17/01/27 00:44:15.02 0.net
短絡的思考過ぎてなんとも。
851:名無しさん@お腹いっぱい。
17/01/27 01:19:59.41 0.net
昔からドメインとか証明書に関してはいろいろ言われてるけどね
10年じゃないとダメだのCOMODOはありえないだの
気にするからお前次第だ
852:名無しさん@お腹いっぱい。
17/01/28 03:00:24.59 0.net
>>826
お前の考え方が糞過ぎ
853:名無しさん@お腹いっぱい。
17/01/28 05:25:00.98 0.net
>>826
全然おkじゃねーよ
もっと勉強してこい
854:名無しさん@お腹いっぱい。
17/01/28 09:34:19.36 0.net
>>826
むしろDV証明に何万も出しているサイトの方が情弱で怪しいのでないか
855:名無しさん@お腹いっぱい。
17/01/28 10:14:15.28 0.net
>>826
そういうところ�
856:ゥて「怪しいな」って思う人はそもそも相手にしてないから大丈夫
857:名無しさん@お腹いっぱい。
17/01/28 19:36:32.05 0.net
Let's Encrypt はSSL/TLSの証明書であって運営内容とは関係なよな
それで使ってるサイトがとか言うのはアホかとしか思えない
858:名無しさん@お腹いっぱい。
17/01/28 19:43:33.55 0.net
あるよ?
だって高いところは単純な証明書ではなく信用を売ってるんだもの
859:名無しさん@お腹いっぱい。
17/01/28 19:46:38.95 0.net
信頼は証明書の金で買えるものじゃないよ?
860:名無しさん@お腹いっぱい。
17/01/28 19:54:13.69 0.net
>>826はそう考えるんだろ
861:名無しさん@お腹いっぱい。
17/01/28 21:22:28.85 0.net
まあ>826の信用なんて無いんですけどね
862:名無しさん@お腹いっぱい。
17/01/29 03:49:49.09 0.net
>>834
その認識が正しくないから袋叩きにあっているんだと自覚しようか
863:名無しさん@お腹いっぱい。
17/01/29 04:20:28.00 0.net
URLリンク(echo.2ch.net)
URLリンク(echo.2ch.net)
【アットウィキ/atwiki】@wikiについて語る Part 17 [無断転載禁止]©2ch.net
3 : 名無しさん@お腹いっぱい。2017/01/25(水) 02:08:31.60
URLリンク(atwiki.jp)
いつも@WIKIをご利用いただき誠にありがとうございます。
@WIKIサポートです。
以前より、https対応につきましては、お知らせさせていただいてますが、
@WIKIはhttps化を完了し、現在、http/httpsいずれも接続が可能になっております。
この度、さらなるセキュリティ強化対策として、
2017年1月30日午前10時を持ちまして
常時SSL化 (httpsのみによる接続) を適用させていただきます。
~~~~~~~~~~中略~~~~~~~~~~
なお、本件実施に伴い、現行のhttpsに非対応である一部の古いバージョンのブラウザやサポート終了のOS、
フィーチャーフォン(いわゆるガラケー)等につきましては、ご利用いただくことができなくなります。
大変恐縮ではございますが、現行のスマートフォン・OS・ブラウザ等をご利用いただくようお願い致します。
864:名無しさん@お腹いっぱい。
17/01/29 08:50:40.12 0.net
他所でやってくれないか
865:名無しさん@お腹いっぱい。
17/01/30 15:46:24.82 0.net
>>834
信用のためならDVじゃなくEVにしとけよ
866:新潟野郎
17/02/14 08:02:32.86 0.net
URLリンク(ameblo.jp)
アメーバブログの常時SSL化に伴う仕様変更について ...
ameblo.jp › staff › entry-12247397187
14 時間前 - 常時SSL化以降、ご利用可能なプラグインについて ... のハッシュタグ入力とテーマ設定の変更について · 【おしらせ】PCの最新版エディタにて一部改善のお知らせ · 【おしらせ】絵文字を追加いたしました。
867:名無しさん@お腹いっぱい。
17/02/17 07:53:29.84 0.net
let's encrypt 使い始めました。
webroot で、証明書ゲットして、apache, postfix, dovecot にインストール。うまく動いている模様。
あとは自動更新なんだけど、cron に
certbot renew --quiet --post-hook "service apache24 reload ; service postfix reload ; service dovecot reload"
で、いいのかな?
いちおう、--dry-run と --force-renewal でテストしたらうまくいっているみたいですが、
よく分かんないのが証明書の取得回数制限。
URLリンク(letsencrypt.org)
1.1週間に20ドメインまで
2.1週間にサブドメインは100まで
3.同じドメインの更新は1週間に5回まで
4.あと、ひとつのIP からは証明書500枚まで。
5.保留中(これよく分からない)のは300枚まで
6.制限がかかった時は、1週間たつと解除される。
私は4つのドメインをSANを使ってひとつの証明書にまとめてます。
私の理解では例えば毎週日曜日に --force-renewal 使って更新しても制限にひっかから�
868:ネいと 思うんですが合ってますか?(勿論、決してお薦めでは無いだろうけど) 教えて下さい、エロい人
869:名無しさん@お腹いっぱい。
17/02/17 10:17:27.84 0.net
毎週強制更新する必要はどこにもないのだから根本から考え直せ
870:名無しさん@お腹いっぱい。
17/02/19 06:57:01.43 0.net
--force-renewal って通常更新に使っちゃいけないのかなぁ?
マニュアルには、毎日2回 renew がリコメンドされてるみたいだけど、
毎週はやりすぎにしても、毎月1回、 --force-renewal するほうが let's のサーバー負荷少ないんじゃね?
殆どの人は回数制限にひっかからないでしょうし。
871:名無しさん@お腹いっぱい。
17/02/19 08:25:51.56 0.net
certbot になる以前は自前でスクリプト書いて、証明書の有効期限一ヶ月前にならないと
更新しないようにしてたわ。それを cron で二日毎に回す感じで。
今は certbot がよろしくやってくれてるから force-renewal とかしなくても済んでるよ。
872:名無しさん@お腹いっぱい。
17/02/19 10:14:27.73 0.net
>>845
renewならローカルに保存されている証明書の有効期限が30日を切っていない限り
サーバには一切アクセスしないのです。
873:名無しさん@お腹いっぱい。
17/02/19 16:27:19.49 0.net
30日前って、更新しろメールが来るタイミングではないの?
期限まで45日を切ったら強制更新するスクリプトを4日に一度cronで回してたけど
もう少しタイミングを後ろにずらせるのかな
874:名無しさん@お腹いっぱい。
17/02/19 17:17:30.74 0.net
メールが来るのは19日だろ
875:名無しさん@お腹いっぱい。
17/02/22 12:36:01.87 0.net
renewじゃなく強制更新してる人は一体なにが目的なの?
876:名無しさん@お腹いっぱい。
17/02/22 14:08:24.10 0.net
すみません
サーバー1でSAN使って www www2 www3
と証明書を取得したとします。
後に
サーバー2で www2
とした場合は証明書は取得可能でしょうか?
サーバー1で取得したものが無効になったりするのでしょうか?
877:名無しさん@お腹いっぱい。
17/02/22 14:19:22.40 0.net
取得可能だけどなんでそんなことする必要あるの。
同じ証明書を使えばいいじゃない。
878:名無しさん@お腹いっぱい。
17/02/22 14:30:21.17 0.net
1つの証明書に複数ドメインが入ってるか、その複数の中でも先頭のドメインじゃない場合に自己署名証明書扱いされることがあるからじゃね?
879:名無しさん@お腹いっぱい。
17/02/23 12:36:26.95 0.net
おいらの renew の cron 遍歴。certbot を使い、webroot で認証してる。
certbot renew --post-hook"なんちゃら"
を --dry-run や --force-renewal でテストして動作確認。
よくわかんないまま、毎日2回 cron で実行するようにした。
毎日、2回、メールがうざい。ので、--quiet を追加。
今度は、本当に期限切れ1ヶ月前にちゃんと動作してくれるんだろうか?と不安になる。
で、毎週1回 cron にして、--quiet を削除。
(今ここ)
みんな、どうしてるの?
p.s.
ところで cron で60日に1回とか、75日に1回ってどうやるの?
やろうと思ったんだけど、あり?どうやるんだろうと考え込んでしまった。w
880:名無しさん@お腹いっぱい。
17/02/23 13:08:29.79 0.net
cronでスクリプトを毎日動かすようにしてスクリプト側でどっかのファイルに書くなりして日付数えればいいじゃん
881:名無しさん@お腹いっぱい。
17/02/23 13:12:16.22 0.net
奇数月の15日に実行とかにすらばええやろ
882:名無しさん@お腹いっぱい。
17/02/23 13:40:08.91 0.net
てか更新切れの案内メール届くか不安なんだけど
確認方法ある?
883:名無しさん@お腹いっぱい。
17/02/23 15:30:51.91 0.net
自宅で運用してるとcronで回す場合に色んな原因で失敗が有り得るのが怖いから
スクリプトで期限までの残りをチェックして閾値以下になったら強制更新
これを数日に一度実行するのが気持ち的に楽なんだよ
その時に強制更新かけて、通知メールが来る前に処理しちゃう
サブドメインの分をSANS使わずにやってると、メールがウザいでしょ
884:名無しさん@お腹いっぱい。
17/02/23 17:04:21.79 0.net
強制更新ばかりするスパマーの証明書は無効化するようにしないといけないな
885:名無しさん@お腹いっぱい。
17/02/24 05:46:14.04 0.net
楽しそうだなみんな
ドメイン持ってない漏れには関係ないけど、趣味で試行錯誤するのは楽しい
仕事となると期限が発生するからゴメンだけどね
886:名無しさん@お腹いっぱい。
17/02/24 11:19:29.03 0.net
>>860
30円くらいでドメイン取得できるぜ
887:名無しさん@お腹いっぱい。
17/02/24 11:22:25.41 0.net
その程度なら無料のでいいだろ
どうせその30円のは一年しか使えないんだから
888:名無しさん@お腹いっぱい。
17/02/24 12:41:49.86 0.net
無料ドメインで回ってるならそれでいいだろ
889:名無しさん@お腹いっぱい。
17/02/27 08:31:05.21 0.net
なんでサーバーにわざわざ負荷を掛けるのかわからないな。
どうせDonateもしてないんだろうし。
890:名無しさん@お腹いっぱい。
17/02/27 11:06:37.66 0.net
無料だから何してもいい、という考えじゃないかな?
スーパーの試食も無料だから全部食うようなヤツらだろうな
891:名無しさん@お腹いっぱい。
17/02/27 13:23:11.81 0.net
どの書き込みの事を言ってるんだ???
892:名無しさん@お腹いっぱい。
17/02/27 21:23:29.89 0.net
cronなどでcertbot実行時に--force-renewalつけてる迷惑な方々
893:名無しさん@お腹いっぱい。
17/02/27 23:24:42.98 0.net
なんだ日本語読めないんだな(笑)
894:名無しさん@お腹いっぱい。
17/03/03 15:38:21.43 0.net
cron で certbot renew を毎日動かしてるんだけど、
/var/log/letsencrypt/ 以下のログって黙っていると無限増殖するんですよね?
895:名無しさん@お腹いっぱい。
17/03/03 19:48:18.17 0.net
つまりお前さんが喋り続けるとログが増えないとか
すごい才能だな
896:名無しさん@お腹いっぱい。
17/03/03 22:53:35.30 0.net
linuxでもBSDでもログをローテーションする機能あるだろう
897:名無しさん@お腹いっぱい。
17/03/04 03:01:52.11 0.net
>>871
certbot使ってない?
certbotがでローテーションはやるが古い世代の削除をやらないだけ。
898:名無しさん@お腹いっぱい。
17/03/04 06:34:24.52 0.net
>>872
そうなんですよね。みなさん、ログのお掃除してます?
899:名無しさん@お腹いっぱい。
17/03/07 16:24:50.60 0.net
1日1回ぐらいしか書き出されないログを掃除する必要なんて全くないんだが……
昭和生まれでフロッピーディスクとか使ったことある世代の人間なのか?
参考までに、俺の VPS のApache が吐いているログファイル "www.example.com-ssl_access_log" は、1日200万PVで、1日あたり 2.7GB にもなる (UserAgent名も書き出しているから容量多いっぽい)
だけど、パフォーマンス上の問題は全くおきていないぞ
/var/log/letsencrypt/ のログを見たところ、1日あたり 50KB 程度だった
毎日cronで回して、1年で 18.25MB、10年そのサーバを運用しても 182.5MB にしかならない
つまり、certbot のログは、一生貯め込んでも全く問題がないと言える
10年ため込んでも200MBにもならないログの容量の心配をするのは、老害もいいとこである
900:名無しさん@お腹いっぱい。
17/03/07 17:26:39.34 0.net
必要ないログ貯めてどうするw
せいぜ次の更新までぐらいでOKだろう
901:名無しさん@お腹いっぱい。
17/03/07 17:36:19.55 0.net
>>875
なんか「必要のないメール貯めてどうする。要らないメールは見たら消せば良い」と言ってる老害みたいだな
俺のGmailアカウントは1度もメール消したことないし、今チェックしたら34万通貯まってたが、これから一生メールを削除することはないだろう
過去のメールやログは、何かに役立つときが来るかもしれないから念のため取っておくというのが今主流の考え方だと思う
902:名無しさん@お腹いっぱい。
17/03/07 18:18:03.66 0.net
ローテートで保持数指定出来るんだから、必要な分以外は無いのが普通だろ
容量の問題じゃないからメールとの比較も的外れだ
サーバ管理者には向かない性格してそうだな
903:名無しさん@お腹いっぱい。
17/03/07 18:21:21.60 0.net
実際のとこ気にする必要があるかって言われたら無いよね
904:名無しさん@お腹いっぱい。
17/03/07 18:42:05.04 0.net
>>877
ログを安易に消しちゃう方がサーバ管理者に向いてないよ
例えば、正常に動いているように見えて実は不具合が発生していたことに気が付いた場合(ログにもエラーが記録されていない)ようなとき、
過去にも同様の問題が発生していたのかどうかの情報が役に経つこともある
ログ全検索で、5年ぐらい前にも同じエラーが発生していたことが分かり、そっちのログがヒントになって問題が解決したこともある
905:879
17/03/07 18:46:24.66 0.net
「ログにもエラーが記録されていない」というのはエラーログだけ随時チェックしていても気が付かないけど
生ログには問題を解決するのに役立つ情報が含まれている場合ね
今回初めて発生した問題なのか、過去に気が付かなかっただけで同じ問題が発生したことがあったのかが重要になることもあるから、
やはりログは原則削除すべきではない
例外は、WebサービスのPOSTデータの生ログなど、容量が膨大になり保管が困難な場合
勿論、役に立たないデータというわけではなく、例えば数年ぶりにログインしたユーザーからデータが損傷しているというクレームがあったとき、
数年前のPOST生ログがあれば復旧可能なこともあって役には立つわけだけど、容量が膨大になるときは保管コストが高いので消さざるを得ない
906:名無しさん@お腹いっぱい。
17/03/07 20:13:22.17 0.net
certbotが吐くログに1年前がどうとかってアホかと
POSTデータの生ログで復旧するようなシステムってデータベースで設計しろよとw
保管コスト以前に膨大な量のログから異常見つけるコスト考えろって
907:名無しさん@お腹いっぱい。
17/03/07 20:16:41.88 0.net
Let's Encryptで数年前のログが必要になると?
アホか
過去のログなんてのはいつから問題が発生していたか程度分かれば問題ない
証明書の期間が3ヶ月なんだからそれ以上は残しても無駄
908:名無しさん@お腹いっぱい。
17/03/07 20:22:29.35 0.net
こんなことで怒るなよ。
仲良くしようぜ。
909:名無しさん@お腹いっぱい。
17/03/07 20:32:04.05 0.net
>>882
> 証明書の期間が3ヶ月なんだからそれ以上は残しても無駄
いや、証明書の期間過ぎてもログは使い道あるだろ
例えば、Certbotって仕様が色々複雑でSANのエリア拡張がどれにかかるのかとか
サブドメイン列挙したときにどれがメインのドメイン名でどれがSAN扱いなのかとか
色々よくわからない点あるじゃん
過去のログとっとくと、昔ああいうコマンド打った時こういう証明書が発行されたな、とか色々わかって便利
「無駄」がどうのと言い出すのなら、1日数十キロバイト程度のログをどうするのかをいちいち考える時間が一番無駄
気にせず放置してログはそのまま保存しとけばいいだけ
ログが万が一漏えいしたときのリスクとか的外れなことは言い出すなよw
root権限でしかアクセスできないログが漏えいする時には、もっと重要な秘密鍵もとっくに漏えいしてるわw
910:名無しさん@お腹いっぱい。
17/03/07 20:43:13.54 0.net
どうでもいいけどrootでしか弄れないログをどうこうするスクリプト書くのはコマンドミスったとき致命傷になるぞ
大した必要もないのに下らんこと気にする方がリスクが高いな
911:名無しさん@お腹いっぱい。
17/03/07 20:52:26.65 0.net
>過去のログとっとくと、昔ああいうコマンド打った時こういう証明書が発行されたな、とか色々わかって便利
メモれよ
馬鹿か
912:名無しさん@お腹いっぱい。
17/03/07 21:54:42.44 0.net
過去のログなんて見る事自体ないつーの
そんなに暇なんか
913:名無しさん@お腹いっぱい。
17/03/07 22:01:19.81 0.net
証明書の更新に失敗してたとして、当日分はわかるが過去ログまで見るか?
どうせ同じエラーしか出力されていないだろうし、エラー内容ググればすぐに解決するだろ
914:名無しさん@お腹いっぱい。
17/03/08 19:31:52.67 0.net
鯖缶に向かない人だね
915:名無しさん@お腹いっぱい。
17/03/08 19:58:20.90 0.net
わけあってIPアドレス表記の証明書が欲しい…
レアすぎる要求なんだろうな。
916:名無しさん@お腹いっぱい。
17/03/08 23:57:20.06 0.net
有料のところでコモンネームがグローバルIPのSSL証明書とればいいんじゃね。
917:名無しさん@お腹いっぱい。
17/03/12 21:15:47.98 0.net
パイソン2.4でも動くようにしてくれ。
918:名無しさん@お腹いっぱい。
17/03/12 22:20:32.88 0.net
ほんとそれ
919:名無しさん@お腹いっぱい。
17/03/12 23:48:18.84 0.net
必要なら自分でフォークして作ればいいじゃないよ
そうじゃなくたって公式以外の実装はいくらでもあるのに
920:名無しさん@お腹いっぱい。
17/03/13 00:23:37.15 0.net
python2.4とか骨董品OS使用で踏み台メーカーにしか見えない
921:名無しさん@お腹いっぱい。
17/03/13 05:05:51.71 0.net
しょうがねーなー
/usr/local/にpython2.6一時期入れてみるよ。
年季の入ったCentOS5管理者を舐めるなよ!
922:名無しさん@お腹いっぱい。
17/03/13 09:04:05.39 0.net
>>896
今月でサポート終了だよね>CentOS5
923:名無しさん@お腹いっぱい。
17/03/13 12:28:25.50 0.net
べつ
924:名無しさん@お腹いっぱい。
17/03/13 12:29:16.82 0.net
別に自分で管理できるからいいよ。
さい
925:名無しさん@お腹いっぱい。
17/03/13 12:30:08.35 0.net
最急的にrpmほとんどなくなっちゃうかも。
926:名無しさん@お腹いっぱい。
17/03/13 14:55:39.14 0.net
落ち着けよw
927:名無しさん@お腹いっぱい。
17/03/13 19:40:35.57 0.net
>>899
踏み台にされたときの言い訳も用意した方が良いよ
俺のせいじゃないって
928:名無しさん@お腹いっぱい。
17/03/13 20:44:05.33 0.net
kernelは2.6でかなり完成されてて、
内部に自分以外のログインユーザーがいたりしなきゃ問題ない。
kernelより上のサーバー周りはほとんどソースからビルドしてるし。
CentOSといいつつ、その機能はほとんど使ってない…
929:名無しさん@お腹いっぱい。
17/03/13 23:33:48.30 0.net
スタンドアローンならそれでいいんじゃない
930:名無しさん@お腹いっぱい。
17/03/14 00:42:27.07 0.net
Slackware
931:名無しさん@お腹いっぱい。
17/03/18 08:33:12.30 0.net
FTPサーバーに入れたんだけど
ffftp ではオレオレ証明と同じ扱いになる。
3ヶ月で証明書は変わるし使えないって事?
932:名無しさん@お腹いっぱい。
17/03/18 11:00:52.11 0.net
そもそもなぜSFTPではなくFTPSに行こうとするのかが目が見えてるのかなと思わされるくらい
933:名無しさん@お腹いっぱい。
17/03/18 16:44:51.22 0.net
>>907
じゃ sftp でも良いからあらかじめ証明書をダウンロードなどしないで本当に相手なのか確認できる方法があるの。
934:名無しさん@お腹いっぱい。
17/03/18 17:46:29.23 0.net
IPで繋いで信用できないなら話にならないだろJK
935:名無しさん@お腹いっぱい。
17/03/18 22:47:49.01 0.net
最近の素人はこのレベルなのか…
936:名無しさん@お腹いっぱい。
17/03/19 02:23:05.70 0.net
・SFTP じゃなくて FTPS (File Transfer Protocol over SSL/TLS) を使ってる?
・FTPSクライアントのホスト名にはIPアドレスじゃなくて、ドメイン名で入れてる?
Let's Encrypt は IPアドレス に対する証明書じゃないのでIP入力ならオレオレ扱いになるのは当然
・FFFTPがFTPS対応かはつかってないので知らんけど、仮に対応だとしても小規模のフリーソフトレベルのソフトが
Mozillaのように独自の証明書ストアを持っているとは思えない
Chromeとかと同じようにOSの証明書ストア(IEとかEdgeと共通)を使ってると考えるのが自然
ってことでLet's の証明書でエラーでるならベリサインとかシマンテックとかジオトラストの証明書でも
同じエラーが出ると思う
937:名無しさん@お腹いっぱい。
17/03/19 15:06:24.99 0.net
>>909
それを言ったらhttpsでもIPでアドレスでつなげばオレオレで良いって話じゃないか。
938:名無しさん@お腹いっぱい。
17/03/19 17:14:55.26 0.net
安全性の話ならipアドレスが信用できないなら証明書があろうとあまり意味ないし
ブラウザの警告の話なら確かに出るけど
そもそもどうしたいの?
ただ警告消したいの?
939:名無しさん@お腹いっぱい。
17/03/20 10:05:21.29 0.net
そもそもSSLってのはパケットやURIの暗号化もあるけど、DNSやドメインが乗っ取られたとしても検知して証明書に記載された正しいIPホストへの接続を保障するものであってIPアドレスそのものに付けても意味ないだろ
940:名無しさん@お腹いっぱい。
17/03/20 11:29:49.36 0.net
DNS乗っ取り前提だとLet's Encryptの証明性はゴミ以下だぞ
941:名無しさん@お腹いっぱい。
17/03/20 15:28:47.96 0.net
>>915
その通りだな
証明書を新規取得時に、下記の3つを全て確認してくるEV証明書こそまともな証明書だよ
・登記全部事項証明書(登記簿謄本)の原本の確認
・帝国データバンクの情報の確認
・タウンページ記載の電話番号への架電
Let's Encrypt をはじめとした各種DV証明書はほんとゴミ
認証作業が�
942:@械化されている DV証明書で金をとる糞業者は滅びるべき DVは「平文」で通信されるDNSとか、「平文」のHTTPに認証用ファイルを乗せるとかを担保にしているので、 信頼性が全くない
943:名無しさん@お腹いっぱい。
17/03/22 12:29:35.77 0.net
>>916
ゴミというかそれらを省いてるからでしょ。
どれを使うかはホストした人が選べばいいだけ。
944:名無しさん@お腹いっぱい。
17/03/29 18:05:05.09 0.net
Symantec発行のSSL/TLS証明書、Google Chromeで段階的な期限短縮案
URLリンク(internet.watch.impress.co.jp)
URLリンク(security.srad.jp)
「Chrome 64で279日以内の証明書しか受け入れないようにするとの提案を行った」模様
GeoTrust、Thawte、Verisign、Equifax も Symantec
使っている人が多い RapidSSL も GeoTrust なので、Symantec発行の証明書扱い
Google Chrome だと、大手認証局の証明書の有効期間も約9か月までに制限されそうなので、
自動更新が容易な Let's Encrypt の方が有利になるな
有償の証明書よりも利便性が高まるという皮肉な事態
945:名無しさん@お腹いっぱい。
17/03/29 18:37:35.72 0.net
Let'sEncryptはある意味Googleの身内みたいなもんだし
946:ich1
17/04/01 14:49:25.73 0.net
URLリンク(goo.gl)
これは嫌だなー。。本当なの?
947:名無しさん@お腹いっぱい。
17/04/09 08:16:35.02 0.net
自宅鯖にこれ入れて泥タブで見ると「証明書が見つかりません」とか出てだめなんだけど、
なんでかわかりますか?
Windowsのクロムでみるとちゃんとアドレスが緑になってくれるのに。
もし入れるとしたら、何をどう入れれば
948:名無しさん@お腹いっぱい。
17/04/09 10:03:19.23 0.net
国産の化石タブは窓から投げ捨てるに限る
949:名無しさん@お腹いっぱい。
17/04/09 10:09:02.65 0.net
「キャンセル」押してしばらく放っておいたら見れるようになった。
なんかわからんけど解決。
950:名無しさん@お腹いっぱい。
17/04/09 23:25:55.06 0.net
ページキャッシュしてただけじゃね?
951:名無しさん@お腹いっぱい。
17/04/10 23:58:40.25 0.net
ダメなのはその端末で最初に表示するときだから、キャッシュはないはずなんだよね
危険の警告じゃなくて、証明書インストールしますか?というダイアログが出る
端末は去年買った3台とも。
952:名無しさん@お腹いっぱい。
17/04/11 02:14:38.68 0.net
真面目に解決する気があるならそれなりの書き込みをしろよ
ここはお前の日記帳じゃない
953:名無しさん@お腹いっぱい。
17/04/11 07:10:58.99 0.net
情報がないなら別に書き込まなくていい
954:名無しさん@お腹いっぱい。
17/04/11 09:06:39.67 0.net
単にサーバー証明書と秘密鍵だけ指定して、中間証明書(chain)指定し忘れてるとかいうオチかと。
955:名無しさん@お腹いっぱい。
17/04/11 09:59:45.00 0.net
だな
956:名無しさん@お腹いっぱい。
17/04/11 12:12:55.70 0.net
921はIISなのですが、証明書の発行とインストール(letsencrypt-win-simple.V1.9.3で自動)
をやり直して、現在はエラーが出ていません。
中間証明書は自動でインストールされる xxx.xxxxx.com-all.pfx に含まれているのでしょうか。
.pemのほうはいくつか生成されていて、-chainというやつがそれっぽいですが、.pfxは一個しか
ないけれど、上のファイルとほぼ同じ大きさのファイル。
957:名無しさん@お腹いっぱい。
17/05/15 07:35:27.64 0.net
毎日 cron で動いている certbot が下記のエラー。
An unexpected error occurred:
AttributeError: 'tuple' object has no attribute 'add'
Please see the logfile 'certbot.log' for more details.
指示に従って、certbot.log なんかを見たりして、ググったところ
py-configargparse
が、11 だと certbot は動くけど、12 になるとエラーとなることが分かった。
調べると、確かに昨日 12 にアップデートしてたので、とりあえず、11に戻したら
動くようになった。
まぁ、certbot 側か configargparse 側のどちらか(あるいは両方)が近いうちに対処すると思うけど
とりあえず、これで1時間ほど使ったので、メモ代わりに残しておこうw
958:名無しさん@お腹いっぱい。
17/06/28 09:07:51.36 0.net
ここ生きてますか?
959:名無しさん@お腹いっぱい。
17/06/28 10:13:21.69 0.net
は
960:名無しさん@お腹いっぱい。
17/06/28 12:59:14.59 0.net
何も無いって事は、問題ないって事の証でしたかw
961:名無しさん@お腹いっぱい。
17/07/11 07:09:39.57 0.net
ワイルドカードの証明書が発行できるようになるっぽい
962:名無しさん@お腹いっぱい。
17/07/11 09:49:11.03 0.net
来年か
URLリンク(letsencrypt.org)
963:名無しさん@お腹いっぱい。
17/07/12 11:41:49.71 0.net
まじか
これでサブドメイン毎に証明書を分けなくても、
証明書から他のサブドメインがバレるって事はなくなるな
964:名無しさん@お腹いっぱい。
17/07/14 23:05:26.53 0.net
でもどうやって申請者の正当性を確かめるんだろう
今みたいな「そのドメインを管理している証明」の方式が使えるのだろうか。
あるドメインでアクセスできる場所に申請者がミシルシを置けるなら、そのサブドメインは
どれでもOKみたいな?
965:名無しさん@お腹いっぱい。
17/07/14 23:14:24.38 0.net
hoge.tdlが承認できれば*.hoge.tdlもおkじゃ無いのか?
966:名無しさん@お腹いっぱい。
17/07/15 12:41:20.33 0.net
*.example.comが登録できるだけで
*.sub.example.comが登録できるわけではないだろ
967:名無しさん@お腹いっぱい。
17/07/15 12:42:48.07 0.net
ワイルドカードってそういうもの?
968:名無しさん@お腹いっぱい。
17/07/15 12:57:00.20 0.net
>>941
少なくともSSLのワイルドカードの扱いはそういうものです。
969:名無しさん@お腹いっぱい。
17/07/15 13:06:12.88 0.net
有料でやってる所はDVがなくなってOV、EVになるだろうな
970:名無しさん@お腹いっぱい。
17/07/15 13:24:03.38 0.net
>>942
なるほど、じゃあワイルドカードキターって人はそこまで多くなさそう
971:名無しさん@お腹いっぱい。
17/07/15 13:53:37.25 0.net
このRFCだった。
URLリンク(tools.ietf.org)
6.4.3. Checking of Wildcard Certificates
972:名無しさん@お腹いっぱい。
17/07/15 15:39:24.77 0.net
>>944
え??本当に理解してるか?
サブドメインごとに登録が必要なのがドメインにつき一つでいいんだぞ?
973:名無しさん@お腹いっぱい。
17/07/15 16:05:38.03 0.net
>>946
自分でドメインとってる人は嬉しいだろうけどね
別にddnsのサブドメインでいいやって人には恩恵なさそうな流れだったからね
974:名無しさん@お腹いっぱい。
17/07/15 16:06:52.48 0.net
馬鹿にわざわざ説明してまで使っていただく必要はございませぬ
975:名無しさん@お腹いっぱい。
17/07/15 16:22:55.44 0.net
>>947
> 別にddnsのサブドメインでいいや
ああそんな人がいることを考えてなかった
976:名無しさん@お腹いっぱい。
17/07/15 21:39:46.50 0.net
少数派なのは間違いないだろうな
977:名無しさん@お腹いっぱい。
17/08/04 15:23:49.33 0.net
そうだな
978:名無しさん@お腹いっぱい。
17/08/06 00:53:10.28 0.net
メジャースポンサーの中に日本の企業も入ったな
979:名無しさん@お腹いっぱい。
17/08/22 14:42:15.78 0.net
証明書の有効期限が物凄く短くて
Rootで動くクライアントソフトを定期的に回さないといけない仕様ぽいんだけど
ほんとに、こいつ信用しちゃって大丈夫なん?
やや怖い
980:名無しさん@お腹いっぱい。
17/08/22 14:49:12.05 0.net
インターネットの権利を守る非営利では一番歴史と実績の多い電子フロンティア財団を信用するか否かってところやな
981:名無しさん@お腹いっぱい。
17/08/22 15:04:40.61 0.net
CSRを送信したら1年か2年分のCRTが戻ってくる
っていうシンプルな仕組みにしなかった理由が知りたいところ
982:名無しさん@お腹いっぱい。
17/08/22 15:34:03.42 0.net
セキュリティリスクは放置されているか否かが割と重要
983:名無しさん@お腹いっぱい。
17/08/22 19:48:35.56 0.net
>>955
クズがサイト作って放置するからだよ
984:名無しさん@お腹いっぱい。
17/08/23 12:00:18.07 0.net
でもcertbot入れたらcron回してるだけで放置しても更新されるんだよな
985:名無しさん@お腹いっぱい。
17/08/23 12:59:40.54 0.net
固定IPアドレス割り当てのプロバイダのドメイン名の証明書も取得してたのだがエラーで更新できなくなった。
1ドメインあたりの数の制限ではなく、Googleのunsafeドメインに引っかかってるのかな。
The client lacks sufficient authorization :: Error creating new authz :: "xxx.example.jp" was considered an unsafe domain by a third-party API. Skipping.
986:名無しさん@お腹いっぱい。
17/08/24 22:20:16.11 0.net
>>959
悪意あるサイトだと判明したらcert revoke できるから
987:名無しさん@お腹いっぱい。
17/09/23 04:42:10.89 0.net
そろそろ、次スレ、誰か作って。
988:名無しさん@お腹いっぱい。
17/09/23 07:45:19.80 0.net
>>961
過疎ってるからまだ大丈夫
来週初めての更新だ
期限前に更新バッチ叩いてもなにも起こらないのツラい。
989:名無しさん@お腹いっぱい。
17/09/23 13:39:01.81 0.net
何も起こらない……?
更新スクリプトテストしていたときは普通に変わったよ。
長いこと放置している(自動更新させている)間に仕様変わったのか、
そもそも使っているスクリプトが違うのか。
990:名無しさん@お腹いっぱい。
17/09/23 22:53:02.57 0.net
仕様変わったよ
期限近くないと何もしない
991:名無しさん@お腹いっぱい。
17/09/25 09:49:17.39 0.net
近くってどれくらいなん?
992:名無しさん@お腹いっぱい。
17/09/27 06:33:48.44 0.net
>> 965
9月に更新の奴、
Your certificate (or certificates) for the names listed below will expire in 19 days
って注意喚起メールが来てたから、20日位なんじゃないかな?
993:名無しさん@お腹いっぱい。
17/09/27 12:17:01.39 0.net
Windowsのバッチ、renewalで動かなくない?
IISのサーバー証明書が更新されず…
結局、手動で更新したけど、この先不安だなぁ
994:名無しさん@お腹いっぱい。
17/09/29 07:51:51.20 0.net
動かないね。 まあメールが来たらこれ打てばいいだけだから、困ってはいないけど。
letsencrypt.exe --accepttos --manualhost host.example.com --webroot C:\wwwroot
995:名無しさん@お腹いっぱい。
17/09/29 21:12:11.54 0.net
>>968
それだとIIS側の証明書参照先が更新されないので、手動で切り替えが必要だった
Chromeの仕様変更を期にRapidから乗り換えようと思ったのに…
996:名無しさん@お腹いっぱい。
17/09/29 23:37:37.18 0.net
WSLでできんの?
997:名無しさん@お腹いっぱい。
17/10/01 20:04:25.02 0.net
SSL化したら画像の読み込みが遅くなりました
サーバーはHTTP/2に対応していて、遅くなるのはネット回線が混雑する時間帯だけSSLだとしょうがないものでしょうか?
998:名無しさん@お腹いっぱい。
17/10/01 21:46:43.22 0.net
遅くなったと言うのは具体的にはどの程度
明確な数値でお願いします
999:名無しさん@お腹いっぱい。
17/10/01 22:56:49.48 0.net
>>972
レスありがとうございます
画像20枚程度1.3MBのページでテスト
httpだと1.5秒、httpsだと3~4秒くらいの読み込み
夜の回線が混雑する時間帯以外は両方とも1.5秒程度です
chromeのツールだと画像のcontent downloadというところが速度低下の原因のようです
1000:名無しさん@お腹いっぱい。
17/10/01 23:03:39.58 0.net
>>972
すいません訂正です
混雑する時間帯は
httpだと2秒、httpsだと3~4秒くらいの読み込みでした
httpでも多少遅くなりますが、httpsの方が回線の影響を受けやすいようです
申し訳ないです
1001:名無しさん@お腹いっぱい。
17/10/01 23:37:08.93 0.net
それは回線というより鯖に詰め込みすぎでCPU負荷かかってるんじゃないの?
SSLは一応CPU食うからね
1002:名無しさん@お腹いっぱい。
17/10/02 00:13:58.48 0.net
>>975
ありがとうございます
サーバーはそれなりのスペックなんで大丈夫だと思います(たぶん)
色々調べたところHTTP/2が原因のようでした
非対応のブラウザだとSSLでも速度低下はみられませんでした
1003:名無しさん@お腹いっぱい。
17/10/02 12:23:01.82 0.net
作りが酷いウェブアプリ(結果の返答
1004:に長時間かかる処理を非同期ではなく同期でロードさせるとか) だとそれに引っ張られて読み込みがロックされてしばらく画面真っ白になることはある。 ワイルドカード証明書使ってると他のサブドメインにも波及するので怖い。 Let's Encrypt では無縁だけど。
1005:名無しさん@お腹いっぱい。
17/10/02 12:56:05.02 0.net
>>977
来年 1 月から Let's Encrypt もワイルドカードの証明書発行するっしょ
1006:名無しさん@お腹いっぱい。
17/10/16 07:10:26.63 0.net
ssl通信初心者です
・サーバ側はIISを利用、クライアント側はcURLを利用
・サーバ側で自己署名証明書を作成してFTPにバインドした
・FTPS通信をクライアントPCからやってみたら警告さえ無視したら(証明書の不正に関する)暗号化もできた通信ができている
この警告を無くすために次の手段としてはこのレッツエンクリプトを導入になるのかな?
公的な機関でなくて良いので(閉じたネットワーク上なため)、この警告をなくす方法を知りたいです
そもそもIISに何かしら(pem?cer?pfx)発行させてクライアントpcにファイルを持っていく必要はない??
勉強してた限りだとサーバが発行する証明書が真であると判断するために、
何かしらクライアントpcに取り込まなくてはいけないのかな?と思っていたので
何もクライアントに取り込まずに出来ていて戸惑ってます
1007:名無しさん@お腹いっぱい。
17/10/16 14:23:36.68 0.net
>>979
CA証明書がクライアントPCの信頼されたルート証明機関にあれば、そのCAが発行した証明書で警告が出ない
これが基本
自己署名なら自分のCA証明書をクライアントに入れればいい
Let's Encryptはdomain validationだから閉じたネットワークに使うものではない
したがってスレチ
1008:名無しさん@お腹いっぱい。
17/10/16 16:27:12.39 0.net
>>979
IISの鯖に証明機関サービス入れてIISのサーバで署名して
そこのCA証明書を信頼させればいいし
台数多くてActiveDirectry入れてるならポリシーに信頼する項目入れりゃいい
Let's Encrypt利用するなら一時的にでも外向きにドメインとサーバ設定して
証明書貰うのが楽だけど90日ごとにそれやらんとならんよ
1009:名無しさん@お腹いっぱい。
17/10/16 16:35:11.10 0.net
IPv4でLet's Encryptの証明書をとって、東西NTTのNGNのIPv6網上で使うことは可能だった。
IPv6でインターネット繋がってなくても、東同士、西同士だったら通信できる。
1010:名無しさん@お腹いっぱい。
17/10/16 16:53:15.92 0.net
プライベートIPを指すホスト名用に Let's Encrypt って取得時毎に IP をグローバルにするか
ローカル用にDNS立てないと無理かね。 ワイルドカードの発行が始まれば解決ではあるんだけど
>981 Let's Encrypt って CA証明書用の発行してくれるっけ? オレオレをローカルにばら撒けという話かな?
1011:名無しさん@お腹いっぱい。
17/10/16 18:19:07.73 0.net
>>983
1. 一時的に外から鯖がドメインでつながるようにして鯖証明書を取得し、取得完了後は切り離す(LE)
2. 俺俺CAを蔵の信頼リストに入れる
どっちか選べって話だろ
1012:名無しさん@お腹いっぱい。
17/10/17 00:40:33.56 0.net
んなことしなくてもそのドメインインターネットに繋がってる別の鯖に向けといて証明書取ってそれをコピーしてくるだけでいいじゃん
1013:名無しさん@お腹いっぱい。
17/10/17 01:12:53.16 0.net
そんなトリッキーな使い方するなら素直に金払った方がいいと思うよ
1014:名無しさん@お腹いっぱい。
17/10/17 06:23:00.96 0.net
オレオレをインストールしまくるより、鯖の証明書移動するほうが楽な気がする。
クライアントを触らないでいいからね
1015:名無しさん@お腹いっぱい。
17/10/17 17:47:41.99 0.net
鯖の証明書ってオレオレのこといってんだとおもってたけど違うのか?
1016:名無しさん@お腹いっぱい。
17/10/17 17:48:27.27 0.net
外に繋がってないローカルpcにSSL通信させたいけどこれって無理?第三機関に繋がらないよね?
1017:名無しさん@お腹いっぱい。
17/10/17 20:16:52.81 0.net
>>989
密室の中の人がどうやって外の人と手をつなぐかだな
コナン君に聞いてくれ
1018:名無しさん@お腹いっぱい。
17/10/17 21:59:34.68 0.net
閉じたローカルネット上のPCとサーバとの間の経路に通信内容を盗聴しようとする何かがいたりするのか?
1019:名無しさん@お腹いっぱい。
17/10/17 22:19:06.41 0.net
LAN内だから生で流していいとかあり得んから
1020:名無しさん@お腹いっぱい。
17/10/17 22:48:49.04 0.net
>>989
外の定義が微妙だけど、俺俺じゃだめなのか?
1021:名無しさん@お腹いっぱい。
17/10/17 23:56:42.95 0.net
>>992
これ
1022:名無しさん@お腹いっぱい。
17/10/18 00:43:32.33 0.net
>>1
長すぎる気がするんだが次スレ立てるとき適当に削っていいよな?
1023:名無しさん@お腹いっぱい。
17/10/18 01:15:30.52 0.net
いいんじゃね
1024:名無しさん@お腹いっぱい。
17/10/18 10:46:25.62 0.net
無料SSL/TLS証明書 Let's Encrypt Part2
スレリンク(hosting板)
1025:名無しさん@お腹いっぱい。
17/10/19 04:01:29.96 0.net
>>997
スレ立て乙
1026:名無しさん@お腹いっぱい。
17/10/19 07:31:43.64 0.net
埋め
1027:名無しさん@お腹いっぱい。
17/10/19 10:53:54.02 0.net
質問いいですか?
1028:1001
Over 1000 Thread.net
このスレッドは1000を超えました。
新しいスレッドを立ててください。
life time: 688日 16時間 52分 39秒
1029:過去ログ ★
[過去ログ]
■ このスレッドは過去ログ倉庫に格納されています