱい。
16/01/17 17:02:32.38 0.net
>>268
時々現れる荒らしだからスルーな
279:この Web サイトのセキュリティ証明書には問題があります
16/01/17 22:59:27.42 0.net
σ < マイクロソフトの営業よ
(V) ヨドバシカメラのPC売り場に出かけて
|| 「嫌なら使うな」の腕章付けて販促活動して欲しいわ
受けること間違いなしwwww
280:名無しさん@お腹いっぱい。
16/01/23 01:53:53.03 0.net
./letsencrypt-auto certonly --webroot -w /var/www/http/ -d example.com -w /var/www2/http/ -d hoge.com --agree-tos
./letsencrypt-auto: line 104: [: too many arguments
./letsencrypt-auto: line 106: [: too many arguments
Updating letsencrypt and virtual environment dependencies..../letsencrypt-auto: line 186:
/root/.local/share/letsencrypt/bin/pip: そのようなファイルやディレクトリはありません
CentOS5.11とpython2.6はあかんのか?
281:名無しさん@お腹いっぱい。
16/01/23 02:05:00.95 0.net
pip install -U pip
282:名無しさん@お腹いっぱい。
16/01/23 03:55:52.51 0.net
Python は 2.7~じゃなかったっけか
283:名無しさん@お腹いっぱい。
16/01/23 09:38:48.70 0.net
docker
284:名無しさん@お腹いっぱい。
16/01/23 10:24:26.70 0.net
SCLは6系からだっけ?
既存環境壊したくなければ、chroot環境作るとか
#言ってはみたが試してはいない
285:名無しさん@お腹いっぱい。
16/01/23 11:35:00.08 0.net
サブドメインが違うのを何個か作ったら制限でアウトになった。
この制限って、どんな時に発動して、どうやったら解除?
286:名無しさん@お腹いっぱい。
16/01/23 11:41:41.99 0.net
俺は5個発行できたが
287:名無しさん@お腹いっぱい。
16/01/23 12:00:16.04 0.net
python は 2.6 だと「古くてもうメンテされてないよ」って警告出るだけで
使えないわけではない
最初はいちいちうざいけど crontab に登録してしまえばどうでもよくなる
他のクライアント使ってもいいし
288:名無しさん@お腹いっぱい。
16/01/23 13:31:52.00 0.net
domain shadowingって具体的にどういう手法なの?
ググってもよくわかんないんだけど
289:名無しさん@お腹いっぱい。
16/01/23 13:33:05.27 0.net
下に作って上のをGET
290:名無しさん@お腹いっぱい。
16/01/23 13:38:21.28 0.net
要するに
レジストラのアカハックしてサブドメイン作ったら
それを種に他のサブドメインの証明書も作れる
こういうこと?
291:名無しさん@お腹いっぱい。
16/01/23 13:42:00.40 0.net
ちゃうねん
www.yahoo.co.jpがあるとするやろ
ad.yahoo.co.jpを作ってそれを自分の鯖に向けて証明書を取得
そしてそこでフィッシング詐欺みたいな感じでユーザー情報GET
292:273
16/01/23 14:09:55.58 0.net
URLリンク(github.com)
↑これでいけた
centosでコケた人はお試しあれ
293:名無しさん@お腹いっぱい。
16/01/23 15:04:42.28 0.net
>>284
> ad.yahoo.co.jpを作って
これどうやるの?
294:名無しさん@お腹いっぱい。
16/01/23 15:07:57.51 0.net
>>283
295:名無しさん@お腹いっぱい。
16/01/23 15:40:34.77 0.net
>>286
自分がドメイン乗っ取りやフィッシングなどの犯罪行為の方法をkwsk質問してる自覚ある?
296:名無しさん@お腹いっぱい。
16/01/23 15:44:03.50 0.net
>>288
攻撃方法を知れば防御もできると思うぞ
297:名無しさん@お腹いっぱい。
16/01/23 15:49:22.14 0.net
>>281
URLリンク(security.srad.jp) に書かれている
レジストラの垢をフィッシング詐欺その他で乗っ取って、DNSのAレコードを書き換える攻撃のこと
>>283
そういうこと
>>284
> ad.yahoo.co.jpを作ってそれを自分の鯖に向けて証明書を取得
その ad というサブドメインを yahoo.co.jp に追加するために、ヤフー株式会社が所持しているレジストラアカウントを乗っ取るのが
domain shadowing という攻撃方法
単なるレジストラアカウントの乗っ取りで合って、別に目新しい攻撃方法ではないけど
・メインのAレコード(@ や www)を書き換えないので、ドメイン所有者が攻撃に気が付きにくい
・ブラウザやセキュリティソフトは長年使われていた正規サイトのサブドメインのため、ヒューリスティック判定で詐欺サイトとして自動検出しない
ってだけ
その不正につくったサブドメインにLet's Encryptの証明書が使われたと大騒ぎしているのがトレンドマイクロだけど
色々ブーメランなことになったので、トレンドマイクロはそのLet's Enbcrypt批判の記事を修正した
298:名無しさん@お腹いっぱい。
16/01/23 16:10:54.40 0.net
なるほどレジストラのアカウント乗っ取るなんて大がかりなことやるなら
Let's Encryptの証明書が使われるとか些細なことだな
299:名無しさん@お腹いっぱい。
16/01/23 16:21:19.63 0.net
お名前みたいなDNSサービスもやってるところはそうだけど
別にレジストラじゃなくてもDNSサーバー乗っ取ればいいわけで
それ自体は昔からある手法
サブドメインをこっそり乗っ取るのが最近の流行
300:名無しさん@お腹いっぱい。
16/01/23 18:12:12.98 0.net
DNSサーバを乗っ取るって・・・
DNSサービスではなくて?
サーバ乗っ取れるならWEBサーバ乗っ取ればいい
そうすればSSLなんて取得する必要ない
なんせ本物のサイトが弄りたい放題なのだから
301:名無しさん@お腹いっぱい。
16/01/23 20:42:01.55 0.net
>>293
普通速攻気付かれて修正されておわりだよね。
302:名無しさん@お腹いっぱい。
16/01/23 21:05:00.00 0.net
DNSサーバ乗っ取られるような会社なら
コンテンツイジられようが配下ディレクトリになんらかのコンテンツ設置されようが
気がつかないと思うぞ
303:名無しさん@お腹いっぱい。
16/01/23 21:19:51.79 0.net
キャッシュ毒とかのことかな
権威サーバー乗っ取られるのは、さすがに論外な気がする
304:名無しさん@お腹いっぱい。
16/01/23 22:24:28.39 0.net
要するにサブドメインでその上の認証がとれるってことでしょ
サブドメイン型ホスティング使ってたら同居人に証明書発行されてるかも知れないと
さすがに仕様が悪いんじゃないか
305:名無しさん@お腹いっぱい。
16/01/23 22:39:55.76 0.net
お前は何を言ってるんだ?
306:名無しさん@お腹いっぱい。
16/01/23 22:47:28.32 0.net
理解できなかっただけでしょほっとけよ
アホは書き込み禁止で
307:名無しさん@お腹いっぱい。
16/01/23 22:51:21.55 0.net
>>293
だーかーらー
そーいう派手な乗っ取りをすると
>>294
の言うように気付かれやすいから
こっそりサブドメインを作って A レコードで別サイトに誘導するってのが
domain shadowing っていうのさ
これ以上反論したいならセキュリティ専門家とでも議論してくれ
308:名無しさん@お腹いっぱい。
16/01/23 23:37:28.88 0.net
>>300
んなもん分かってる
お前がいきなり
> 別にレジストラじゃなくてもDNSサーバー乗っ取ればいいわけで
> それ自体は昔からある手法
まるでアカウント乗っ取るよりサーバ乗っ取る方が簡単みたいな事言い出したから
309:名無しさん@お腹いっぱい。
16/01/23 23:39:35.30 0.net
日本語力たりねえなぁ・・・書き込むなよ
310:名無しさん@お腹いっぱい。
16/01/24 00:05:40.10 0.net
オマエモナー
311:名無しさん@お腹いっぱい。
16/01/24 00:18:26.91 0.net
( ´∀`)
312:名無しさん@お腹いっぱい。
16/01/24 03:30:01.76 0.net
/;;;;;;;;;;;;;;;;:.
i;;;」' __ __i
|;;| '・`, '・`{
(6|}. ・・ } 馬鹿は使うな!
ヽ 'ー-ソ
ノ、ヽ_/
/, ヽ
ト,.| ト|
313:名無しさん@お腹いっぱい。
16/01/24 13:01:09.58 0.net
また2ちゃんねるでオレ様情強アピールかよ。
どんだけキチガイ多いんだよ。
314:名無しさん@お腹いっぱい。
16/01/24 19:12:57.94 0.net
別に間違えたって良いと思うけど、逆ギレしちゃうのだけは止めた方がいいw
315:名無しさん@お腹いっぱい。
16/01/24 20:22:27.31 0.net
他の発行元はサブドメイン用DV証明書の発行にも非サブドメインのドメイン所有権というか使用権を確認してるのに
LEは当該サブドメインの使用権しか確認してなくて
世間一般の認識ではサブドメイン用証明書はドメイン所有権確認してあるはずとなってるから
サブドメインへのHTTPS通信はドメイン所有者の責任があると認識されるが
316:名無しさん@お腹いっぱい。
16/01/24 20:23:33.84 0.net
途中で送っちゃった
が
LEはそう考えてなくて考え方のギャップでTMが因縁つけてるカンジか
317:名無しさん@お腹いっぱい。
16/01/24 21:47:35.98 0.net
そもそも暗号化するってだけで確認も何も無かろう。
これまでの考え方自体おかしいんでしょう。
存在確認とか、所有者確認とは別の仕組みにすべきって事の方が理にかなってるってのは誰にでも分かる事
318:名無しさん@お腹いっぱい。
16/01/24 22:01:58.66 0.net
さすがトレンドマイクロ
319:名無しさん@お腹いっぱい。
16/01/24 22:59:35.03 0.net
そもそもオレオレ証明書でド派手な警告出るようなしくみになってるのが
世間の認識を歪めることになった元凶。
320:名無しさん@お腹いっぱい。
16/01/25 00:09:04.16 0.net
>>310
OVで始まった歴史的経緯があるからね
そこをすっ飛ばしたら議論にならない
321:名無しさん@お腹いっぱい。
16/01/25 00:11:16.53 0.net
本当だよ。あれを誤解してる奴にどれだけ説明した事か。
あの警告出す事にオッケー出してる事にも疑問。
322:名無しさん@お腹いっぱい。
16/01/25 13:18:02.13 0.net
>>312 >>314
オレオレ証明書は、フィンガープリントの確認をしない限り、暗号化という意味でも安全ではないから
激しい警告を出すのは当然なんだが
例えば、安全でないアクセスポイント(クラッカーが運営)で無線LANを使っている場合、
オレオレ証明書のサイトを偽のオレオレ証明書に書き換え、www.example.com のサーバーへの接続を
クラッカーが運営するサーバへの接続(オレオレ証明書)に経路を書き換えることが可能
Let's Encrypt では二経路を改ざんしない限り、そういった悪用はできない。
証明書発行時にDNSのIP見てるので、
末端ユーザー ⇔ 無線LANアクセスポイント ⇔ ISP の経路だけではなく、
Let's Encrypt 証明書発行サーバ ⇔ DNSサーバ の経路も書き換えない限り、そういった不正ができなくなる
323:名無しさん@お腹いっぱい。
16/01/25 14:13:21.92 0.net
いやそれDNS一つでええやん
324:名無しさん@お腹いっぱい。
16/01/25 15:05:35.57 0.net
>>315 大丈夫かぁ?
325:名無しさん@お腹いっぱい。
16/01/25 17:39:15
326:.54 0.net
327:名無しさん@お腹いっぱい。
16/01/25 20:24:56.18 0.net
だから暗号化と所有者確認は切り分けろよ
328:名無しさん@お腹いっぱい。
16/01/25 21:42:50.21 0.net
>>319
PKIの基礎学べば分かると思うけど、ユーザー(ブラウザ)が暗号化に使う公開鍵が
期待する通信相手のものであることが明らかでない限り、その暗号化自体が何の意味も持たない
つまり、ドメインの所有者・正規使用者の確認というプロセスを省略して単に暗号化だけにした場合(オレオレ証明書の場合)
その暗号化という行為自体が技術的に無意味になるのよ
何故かというと、単に暗号化するだけなら、通信を傍受・改ざんするクラッカーによって、正規の通信相手の公開鍵がクラッカーの公開鍵にすり替えられていたら
クラッカーが通信内容を傍受・改ざんできてしまう
Let's Encrypt のDV証明書は、ドメインの正規利用者の公開鍵であることを認証しているので
example.com というドメインを信用するならば、ブラウザのアドレスバーが URLリンク(example.com) で始まっていることとと
ブラウザが警告を発しないことを確認するだけで、そのドメインの正規利用者と安全に通信できる
ってことで、「暗号化と所有者確認は切り分け」は、技術的に無意味(公開鍵のすり替えに対抗できない)のでやる意味なし
(公開鍵のフィンガープリントを電話とか郵送とか安全な方法で受け渡せば公開鍵のすり替えはできなくなるが)
Let's がやってるDNSベースでの認証は、安全な通信のために必要な最低限度の行為なので削ることはできない
329:名無しさん@お腹いっぱい。
16/01/26 02:11:20.74 0.net
なげーから読んでねーけど、
オレオレ証明書を使ってるようなサイトをどうにかしようとなんて時間と手間の無駄だから誰もやらない
だから安全
330:名無しさん@お腹いっぱい。
16/01/26 12:42:01.63 0.net
オレオレは自分と一部の友人しか使わんから
331:名無しさん@お腹いっぱい。
16/01/26 12:51:41.99 0.net
だったらオレオレCA作って、
その証明書をインポートしときゃいいじゃない
332:名無しさん@お腹いっぱい。
16/01/26 15:11:46.21 0.net
いや、そのオレオレCAをポリシーで信頼してるわ
333:sage
16/01/27 14:35:11.67 0.net
今日1カ月ぶりに更新したらできない
pip をアップグレードしろとか出てる
PIPなんて最初から入ってない。
前回は不要で今回から必要になったのか。
334:名無しさん@お腹いっぱい。
16/01/27 15:00:12.19 0.net
は?
pip install -U pipさっさとしろよ
335:名無しさん@お腹いっぱい。
16/01/27 15:11:21.35 0.net
試しにやってみたらそういうふうに言ってきたけど勝手にやってくれたみたいで
そのまま更新できた
336:名無しさん@お腹いっぱい。
16/01/27 18:33:45.43 0.net
勝手にやってくれるって便利だとおもうけど、反面あぶねーからこええよw
337:名無しさん@お腹いっぱい。
16/01/28 10:33:48.28 0.net
依存関係の解消ってどのインストーラーもこんな感じでは
338:名無しさん@お腹いっぱい。
16/01/29 08:34:41.88 0.net
Let'snote のバッテリーのリコール対象が増えたぞ Let'snote 持ってる人は要確認だ!
URLリンク(askpc.panasonic.co.jp)
CF-S8/S9/S10シリーズ、またはCF-N8/N9/N10シリーズ (新たな対象機種)
かなり古い機種も含まれているので、これで数年前のバッテリーが新品に蘇るぞ
パナソニックは神対応だな
……ところで、なんでこんな板にLet'snoteスレがあるんだ?
339:名無しさん@お腹いっぱい。
16/01/29 11:31:43.75 0.net
>>330
スレタイも読めない文盲乙
340:名無しさん@お腹いっぱい。
16/01/29 19:53:50.93 0.net
証明書の更新が半年とかになればなー。
341:名無しさん@お腹いっぱい。
16/01/29 21:00:30.42 0.net
自動にしてほっとけ
342:名無しさん@お腹いっぱい。
16/01/30 10:51:59.80 0.net
言われているが、
cronなどでの自動更新前提
343:名無しさん@お腹いっぱい。
16/01/31 11:26:27.64 0.net
レンタルサーバーだとめんどい。
344:名無しさん@お腹いっぱい。
16/01/31
345:20:52:02.43 0.net
346:名無しさん@お腹いっぱい。
16/01/31 20:54:33.92 0.net
まあめんどいのは事実だしただの愚痴やろ
347:名無しさん@お腹いっぱい。
16/01/31 22:46:37.84 0.net
こんな程度でめんどいと言っているようではおまえはうんたらかんたらって言いたいだけ
348:名無しさん@お腹いっぱい。
16/02/01 08:06:06.34 0.net
今朝にセットしてたcron自動更新うまくいってた
これで一ヵ月毎とか2ヶ月毎に更新しとけば、短い有効期限も気にならないな
エラーになった時のリトライ考慮してないけど
まぁそん時は手動でいいや
349:名無しさん@お腹いっぱい。
16/02/01 16:53:41.74 0.net
リトライさせるのは簡単では。
証明書の有効期限 n 日前になったら更新させる
って処理にして cron で回す周期を数日おきにすれば
エラーがあってもまた数日後、次の実行時に処理出来る。
openssl x509 -checkend
これ使うと良いね。
350:セキュリティ証明書には問題があります
16/02/02 00:35:58.97 0.net
URLリンク(api.2ch.net)
この Web サイトのセキュリティ証明書には問題があります。
URLリンク(www.virustotal.com)
351:黒猫のルート証明書更新
16/02/02 04:45:59.07 0.net
URLリンク(www.virustotal.com)
Qihoo-360 HEUR/QVM06.1.Malware.Gen
nProtect Trojan/W32.Chifrax.5
352:名無しさん@お腹いっぱい。
16/02/02 05:11:45.81 0.net
なんなん?
キモいな
353:名無しさん@お腹いっぱい。
16/02/02 09:32:00.93 0.net
そもそもケチつけるべきはここではなくCFだと思うんですが
SNI対応してないデバイス使うほうが悪い
354:名無しさん@お腹いっぱい。
16/02/02 11:38:23.78 0.net
>>341 は、Let's Encrypt に対して風評被害を与えるような糞レス
まず、第一に、そのサイトの証明書を確認してみたが、サブジェクトの代替名が
DNS Name=ssl366616.cloudflaressl.com
DNS Name=*.2ch.net
DNS Name=2ch.net
となっている COMODO の DV証明書。
もう一度いうと、「COMODO」 の DV証明書なので、Let's Encrypt は無関係。
ついでに、その証明書はきちんと検証できるので、全く問題が無い。
ちなみに、その証明書自体は問題ないけど、2chはあちこちセキュリティガバガバなので全く信用できない。
例えば、jump.2ch.net は、
URLリンク(www.example.com)
というリンクすらまともに処理できない
一応XSSは修正されたけど、エスケープ漏れに対して変なところで処理した結果、& を & に変換する処理が二重化されて二重エスケープでリンクが機能しなくなったり
ページ内リンクの # を処理できなかったりと、ガバガバ
そういうレベルのサイトなので、●のクレジットカード情報や個人情報漏洩したりとか、有料会員のパスワードがXSSやCSRFで漏洩したりとか、
レベルの低い問題を過去におこしまくっている
355:345
16/02/02 11:46:53.97 0.net
うわ、書き込み自体も変に文字列置換されて意図に反する内容になった
「& を &amp; に変換する処理」とカキコしたら、HTML出力時に「&amp; を &amp;amp; に変換する処理」となり、
ブラウザには「& を &amp; に変換する処理」と表示されるのが、適切なエスケープ方法だけど、2chは適切にエスケープするのではなく変な変換処理をかけているようだ
2chの有料会員になるときには、個人情報を一切渡さない方法(プリペイドカードや匿名VISAデビットなど)で、偽の個人情報で課金することを推奨する
356:名無しさん@お腹いっぱい。
16/02/02 13:23:21.44 0.net
どうでも良いわ。
357:名無しさん@お腹いっぱい。
16/02/02 18:13:00.18 0.net
>>345
荒らしはスルー
358:名無しさん@お腹いっぱい。
16/02/05 14:46:12.08 0.net
まーたスクリプトのテストしてたら「お前たくさん発行しすぎ」ってエラーになった
なんとかしちくりー
359:名無しさん@お腹いっぱい。
16/02/05 15:28:21.48 0.net
発行しすぎ! ってエラーが出ることを正常系としてみりゃいいんでね?
360:名無しさん@お腹いっぱい。
16/02/05 15:54:01.29 0.net
警告が出るだけじゃなくて実際に発行を拒否されるのを正常系にしてどうする
その後(発行された証明書をApacheでロードして接続テスト)が出来ないじゃん
361:名無しさん@お腹いっぱい。
16/02/05 16:40:35.06 0.net
>>349
URLリンク(community.letsencrypt.org)
362:名無しさん@お腹いっぱい。
16/02/05 21:09:10.09 0.net
>>351
スクリプトの動作云々でそこまで求めるなら一週間またないとな。
更新処理のみに絞れば発行しすぎだろってエラーまで行けば制限外れれば更新は出来る。
気になるならログを見れば良いだけだし。
363:名無しさん@お腹いっぱい。
16/02/13 12:28:23.46 0.net
更新済みなのにこんなメールが来たんやけど?
"Let's Encrypt certificate expiration notice"
Hello,
Your certificate (or certificates) for the names listed below will expire in 19 days (on 03 Mar 16 04:05 +0000). Please make sure to renew your certificate before then, or visitors to your website will encounter errors.
www.example.com
For any questions or support, please visit URLリンク(community.letsencrypt.org) Unfortunately, we can't provide support by email.
364:名無しさん@お腹いっぱい。
16/02/13 12:38:52.12 0.net
>>354
俺にも来たけど、サブドメイン足す前の物は間もなく切れるからだった。
3ヶ月って短いな。
365:セキュリティ証明書の問題を検出
16/02/17 04:26:38.20 0.net
Internet Explorer はこの Web サイトのセキュリティ証明書の問題を検出しました
URLリンク(www.symantec.com)
大晦日に解散ライブを行い、フィナーレで照明を落とし
バイクに乗って森が登場して、キムタコに蹴りを入れて終了。
ゲーム 平安京エイリアン
366:名無しさん@お腹いっぱい。
16/02/17 15:05:27.10 0.net
>>356 は、Let's Encrypt に全く関係無いカキコ
荒らしなのでスルーよろしく
367:名無しさん@お腹いっぱい。
16/02/17 15:22:32.54 0.net
あなた以外全員スルーしてたと思うんですが・・・
368:名無しさん@お腹いっぱい。
16/02/17 19:46:53.13 0.net
まったくだww
369:名無しさん@お腹いっぱい。
16/02/19 16:46:20.92 0.net
>>356-359
ワロタw
370:名無しさん@お腹いっぱい。
16/02/20 18:57:23.17 0.net
更新忘れないように、有効期限が短い証明書更新してないとリマインダーメール来るんだね
意外と賢い仕組みだわw
371:名無しさん@お腹いっぱい。
16/02/24 17:31:34.35 0.net
.
.
板違い(?)の上に、話をさえぎってしまいゴメンナサイ!(*_ _)人
でも、この板のユーザーさんにも有意義な告知かと思うのでカキコませてください。
★ 謝礼は十分いたします ★ アメブロなどのサイト制作ができる方!!
アメブロなどを使用してのサイト制作のできる方を早急に求めています!
私はリケジョやPC女子からはほど遠く、サイト作成にはまったく疎いのでとても不自由しています…(> <;)
そこで私に代わりサイトを作成してくださる方を求めてこの場をお借りしました。
■サイトの内容…
アダルト系、違法性、その他公序良俗に反するものではありませんのでご安心ください。
■サイト制作の仕様ベース…
アメーバブログで十分です。願わくばwordpressなどのブログ形式のサイトを希望します。
それに準ずるもので使い慣れたものがあれば別のものでも構いません。
■条件はありません…
技術さえお持ちでしたら、学歴・職歴等は一切問いません。
フリーター、ニート、高齢ニート、コミュニケーション障害をお持ちの方、引きこもりの方、中年失業者、長期無職等、歓迎!
■作業形態…
作業は在宅でやって頂くことになりますので、時間の指定は一切ありません。別のお仕事の傍らに…でもOKです。
■詳細をお知りになりたい方は…
下記メールアドレスまでご連絡ください。詳しく書いた返信文を差し上げます。
※真剣な告知です。冷やかしはご遠慮ください。
井 上
inoue1952w★gmail.com
迷惑メール対策のため@部分を★にしてあります。
実際に送信する際には★を@マークに変えてください。
.
.
372:名無しさん@お腹いっぱい。
16/02/25 01:13:16.48 0.net
>>362
> inoue1952w★gmail.com
> 迷惑メール対策のため@部分を★にしてあります。
> 実際に送信する際には★を@マークに変えてください。
はぁ?
お前の書き込み自体が迷惑メールだろw
373:名無しさん@お腹いっぱい。
16/02/25 08:16:13.26 0.net
ただの荒らしに反応する必要ないぞ
374:名無しさん@お腹いっぱい。
16/02/25 08:38:11.63 0.net
>フリーター、ニート、高齢ニート、コミュニケーション障害をお持ちの方、引きこもりの方、中年失業者、長期無職等、歓迎!
問わないのはいいと思う。
だが歓迎しちゃいかんと思う。
375:名無しさん@お腹いっぱい。
16/02/29 16:55:04.19 0.net
ここっていつまでβなの
永遠にβってやつ?
376:名無しさん@お腹いっぱい。
16/03/01 21:09:29.50 0.net
>>76
βとれてるよ
377:名無しさん@お腹いっぱい。
16/03/02 00:23:55.11 0.net
>>367
取れてないよ
公式見てみ
URLリンク(letsencrypt.org)
「Get Started (Public Beta)」とある
パブリックβテスト中だ
378:名無しさん@お腹いっぱい。
16/03/02 02:31:45.69 0.net
>>368
ほんとだ、おっパブリックβだったね
379:名無しさん@お腹いっぱい。
16/03/02 15:12:14.54 0.net
くだらない質問で恐縮ですが、証明書取得時の80へのアクセスについて、アクセス元のアドレス帯とか公開されていたりしますか
380:名無しさん@お腹いっぱい。
16/03/02 15:15:33.75 0.net
ない
ssしてれば見えるんじゃね?
381:名無しさん@お腹いっぱい。
16/03/02 19:07:22.16 0.net
webroot指定でやった時は66.133.109.36からアクセスされた
382:名無しさん@お腹いっぱい。
16/03/03 09:36:02.87 0.net
>>372がoutbound1.letsencrypt.orgで、outbound2も存在しているようなので、その2つを開けて様子を見てみます。 ありがとうございました。
384:名無しさん@お腹いっぱい。
16/03/08 21:26:45.81 0.net
Let's Encryptをつかって署名された証明書を作成して、
それを、squidのssl-dumpで使うことってできるんでしょうか。
これができたら、ブラウザにオレオレルートの登録が不要になると思うので、
便利だと思ったんですが。
385:名無しさん@お腹いっぱい。
16/03/09 08:31:13.69 0.net
>>374
ssl-dumpの場合、信頼されたCA証明書で動的にSSL証明書が発行されないとダメだし、LetsEncryptではCA証明書が払い出されるわけでは無いから無理じゃね。
386:名無しさん@お腹いっぱい。
16/03/09 10:52:24.19 0.net
>>375
387:レスありがとうございます。 ssl-bumpだと動的に作成した証明書を「自分でその都度、署名して自己証明書を新たに作成」しているってことですか。 ssl-bumpの設定段階には、さきにオレオレ証明書を作成することになっています。 そして、おっしゃるとおり、動作中は接続先サーバのドメインに応じて矛盾しない証明書を動的に作成するらしいです。 だとしたら、どうして、最初にオレオレ証明書を準備したんでしょうか。 自己証明の代わりに、Let's Encryptがその都度、署名してくれればいいんだけどなあ。 そういうスクリプトが提供されているのではないのか。
388:名無しさん@お腹いっぱい。
16/03/09 12:09:40.83 0.net
その「オレオレ証明書」がCA証明書で、サーバ証明書を発行するのに使われる
ということだろう?
「どうして」って、サーバ証明書を生成するのに必要だから作ることになっている
つーか、「LEがその都度署名」って、自分が管理しているわけでもないドメインも対象なんだろう?
そんなん無理筋過ぎる
389:名無しさん@お腹いっぱい。
16/03/09 20:25:21.05 0.net
>>377
ちょっと、おれおれ証明書と、おれおれ認証局とを混同したように書いてしてしまっていた。
おれおれ証明書は、おれおれ認証局によって署名されたものという認識で合うかな。
ところで、squidの組織がルートの通った認証局を構築してくれればいいのかな?
googleあたりがそういうのをやってくれないかな?
390:名無しさん@お腹いっぱい。
16/03/09 20:26:03.22 0.net
自分で作ればええやん
391:名無しさん@お腹いっぱい。
16/03/09 21:17:54.39 0.net
とりあえずスレチになってきたので、続きはメモ帳に書いて保存せずに終了しとけ
392:名無しさん@お腹いっぱい。
16/03/09 23:03:18.86 0.net
>>378
そんな証明書出すCAは瞬く間にCA証明書がブラウザから削除される
さようなら
393:名無しさん@お腹いっぱい。
16/03/09 23:07:41.47 0.net
ここで証明書もらって手元のサイトSSL化してみたら
スマホもPCも問題なくSSLになって喜んでたら
ウィルコムとauのガラケーだと証明書エラーで開けんかった…orz
ガラケーは諦めるか
sslのテストでA評価もらえるように設定したのでXPの古いIEも捨ててしまってるし
394:名無しさん@お腹いっぱい。
16/03/09 23:28:11.07 0.net
ガラケーはちょっと古いとSHA2にすら対応できんから、もう見捨てるしかあるまいて
395:名無しさん@お腹いっぱい。
16/03/09 23:37:11.50 0.net
Let's Encryptの証明書はSHA-256なので古いガラケーだとエラーになる
他のCAも今後新規発行はSHA-256強制となるから同様にガラケーではエラー
396:名無しさん@お腹いっぱい。
16/03/10 00:10:31.50 0.net
>>382
>ここで証明書もらって
これって、正しく言ったら、
自分で作成した公開鍵と自分情報に、ここで署名してもらって、証明書を作成してもらった。
ここで電子署名されるのは、公開鍵+秘密鍵のハッシュ値?
それとも、公開鍵+秘密鍵のハッシュ値+自分情報?
397:名無しさん@お腹いっぱい。
16/03/10 01:39:09.26 0.net
>>385
> ここで電子署名されるのは、公開鍵+秘密鍵のハッシュ値?
> それとも、公開鍵+秘密鍵のハッシュ値+自分情報?
両方不正解
認証局に送信されて電子署名されるのは公開鍵とCSRだけで、秘密鍵も秘密鍵のハッシュも認証局には送信されない
URLリンク(letsencrypt.jp)
電子署名にはCAの秘密鍵が使われる(お前の公開鍵などをCAの秘密鍵で暗号化するのが署名)ので、電子署名作業はLet's Encryptのサーバでやる
電子署名後のデータ(お前が作成した公開鍵をCAの秘密鍵で暗号化したデータ)を
ユーザーのブラウザがCAの「公開鍵」で復号できたら正しい署名だとみなされる
何故ならば、CAの秘密鍵で暗号化したデータは対応するCAの公開鍵でしか復号できないわけで
CAの公開鍵で複合できたということはCAの秘密鍵で暗号化されたということになる = 正規のCAによるデジタル署名ということになる
398:名無しさん@お腹いっぱい。
16/03/11 14:08:19.28 0.net
ガラケーはもうほとんど使い物にならなくなってるから無視していいだろ
399:名無しさん@お腹いっぱい。
16/03/12 15:14:11.00 0.net
いい加減このスレでSSL勉強会するのやめーや
400:名無しさん@お腹いっぱい。
16/03/12 17:11:34.21 0.net
>>388
何の問題もないっしょ
1日1レスあるかどうか分からんような過疎スレなんだから
そうやって初心者排除していると、ただでさえ居ない人が�
401:Xにいなくなって 便所の落書きどころか、廃墟の建物の壁の落書きになってしまうw
402:名無しさん@お腹いっぱい。
16/03/12 17:32:28.77 0.net
さあ、暗号化しよう!っていうスレなんだから
SSLに初めて手を出す人も多いでしょ
403:名無しさん@お腹いっぱい。
16/03/12 17:41:25.87 0.net
そういう人は、横着せずにちゃんと勉強しようね
ってことだろ
404:名無しさん@お腹いっぱい。
16/03/12 17:46:21.43 0.net
Wikiでも作りますかね?
解説というより解説サイトの紹介みたいな感じで
405:名無しさん@お腹いっぱい。
16/03/12 18:24:37.84 0.net
>>389
どうでもいいけどこのスレの勢いは3.8だ
406:名無しさん@お腹いっぱい。
16/03/12 19:50:36.26 0.net
証明書周りは「オレオレ認証局」とか「自己認証局」でググって色んなサイトを熟読すれば
うわべ位わかるようになるだろうに。
仮想マシンでアレコレやって「証明書はこうやって作られる」とまで自分自身で
学習できないようならこのスレ来ても意味ないと思われる。
407:名無しさん@お腹いっぱい。
16/03/12 19:57:24.60 0.net
SSLのことよーわからんけど
テキトーにletsencrypt-autoコマンド叩いたら
いつのまにか証明書類が出来上がってて
ググって出てきたのをパクってテキトーにnginxに設定したら
自分のサイトがhttpsでアクセスできるようになっていて
すごいなぁと思った
細かいこと知ってなくてもコンセプト通り誰でも気軽にSSLできるね
408:名無しさん@お腹いっぱい。
16/03/13 14:34:14.97 0.net
Let's Encrypt で証明書を取得したドメインに対して
Netcraft を名乗る bot から集中的にSSL接続が来た
本当にあの Netcraft の調査なのか、偽者なのかはわからんが
とりあえずブロックしといた
409:名無しさん@お腹いっぱい。
16/03/14 13:35:12.12 0.net
>>386
>認証局に送信されて電子署名されるのは公開鍵とCSRだけで、秘密鍵も秘密鍵のハッシュも認証局には送信されない
レスありがとう。
秘密鍵のハッシュもいっしょに、oreore認証局に渡されるって記事を、
WEBの記事で見たんだよなあ。ずっとさがしているけど、その記事が見つからない・・・
410:名無しさん@お腹いっぱい。
16/03/14 19:41:52.03 0.net
脳内乙
411:名無しさん@お腹いっぱい。
16/03/14 22:01:58.97 0.net
>認証局に送信されて電子署名されるのは公開鍵とCSRだけで、秘密鍵も秘密鍵のハッシュも認証局には送信されない
この下りは解釈の仕方だろうけど、認証局に送られて署名されるのは CSR (署名要求証明書) だけでしょ。
もちろん CSR の中には公開鍵の情報も含まれているから間違いでは無いような気もするけど誤解されそう。
412:名無しさん@お腹いっぱい。
16/03/15 00:44:42.69 0.net
>>399
> CSR (署名要求証明書)
まぁ、解釈の仕方で技術的な話ではないけど、CSR は Certificate Signing Request つまり署名要求なわけで、
「この公開鍵に署名してくださいねー」と認証局に送るための署名要求、つまり手紙のようなもの
で、認証局がやるのは、公開鍵に署名してその公開鍵がそのドメインに属することを証明することなんだから、
「認証局に送られて署名されるのは『公開鍵』」という説明が分かりやすくて合理的なのでは?
CSRは署名してください、っていう手紙に過ぎない
413:名無しさん@お腹いっぱい。
16/03/15 01:10:55.18 0.net
そりゃCSRに署名だったらCN以外もCSR通りに署名してくれるだろw
414:名無しさん@お腹いっぱい。
16/03/15 01:17:36.89 0.net
>>400
CSR (署名要求証明書) ってかいた括弧の中がおかしかった。これは訂正。
言っていることは分かるし伝わる。結果として署名された公開鍵がくるわけだしね。否定する所も無い。
つまり、考え方、合理性の求め方が人それぞれ色々あるんだなと感じた。
もっとも俺がおかしいだけなのかも知れないがw
415:名無しさん@お腹いっぱい。
16/03/15 16:35:36.26 0.net
>>399
CSR(含む公開鍵)が認証局に送られるけど、署名されるのは公開鍵だけっしょ
例えば、Let's EncryptのCAに下記のCSRを送ったとする
コモンネーム: 2cher-no-oresama.jp
組織名: 2cher Co LTE
部門名: BBS Service
市区町村名: Tubo-City
都道府県名: Osaka
国別番号: JP
公開鍵: 公開鍵情報グダグダと長文で列挙
すると、Let'sのCAはCSRの組織名・部門名・市区町村名・都道府県名・国別番号を全部無視(削除)して証明書を発行する
何故ならば、単なるDV証明書でドメイン名しか認証できないのでコモンネーム以外は無視・削除する(ジオトラストとかのDV証明書も同様)
ってことで、CAが署名するのはサーバの公開鍵だけだ
もしCSR全体を署名するとするならば、CSRの記載事項(組織名とか部門名)を認証局が改ざんできないことになるけど、
実際には認証局が勝手に変更したり認証していない項目を削除したりする
416:名無しさん@お腹いっぱい。
16/03/15 18:50:46.72 0.net
CSR に署名って言うは俺の言葉足らずだったので訂正及び謝罪はしておく。
CSR に含まれる「公開鍵」に対し、DV 認証且つマルチドメイン対応だから CN 及び SAN の値以外を削除して署名する。
ということで。
大元に >>399 で俺が書いた引用部分
>認証局に送信されて電子署名されるのは公開鍵とCSRだけで
この部分への違和感は「署名されるのは公開鍵と CSR だけ」にあって、公開鍵は CSR に含まれるから
送信されるのは CSR だけでそこに含まれる公開鍵にのみ署名される
という事になる。
417:名無しさん@お腹いっぱい。
16/03/16 17:07:29.78 0.net
もうわかったから何度も同じこと繰り返し書かなくていいよ
続きはPKI勉強会スレでも立ててそっちでやってくれ
418:名無しさん@お腹いっぱい。
16/03/21 12:59:37.25 0.net
>>405 が怖いから、もう5日もレス無しじゃないか……
誰でもみんな最初は初心者なんだから、多めに見てあげてください
419:名無しさん@お腹いっぱい。
16/03/21 13:44:13.46 0.net
それが正常なスレの状態だ
スレ違いは他所でやれ
420:名無しさん@お腹いっぱい。
16/03/21 23:04:08.48 0.net
基本的なことですみませんが証明書の透明性について、
よく分かってないので質問させてください。
Google ChromeのURLの隣の鍵マークをクリックして接続タブをクリックすると、
「証明書の透明性に関する情報はサーバーから提供されませんでした。」
と表示されるんですが、解決策をぐぐるとApacheの場合はmod_ssl_ct、
nginxの場合はnginx-ctを組み込む解決策が出てくるんですが、
これは通常webサーバーのほうで対応する問題なんでしょうか?
URLリンク(news.valuessl.net)
こういう有料のところのを見てみると証明書発行側で対応しているように見えるのですが。
421:名無しさん@お腹いっぱい。
16/03/21 23:16:05.58 0.net
それはDV証明書以外なら出る
つまりそのサイトを作った奴が信用できるかってことだからLet's Encryptの管轄じゃない
422:名無しさん@お腹いっぱい。
16/03/21 23:36:53.62 0.net
>>409
OV証明書やEV証明書なら出ないということですかね?
ということは、webサーバー側でモジュール組み込んだりして
対応しているのは本来の解決法ではないんですね。
423:名無しさん@お腹いっぱい。
16/03/22 01:15:25.14 0.net
>>408
SCTのdelivery方法は3種類ある
1) CAが証明書にSCTを埋め込む(X.509v3 extension)
これならweb serverに特に何か設定する必要はない。有料証明書のCT対応は基本これ
だがLEは証明書にSCTを埋め込んでない(し、そうする予定はないと明言)
2) web serverのTLS extension
つまりmod_ssl_ctやnginx-ct
なおLEはCT Log serverにsubmitはしてるから、ct-submitは必要ない
3) OCSP stapling
CAが対応しないとNGで、LEはいずれ対応するかも知れないが現状まだ
>>409
色々間違いすぎで知識が古い
424:名無しさん@お腹いっぱい。
16/03/22 01:45:06.74 0.net
>>411
分かりやすく説明ありがとうございました。
説明のおかげで解決策に納得できました。
現状では2)でしか対応できないということですね。
425:名無しさん@お腹いっぱい。
16/03/22 08:16:25.54 0.net
>>411
こういうのってどこで覚えるのか、素直に教えてほしい
426:名無しさん@お腹いっぱい。
16/03/22 11:15:07.25 0.net
TLSサーバからクライアントにSCTを渡す方法は規格上は3つある
① TLSサーバ証明書のemvedSCT拡張に含める
② TLSハンドシェイクのsigned_certificate_timestamp型TLS拡張に含める
③ TLSハンドシェイクのstatus型TLS拡張のOOSP staplingに含める
ググったところ、実際に対応実装があるのは ① のみ(それも対応ブラウザは Google ChromeだけI)で、
それ以外の方法は実装例がないそうだけど、②や③に対応している環境はあるのか?
427:名無しさん@お腹いっぱい。
16/03/22 12:07:34.49 0.net
Chromeは2対応してる。確認済み。3はシラネ
428:414
16/03/22 12:12:26.37 0.net
>>415
貴重な情報サンクス
このスレにも神(本物のエンジニア)が居たようだ。。。
429:名無しさん@お腹いっぱい。
16/03/23 16:38:16.82 0.net
Let's Encrypt の話じゃないが、無料SSLの StartSSL にドメイン認証不備の脆弱性があったようだ
URLリンク(blog.tokumaru.org)
証明書取得時のWebフォームで、認証用メールアドレスのパラメーター(下記のDOM)を書き換えることで、
任意のメールアドレスでの認証が可能だったとのこと。
<input name=
430:名無しさん@お腹いっぱい。
16/03/23 16:38:53.53 0.net
(2chの不具合で投稿が途中で切れたので続き)
<input name="ValidateEmails" type="radio" value="webmaster@example.com">
こういうWebアプリケーション製作の入門書にも載っているような低レベルな脆弱性があるとか、StartSSL は信用できん
やっぱ90日ごとの更新が面倒でも Let's Encryptの方がいいね
431:名無しさん@お腹いっぱい。
16/03/23 21:31:47.02 0.net
Let's Encrypt が面倒なのは最初だけ。
自動更新するようにシェル書いたらあと放置。
432:名無しさん@お腹いっぱい。
16/03/23 22:26:49.34 0.net
最初の手順も、そこらのに比べれば楽だと思う。
433:名無しさん@お腹いっぱい。
16/03/25 03:07:50.27 0.net
>>418
クライアントから送られてくるデータを信用してはいけないと、
教科書に書いてありますね。