19/09/26 03:40:34.58 0.net
無料の SSL/TLS 証明書Let's Encryptのスレです
【Let's Encrypt 公式サイト】(英語)
URLリンク(letsencrypt.org)
【Let's Encrypt 公式Twitter】(英語による最新情報)
URLリンク(twitter.com)
【Let's Encrypt 総合ポータル】(日本語)
URLリンク(free-ssl.jp)
【Let's Encrypt 導入方法】(日本語)
URLリンク(free-ssl.jp)
前スレ
無料SSL/TLS証明書 Let's Encrypt Part2
スレリンク(hosting板)
(deleted an unsolicited ad)
2:名無しさん@お腹いっぱい。
19/09/26 09:33:29.12 0.net
クソが!
3:名無しさん@お腹いっぱい。
19/09/26 09:33:35.38 0.net
クソが!
4:名無しさん@お腹いっぱい。
19/09/26 09:33:40.84 0.net
クソが!
5:名無しさん@お腹いっぱい。
19/09/26 09:56:55.78 0.net
クソが!
6:名無しさん@お腹いっぱい。
19/09/26 09:57:02.05 0.net
クソが!
7:名無しさん@お腹いっぱい。
19/09/26 09:57:07.39 0.net
クソが!
8:名無しさん@お腹いっぱい。
19/09/26 10:01:43.27 0.net
クソが!
9:名無しさん@お腹いっぱい。
19/09/26 10:01:48.36 0.net
クソが!
10:名無しさん@お腹いっぱい。
19/09/26 10:01:54.31 0.net
クソが!
11:名無しさん@お腹いっぱい。
19/09/26 14:25:56.58 0.net
DV証明書売れなくてよっぽど困ってるんですねぇ
12:名無しさん@お腹いっぱい。
19/09/27 00:55:24.59 0.net
保守乙
13:名無しさん@お腹いっぱい。
19/09/27 02:44:38.65 0.net
クソが!
14:名無しさん@お腹いっぱい。
19/09/27 02:44:45.99 0.net
クソが!
15:名無しさん@お腹いっぱい。
19/09/27 02:44:52.50 0.net
クソが!
16:名無しさん@お腹いっぱい。
19/09/28 02:12:24.36 0.net
保守ありがとうございます!
17:名無しさん@お腹いっぱい。
19/09/28 16:59:17.67 0.net
クソが!
18:名無しさん@お腹いっぱい。
19/09/28 16:59:22.49 0.net
クソが!
19:名無しさん@お腹いっぱい。
19/09/28 16:59:27.10 0.net
クソが!
20:名無しさん@お腹いっぱい。
19/09/29 07:06:34.83 0.net
保守していただきありがとうございます
21:名無しさん@お腹いっぱい。
19/09/29 15:18:38.75 0.net
クソが!
22:名無しさん@お腹いっぱい。
19/09/29 15:18:44.07 0.net
クソが!
23:名無しさん@お腹いっぱい。
19/09/29 15:18:49.26 0.net
クソが!
24:名無しさん@お腹いっぱい。
19/09/29 23:05:35.23 0.net
ご苦労さん
25:名無しさん@お腹いっぱい。
19/10/01 11:05:58.19 0.net
クソが!
26:名無しさん@お腹いっぱい。
19/10/01 11:06:05.73 0.net
クソが!
27:名無しさん@お腹いっぱい。
19/10/01 11:06:12.22 0.net
クソが!
28:名無しさん@お腹いっぱい。
19/10/09 03:04:18.86 0.net
草
29:名無しさん@お腹いっぱい。
19/10/30 18:54:59.71 0.net
WindowsのIISに入れた証明書のGUIで確実な更新アプリ、誰か作ってくれんかのう
30:名無しさん@お腹いっぱい。
19/10/31 21:09:45.15 0.net
あほなサポートメールばかり飛んできそうなので、できてもやりたくない
31:名無しさん@お腹いっぱい。
19/11/01 06:05:48.71 0.net
おれ作るから、何をすればいいか書き出してくれませんかね?
32:名無しさん@お腹いっぱい。
19/11/01 09:42:54.81 0.net
>>29
開発費1000万で納品後サポート対応1件に付き5万円で検討するわ
33:名無しさん@お腹いっぱい。
19/11/03 18:57:26.90 0.net
GUIって…
自動更新できないじゃん。ログオンしっぱなし?
34:名無しさん@お腹いっぱい。
19/11/04 04:40:30 0.net
>>33
バックグランドでサービス走らせとけばいいだけじゃん
作らないけどね
35:名無しさん@お腹いっぱい。
19/11/04 10:37:52.58 0.net
作れないけどね
このように正直に
36:名無しさん@お腹いっぱい。
19/11/04 15:44:33.71 0.net
中抜きならできるだろ>>32みたいに
37:名無しさん@お腹いっぱい。
19/11/24 17:34:22.47 0.net
更新できた
38:名無しさん@お腹いっぱい。
19/11/25 06:55:27.94 0.net
>>35
サービス作りが難しいと思ってるのテラワロス
C/C++が使えたら簡単なのに
39:名無しさん@お腹いっぱい。
19/11/27 09:51:15.76 0.net
×難しい
○知識つけてものになるレベルまで持っていくのが時間がかかり面倒くさい=働いてるとそんな余分の時間はない
40:名無しさん@お腹いっぱい。
19/12/01 07:54:19 0.net
GUIならここのがよさげ
URLリンク(certifytheweb.com)
41:名無しさん@お腹いっぱい。
20/01/07 21:14:29.52 0.net
あげてみる
42:名無しさん@お腹いっぱい。
20/01/08 07:02:25.07 0.net
さげてみる
43:名無しさん@お腹いっぱい。
20/01/08 22:58:03.48 0.net
あがってねーよ
44:名無しさん@お腹いっぱい。
20/01/21 03:01:05 0.net
通信が暗号化される点ではいいものの、なんの本人確認もないとなるとなんのための証明書なのかわからなくなってくる
せめて証明書の二枚目からはメール認証をするとかなんかしないとあかんのではないんかな
45:名無しさん@お腹いっぱい。
20/01/21 04:44:47 0.net
>>40
一か月目にちゃんと自動更新かかってたよ。 いい感じ。
46:名無しさん@お腹いっぱい。
20/01/21 14:45:06 0.net
>>44
配布してるWindowsのソフトウェアなんかで使ってる証明書と通信経路の暗号化の証明書は役割が違うでしょ
未だにこんなアホみたいなこと言ってるやついるん?
47:名無しさん@お腹いっぱい。
20/01/21 17:11:46.11 0.net
なりすまし可能な証明書とか思ってるのかね
48:名無しさん@お腹いっぱい。
20/01/21 18:22:39 0.net
EV証明書をばら撒いてるとか勘違いしてるのかも
49:名無しさん@お腹いっぱい。
20/01/30 09:51:06 0.net
この板のドメインはSSL取れてるけど、5chでも板によって取れてないドメインあるよな
それなりに儲かってる企業のくせにさ
50:名無しさん@お腹いっぱい。
20/01/31 20:40:30 0.net
>>45
2カ月目も自動更新できてる
51:名無しさん@お腹いっぱい。
20/02/02 14:29:30 0.net
ぶっちゃけただのブログとかSSL関係ないのに
ブラウザに危険サイトみたく出るからよく分かってない人ほど騒いでるな
そのお陰でどうでもいいサイトまでSSL化が必須みたくなってしまっている
52:名無しさん@お腹いっぱい。
20/02/02 15:19:46 0.net
平文で流す意味ないでしょ
誰でも盗聴できるのがお好き?
53:名無しさん@お腹いっぱい。
20/02/02 20:53:30.53 0.net
>>51
https化すると暗号化だけでなく高速プロトコルHTTP/2使えたり検索サイト順位優遇されたりメリットしかないんだが?
むしろ平文httpが最新技術に適応できない老害みたいな扱いなんだが?
51は「よく分かってない人ほど騒いでる」典型的な例だな
54:名無しさん@お腹いっぱい。
20/02/02 21:19:33.62 0.net
検索サイト順位優遇って滅茶苦茶重要じゃんwww
55:名無しさん@お腹いっぱい。
20/02/02 21:28:52.29 0.net
個人ブログだからって改竄されて問題ないわけじゃないしな
穴は少ない方がいい
56:名無しさん@お腹いっぱい。
20/02/02 22:05:16 0.net
というか最近じゃ無料ブログでもSSL化されてるからな
むしろSSL化してない方がレアケース
57:名無しさん@お腹いっぱい。
20/02/03 00:09:06.98 0.net
コメント欄があるページでフォーカス当てるとブラウザに怖いメッセージ表示されるので
あのタイミングでアラート出るのはズルいというか・・・
一時期の非SSLサイト全部警告してたのはやり過ぎだったけど
58:名無しさん@お腹いっぱい。
20/02/10 16:36:36 0.net
>>51
どうでもいいサイトが無料でSSL化してもデメリットはないんだから別に
あ、1つデメリットがあった
プロバイダのホームページスペースでサイト開設しているユーザーが困る
今だにSSL化してくれないとこ多過ぎ
59:名無しさん@お腹いっぱい。
20/02/10 16:39:49 0.net
>>56
ドメイン取ってレンタルサーバー引っ越す時機を逃したプロバイダホームページスペースのサイトユーザーにとっては大問題かも
今更引っ越すとアクセス分散でPV減るだろうし
60:名無しさん@お腹いっぱい。
20/02/10 18:45:44.56 0.net
実際やってみると分かるが、ドメイン取っていても移転はリスクあるよ
ドメインや管理会社によっても変わるが、サーバー移転すると
しばらくドメインにアクセスできなくなる
俺の場合は3日くらいだったが、長いと2~3週間かかる事もあるという説明だ
3日でも毎日なんらかのサービス提供してるサイトならアウトだろ
むしろ、ドメインなんか取らず、旧サイトに移転しました告知出す方がまだマシな事もある
ドメイン取ってるとこの単純な手法が使えないんだよな
ネームサーバーを新アドレスに変えた瞬間にアクセス不能状態が始まるから
どうしても空白期間が出来る
これから移転するので数日アクセス出来ません的な告知なら可能だけど
61:名無しさん@お腹いっぱい。
20/02/10 19:07:41 0.net
>>60
無能自慢は恥ずかしい
事前にTTL短くしたり、移転時に旧DNSでも新鯖のAレコードを持たせたり、そういうことをちゃんとやれば空白期間なんかできないよ
62:名無しさん@お腹いっぱい。
20/02/10 19:10:45 0.net
知ったか乙です
面倒くさいからこれ以上は教えてやらないけど
63:名無しさん@お腹いっぱい。
20/02/11 01:35:17.17 0.net
>>60
これは恥ずかしいですなぁ
DNSの仕組みと仕様を知れば、こんな書き込みすることないし
64:名無しさん@お腹いっぱい。
20/02/11 04:08:39.07 0.net
無能自慢の上に負け惜しみ?
65:名無しさん@お腹いっぱい。
20/02/11 06:10:58.30 0.net
停止時間ゼロでのサーバ移転やドメイン変更なんて中級以上で必須のノウハウやろ
66:名無しさん@お腹いっぱい。
20/02/11 08:16:02.54 0.net
多分あんたはサーバーレンタルすらした事ないんだろうね
67:名無しさん@お腹いっぱい。
20/02/11 14:52:36 0.net
レジストリでもTTL86400なのに3日アクセス不能とか相当なアホだな
68:名無しさん@お腹いっぱい。
20/02/11 18:12:40.52 0.net
>>65
さりげなく初心者の>>60をディスってて草
69:名無しさん@お腹いっぱい。
20/02/11 18:51:35.31 0.net
引越し先のサイトを準備して、TTLも短くしておく
引越し前のNSのAレコードを引越し先に変更
NSを引越し先に変更
浸透するのを待つ
これで途切れなく行ける、、よね?
70:名無しさん@お腹いっぱい。
20/02/11 19:03:09.63 0.net
>>69
浸透いうな
71:名無しさん@お腹いっぱい。
20/02/12 11:08:44 0.net
浸透いうなおじさん「浸透いうな」
72:名無しさん@お腹いっぱい。
20/02/16 11:04:49 0.net
>>69
1週間くらい様子見してから引越し前のサイト、NSを閉鎖して引越し完了
73:名無しさん@お腹いっぱい。
20/03/04 07:00:15 0.net
なんかバグがあったから3/4に証明書無効にするので強制更新してくれってメール来た
今日じゃねーか
74:名無しさん@お腹いっぱい。
20/03/04 07:51:04.02 0.net
うちは来てない
75:名無しさん@お腹いっぱい。
20/03/04 10:06:32 0.net
URLリンク(community.letsencrypt.org)
76:名無しさん@お腹いっぱい。
20/03/04 12:06:41 0.net
無効の時間で今日だから少しだけ猶予あるんじゃね
77:名無しさん@お腹いっぱい。
20/03/04 13:06:15.25 0.net
2.6%の幸運を手に掴んだやつはおめでとうw
78:名無しさん@お腹いっぱい。
20/03/04 18:13:11.06 0.net
URLリンク(i.imgur.com)
うちには来てた
2.6%ってコロナの死亡率と同じくらいだよねw
79:名無しさん@お腹いっぱい。
20/03/04 18:56:47.69 0.net
うちには来てないけど念のため更新しておいたわ。
80:名無しさん@お腹いっぱい。
20/03/05 03:23:30.51 0.net
うちにも来た。
3つ該当してた。
81:名無しさん@お腹いっぱい。
20/03/05 03:46:35.41 0.net
まったく、当たりたくないくじばかりあたるな。
もう少し余裕はなかったのかよ
82:名無しさん@お腹いっぱい。
20/04/10 15:14:44.36 0.net
SSLの設定中に証明書取得するのやめたらサイトの内容にエラーとか発生する?
83:名無しさん@お腹いっぱい。
20/04/10 15:29:53.79 0.net
>>82
「設定中に」を詳しく
84:名無しさん@お腹いっぱい。
20/04/10 18:17:27.82 0.net
>>82
HTTP→HTTPSリダイレクトをかけたりしてなければ
HTTPでのアクセスには支障を来さないと思われる
ACMEの実行中に中断ならHTTP-01の場合ゴミが残るかも知れない
85:名無しさん@お腹いっぱい。
20/04/11 12:34:54.51 0.net
>>83
普通にレンサバで設定完了してまだ反映されてない状態だったからそれ以上もそれ以下もないなぁ…
>>84
なるほど、サンガツ
一応設定しなおしたわ
86:名無しさん@お腹いっぱい。
20/04/11 13:29:38 0.net
そのレン鯖の実装によるからどうともいえない
たとえば証明書取得済みでhttpd再読込待ち中に取り消し操作→「設定」操作やり直しなら、証明書を再取得する場合としない場合が考えられる
再取得する場合だと、繰り返せばリミットで発行拒否が起こり得る
普通HTTPS化は片道でしか行わないから
「設定」時にHTTPSへのリダイレクトが自動的に設定される仕様になっている場合は、取り消し時にリダイレクト削除が自動化されていない状況も想定できる
WordPress使ってて「設定」時にWordPressのURLも変更するような仕様になっている場合も同様
質問者があまり詳しくない場合、このようにしらみつぶしで考えるか、あるいはエスパーするしかない
具体的に業者やプランなど示さないと本当に的確な回答は得られない
87:名無しさん@お腹いっぱい。
20/07/26 21:01:59.70 YFFZ78Baa
上のチー牛まじでいい加減死ねよ
迷惑だって理解できないのか糞虫
虫レベルの脳みそだなほんと
ブッサイクでチーズ牛丼顔で床に張り付いてドンドン音立てて嫌がらせしてんのか?この真性ゴミクズキチガイは
まじで学習能力ないな上のキチガイチー牛底辺ブサイク一家
88:名無しさん@お腹いっぱい。
20/08/04 15:06:32 0.net
証明書が変わったら httpd を再起動していたけど
dovecot も再起動しないとメールがエラーすんだな
考えてみりゃ当たり前だが
89:名無しさん@お腹いっぱい。
20/08/05 05:16:18.52 0.net
>>88
ファイルが新しくなったらdovecot再起動するcronを作ろう
90:名無しさん@お腹いっぱい。
20/08/05 17:35:29.47 0.net
いや更新スクリプトの方でやりゃいいじゃん
91:名無しさん@お腹いっぱい。
20/08/05 18:39:13.78 0.net
更新走ったときだけ実行する引数のことを言ってるのかと思った。あれcronだよな
92:名無しさん@お腹いっぱい。
20/08/05 22:08:55.81 0.net
これでええがな
cat << EOF | sudo tee /etc/letsencrypt/renewal-hooks/deploy/dovecot; chmod 755 /etc/letsencrypt/renewal-hooks/deploy/dovecot
#!/bin/sh
/sbin/systemctl restart dovecot
EOF
93:名無しさん@お腹いっぱい。
20/08/09 02:21:49.76 0.net
Android7.1以前で使えなくなるらしいけどお前らどうする?
94:名無しさん@お腹いっぱい。
20/08/09 16:40:00.99 0.net
Amazon Kindle がほぼ全滅か
見れるのが昨年末発売の最新モデルだけになるな
95:名無しさん@お腹いっぱい。
20/08/09 16:53:38.40 0.net
Firefox使えばいいから問題なし
96:名無しさん@お腹いっぱい。
20/08/09 17:28:38.37 0.net
Firefoxで見れるように何かすることで対応するなら、同時に他のでも見れるのでは?
97:名無しさん@お腹いっぱい。
20/08/09 22:35:01.50 0.net
Firefoxは証明書ストアをOSのものと別に独自に持っている
98:名無しさん@お腹いっぱい。
20/08/10 04:54:28.36 0.net
見れないぞってクレーム来たらfirefox使えで終了?
99:名無しさん@お腹いっぱい。
20/08/10 08:38:26 0.net
新しいCAを追加すればいいのだろうけど、手順が複雑すぎて来客者に頼むのは不可能?
こういうのがあると金出して買うしかないかな
100:名無しさん@お腹いっぱい。
20/08/10 14:47:45.62 0.net
>>98
それで終了
101:名無しさん@お腹いっぱい。
20/10/25 18:27:47.55 0.net
>>60
これは恥ずかしい
102:名無しさん@お腹いっぱい。
20/11/06 19:02:38.92 0.net
自宅にAndroid 6なタブレットがあるんだけど、それにISRG Root X1とISRG Root X2をインストールしてみた
ただ、これをやると画面ロックの設定をPINやパスワードにしなければならないのが玉に瑕
一人暮らしの自宅でしか使わないタブレットなので、いちいちPINやパスワードを入力するのが面倒
103:名無しさん@お腹いっぱい。
20/11/12 13:24:54.20 0.net
>>93
自分のしがない閑古鳥WEBサイトは、PCからのアクセスが大部分で後はiPhone少々だから無問題
それより、GoogleクローラーがAndroid6らしいが、こっちは大丈夫なのか
104:名無しさん@お腹いっぱい。
20/11/12 22:30:08.64 0.net
通信の暗号化自体に大きな必要性がないサイトであれば、古いAndroid用にSSLなしでもアクセスできるようにしとけばいいんじゃないの?
105:名無しさん@お腹いっぱい。
20/11/14 08:07:23.45 0.net
>>60
ワレあほやろ
106:名無しさん@お腹いっぱい。
20/11/14 13:31:10.05 0.net
>>104
それ設定難しくない?
107:名無しさん@お腹いっぱい。
20/11/14 13:57:09.73 0.net
ChromeもiOS版以外で独自の証明書ストアを持つ予定
URLリンク(www.chromium.org)
Firefoxに続いてChromeも対応なら大半が解決じゃね
108:名無しさん@お腹いっぱい。
20/11/14 13:57:54.95 0.net
>>106
HTTPとHTTPS両方通るようにするってだけの話じゃない?
古いAndroidだけHTTPに誘導するってのは難しいだろうけど。
109:名無しさん@お腹いっぱい。
20/11/14 14:03:31.39 0.net
>>108
そう、その後者が難しい
Encryptをレンタルサーバーから設定して使ってるレベルの人間からすると
110:名無しさん@お腹いっぱい。
20/11/14 15:03:49.08 0.net
>>60
> 実際やってみると分かるが、ドメイン取っていても移転はリスクあるよ
> ドメインや管理会社によっても変わるが、サーバー移転すると
> しばらくドメインにアクセスできなくなる
> 俺の場合は3日くらいだったが、長いと2~3週間かかる事もあるという説明だ
> 3日でも毎日なんらかのサービス提供してるサイトならアウトだろ
> むしろ、ドメインなんか取らず、旧サイトに移転しました告知出す方がまだマシな事もある
> ドメイン取ってるとこの単純な手法が使えないんだよな
> ネームサーバーを新アドレスに変えた瞬間にアクセス不能状態が始まるから
> どうしても空白期間が出来る
> これから移転するので数日アクセス出来ません的な告知なら可能だけど
111:名無しさん@お腹いっぱい。
20/11/14 15:52:52.43 0.net
>>109
というか、HTTPSでリクエスト送られてきてる時点でHTTPにリダイレクトさせるのは無理。
というか、レスポンスを受け取った時点で(端末からみて)無効なルート証明書で署名されたデータが送られてくるから何らかエラーは表示されるだろうね。
あとHTTPSからHTTPにダウングレードリダイレクトなんて飛んできたら、ブラウザ側もなんらか警告出してくる可能性ありそう。
112:名無しさん@お腹いっぱい。
20/11/14 17:02:26.42 0.net
ダウングレードはfirefoxは無反応になる
コンソールではエラーが出てるけどね
113:名無しさん@お腹いっぱい。
20/12/23 17:03:23.93 0.net
よかったね
URLリンク(letsencrypt.org)
114:名無しさん@お腹いっぱい。
20/12/23 18:37:46.67 0.net
>>113
読んでみたけど、Androidは認証局の証明書の有効期限を無視するから、IdenTrust DST Root CA X3の
有効期限が過ぎた後もクロス証明を続けることによって問題を回避できる、って理解でいいのかな
でもAndroidでは良くてもWindowsとかそれ以外のプラットフォームで問題が発生しそうな気が
115:名無しさん@お腹いっぱい。
20/12/24 13:36:54.14 0.net
クロスルートは複数のルートのうちどれかが信頼されている認証局に辿り着ければいいので
116:名無しさん@お腹いっぱい。
21/03/01 13:26:00.71 0.net
テスト
117:名無しさん@お腹いっぱい。
21/03/01 16:27:06.36 0.net
何の?
118:名無しさん@お腹いっぱい。
21/03/07 00:08:58.75 0.net
>>117
馬鹿?
119:名無しさん@お腹いっぱい。
21/03/07 04:27:48.99 0.net
バカとテストと
120:名無しさん@お腹いっぱい。
21/03/20 06:29:24.58 0.net
ECDSAなISRG Root X2やE1っていつから使い始めるんだろう
121:名無しさん@お腹いっぱい。
21/03/21 22:49:32.54 0.net
URLリンク(twitter.com)
URLリンク(twitter.com)
とか言ってたら、Twitterでこんなtweetが
(deleted an unsolicited ad)
122:名無しさん@お腹いっぱい。
21/05/06 13:16:46.21 0.net
質問
Let's Encrypt採用WEBサイトは、今年夏以降?はAndroidOS Ver.7.1以下だとChromeでは表示されなくなるそうですが、
今巡回しているGoogleクローラー(AndroidOS)のVer.が「6」です
夏以降はGoogleクローラーが「モバイル版で表示できない」という理由で、該当WEBサイトはGoogleインデックスから削除されてしまうのでしょうか?
123:名無しさん@お腹いっぱい。
21/05/06 14:48:27.31 0.net
Googleクローラーのバージョン:
AGENT = [ Mozilla/5.0 (Linux; Android 6.0.1; Nexus 5X Build/MMB29P) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/90.0.4430.84 Mobile Safari/537.36 (compatible; Googlebot/2.1; +URLリンク(www.google.com)) ]
124:名無しさん@お腹いっぱい。
21/05/07 08:21:12.92 0.net
Google自身がlet's encryptを支持してきたんだからそんな事するわけないだろ
125:名無しさん@お腹いっぱい。
21/05/07 09:28:17.92 0.net
Googleの無能さなめたらいかんぞ
あいつら組織内全然噛み合ってないし
126:名無しさん@お腹いっぱい。
21/05/07 10:40:50.98 0.net
元々ssl必須にしたいくて、受け皿になってんだから、そんな事するわけない
やったらバカ扱いされるもん
127:名無しさん@お腹いっぱい。
21/05/07 13:13:58.80 0.net
そんな事するというか、無能で何もしないからそのままエラー扱いになっちゃうんじゃないの
128:名無しさん@お腹いっぱい。
21/05/07 13:54:13.74 0.net
つーか、ChromeがFirefoxみたいに独自のルート証明書取る予定だと去年ニュース記事になってたが、その後どうなった?
129:名無しさん@お腹いっぱい。
21/05/07 14:09:23.71 0.net
これ?
URLリンク(www.chromium.org)
移行期間で準備してるだけなんじゃないの
社内用のCAの入れ方から変わっちゃうからいきなり変えたら事故起きる
130:名無しさん@お腹いっぱい。
21/05/07 14:25:01.65 0.net
ほんと、Googleどうするんだろう
原則WEBサイトインデックス登録を軒並みモバイル版に移行するという計画は棚上げにするのかな
Let's Encryptって、下手するとhttpsに変えたユーザーの半数が使っていそう、無料だし
131:名無しさん@お腹いっぱい。
21/05/07 14:34:14.71 0.net
もしGoogleインデックスから外されたら、ユーザーの殆どがhttpに戻すかな
132:名無しさん@お腹いっぱい。
21/05/07 14:43:50.00 0.net
単にクローラーのUAがそうなってるだけでクローラー自体が表示できないわけじゃないんでは
133:名無しさん@お腹いっぱい。
21/05/08 22:36:14.06 0.net
>>122
>>132の言う通り、GoogleのクローラーのUAがそういう文字列になっているだけで、
クローラー自体がAndroidOSで動作しているわけではないので無関係。
あとAndroid7.1以下がLet's Encryptの証明書に対応できなくなるのは今年ではなく2024年7月頃。
134:名無しさん@お腹いっぱい。
21/05/08 22:37:31.46 0.net
>>133
ごめん間違えた。2024年7月ではなく2024年9月頃。
135:名無しさん@お腹いっぱい。
21/05/09 15:08:21.46 0.net
なんだ、後3年以上安泰か
136:名無しさん@お腹いっぱい。
21/05/09 15:58:23.53 0.net
マジかよ…
無料だからSSLにしたのにこれからはサイト運営にも金かかるんだな
137:名無しさん@お腹いっぱい。
21/05/09 16:19:55.19 0.net
>>136
後3年の猶予があるらしい
それに有料となったら商用以外は皆httpに戻すだろう
138:名無しさん@お腹いっぱい。
21/05/09 23:27:35.03 0.net
Let's Encrypt自体はずっと無料だけど…。
3年も経てばAndroid7.1以下のシェアなんて無視できるくらい少なくなってるから無問題。
むしろそれでも使ってるセキュリティ意識の低いユーザーは切り捨ててスマホ買い換えを促した方が本人のため。
※ちなみに7.1以下が対応できなくなると言ってもSSLのセキュリティ警告が出るだけで閲覧するを選択すればサイトが見れないわけではない。
ちなみに。別の話題でGoogleがChromeにルート証明書を持たせるようにするかも、という話があって、
もしそうなったら古いスマホでもChromeアップデートすればLet's Encryptのルート証明書が
認識できるようになるはずだから3年後以降も大丈夫かもね。アップデートが提供されれば、だけど。
139:名無しさん@お腹いっぱい。
21/05/09 23:44:15.85 0.net
だよね
文字の読めないバカばかりでビビってた
マトモな人がいてホッとした
140:名無しさん@お腹いっぱい。
21/05/10 08:57:39.60 0.net
>>138
古いガラケー使ってる人も居るし
Android4.0から[テキストコピー/編集]時のUIがガラケー型デバイスで扱うには改悪されちったから切り捨ては不便
―
古いガラケー使っている人 5代目
スレリンク(keitai板)
終了予定、終了したガラケーサイト Part13
スレリンク(chakumelo板)
141:名無しさん@お腹いっぱい。
21/05/10 14:51:54.31 0.net
>>138
万一の時の有料SSLへの乗り換えの意
142:名無しさん@お腹いっぱい。
21/05/10 14:55:45.72 0.net
とりあえずGoogleクローラーの心配は要らないのね?
143:名無しさん@お腹いっぱい。
21/05/10 17:09:18.85 0.net
いらないよ
144:名無しさん@お腹いっぱい。
21/05/10 19:48:19.49 0.net
さすがにガラケーは無視していいよ
145:名無しさん@お腹いっぱい。
21/05/10 23:31:51.11 0.net
>>140
ガラケー使いがいるのも分かるしUIが改悪されて使いにくいのも同意だけど2024年にもなってAndroid4系はLet's Encryptとか関係なくリスクしかないからさすがにやめた方がいい
146:名無しさん@お腹いっぱい。
21/05/11 00:40:45.14 0.net
amazonのKindle Fireタブレットの2019年末まで売られてた世代は
FireOSがAndroid 5 (Lollipop) ベースなんで割と引っ掛かりそう
147:名無しさん@お腹いっぱい。
21/05/11 04:42:16.43 0.net
2018年夏購入の機種のバージョンが気になって調べてみたら、ギリギリ7.11
7.1以下がアウトだから引っかかる機種は割と多いのでは
148:名無しさん@お腹いっぱい。
21/05/11 18:27:56.01 0.net
3年でどれくらい買い換えるかだな。大手キャリア2年縛り組とかは結構入れ替わるんじゃね。知らんけど。
あとは上の方で書かれてたChromeの証明書ストア対応が入ればAndroid5までは救われる。
それが来なかったらみんなFirefox使えばおk。
149:名無しさん@お腹いっぱい。
21/05/11 19:15:28.21 0.net
>>148
ChromeとFirefoxがいつまでAndroid5をサポートするかな
150:名無しさん@お腹いっぱい。
21/05/11 21:36:50.28 0.net
さすがにChromeとFirefoxのサポートが切れたらそのバージョンは見捨てた方が良い
151:名無しさん@お腹いっぱい。
21/05/11 22:47:30.41 0.net
見捨てたくてもFireタブレットがね
152:名無しさん@お腹いっぱい。
21/05/12 01:17:06.02 0.net
マジレスするとFireタブレットはAmazonが開発してる専用ブラウザだからAmazonに見捨てられない限りアップデートは提供されるよ
Chromiumベースだから本家Chromeがルート証明書持つようになったらAmazonも対応するっしょ
と言うかFireタブレットにこだわりすぎだろww
Fireタブレット専用コンテンツでも流してるのかよwww
153:名無しさん@お腹いっぱい。
21/05/14 04:48:43.49 0.net
なんかメール来た
154:名無しさん@お腹いっぱい。
21/05/22 05:51:46.07 0.net
日本語で頼む
155:名無しさん@お腹いっぱい。
21/05/22 16:17:50.98 0.net
なんかメール来た
156:名無しさん@お腹いっぱい。
21/05/24 09:03:40.81 0.net
どうやら寄付のお誘いのよう
157:名無しさん@お腹いっぱい。
21/05/28 09:25:35.14 0.net
有料にしたら良いのに
158:名無しさん@お腹いっぱい。
21/05/28 14:08:57.65 0.net
それは困る
159:名無しさん@お腹いっぱい。
21/05/29 11:50:08.84 0.net
6ヶ月更新なしで使えた
160:名無しさん@お腹いっぱい。
21/05/29 16:49:26.25 0.net
その裏技おしえて欲しい
161:名無しさん@お腹いっぱい。
21/05/29 19:14:27.81 0.net
裏技とかではないけどsynology nasの取ってきてるやつをコピーして別マシンで使ってたんだけど半年ほどコピーし直さないまま使って支障なかったんだよね
162:名無しさん@お腹いっぱい。
21/05/30 17:14:04.63 0.net
それはLet'sEncryptではない別の認証局だと思う
163:名無しさん@お腹いっぱい。
21/06/03 08:18:03.38 0.net
CSR作成とかいちいちしなくていいんだな>コアサーバー
164:名無しさん@お腹いっぱい。
21/06/03 12:15:06.04 0.net
それはマイナーどころのレン鯖も含めて今や当たり前のサービスでは?
165:名無しさん@お腹いっぱい。
21/07/23 23:05:57.51 0.net
そうそう
166:名無しさん@お腹いっぱい。
21/07/23 23:28:31.78 0.net
もうとく
167:名無しさん@お腹いっぱい。
21/07/23 23:31:11.22 0.net
かんう
168:名無しさん@お腹いっぱい。
21/07/24 00:07:54.43 0.net
うんちょう
169:名無しさん@お腹いっぱい。
21/07/24 01:02:43.63 0.net
りゅうび
170:名無しさん@お腹いっぱい。
21/08/04 20:33:48.80 0.net
げんとく
171:名無しさん@お腹いっぱい。
21/08/11 16:49:16.69 0.net
クソ
172:名無しさん@お腹いっぱい。
21/08/11 17:26:55.14 0.net
>>171
ワレあほケ
173:名無しさん@お腹いっぱい。
21/08/15 01:05:32.80 0.net
>>172
あほ。
174:名無しさん@お腹いっぱい。
21/08/15 01:42:26.20 0.net
>>172
死ねよ。
175:名無しさん@お腹いっぱい。
21/08/15 02:02:58.81 0.net
>>174
通報しました
176:名無しさん@お腹いっぱい。
21/08/15 23:32:36.21 0.net
>>174
あっ?
何ぬかしとんじゃコラッ
チンカスが
177:名無しさん@お腹いっぱい。
21/08/16 16:46:07.74 0.net
>>174
今どきアンカーつけてそれはまずいですね
某女子プロレスラーの事件の後厳しくなってますから
私も今から通報しておきますね
178:名無しさん@お腹いっぱい。
21/08/17 02:23:21.83 0.net
>>176
はいはい、さっさと死んでこい。
179:名無しさん@お腹いっぱい。
21/08/17 08:42:05.54 0.net
Your system is not supported by certbot-auto anymore. って毎回出るんだけど何故かずっと使えてるな
このままでいいのか?
180:名無しさん@お腹いっぱい。
21/08/17 19:47:27.64 0.net
>>178
通報しましたよ
181:名無しさん@お腹いっぱい。
21/08/19 20:22:44.68 0.net
サイトをいくら常時SSLにしても
問い合わせフォームある時点でアウト
182:名無しさん@お腹いっぱい。
21/08/19 22:51:56.59 0.net
ものすごく頭悪いのかものすごく賢いのかどっちだろう
183:名無しさん@お腹いっぱい。
21/08/19 22:53:46.09 0.net
>>181
え?
184:名無しさん@お腹いっぱい。
21/08/19 23:18:16.01 0.net
問い合わせフォームで自動返信や、管理者にメールが届くパターンだと危険
かと行ってサーバーにデータためてイチイチ見に行くのも手間
185:名無しさん@お腹いっぱい。
21/08/20 01:45:08.11 0.net
意味不明すぎてw
186:名無しさん@お腹いっぱい。
21/08/20 02:08:40.97 0.net
>>185
え?
187:名無しさん@お腹いっぱい。
21/08/20 05:47:22.02 0.net
>>184
控えめに言ってITオンチで草
188:名無しさん@お腹いっぱい。
21/08/20 13:17:20.66 0.net
問い合わせフォームとコメント外すとスッキリしていいぞ!
189:名無しさん@お腹いっぱい。
21/08/20 13:56:20.05 0.net
>>187
どうゆう事何ですか?
自動返信メールとかも暗号化されるのですか?
190:名無しさん@お腹いっぱい。
21/08/20 17:22:29.86 0.net
そのメールには暗号化しなければならない
どういう秘匿情報が書かれてるんだ?
191:名無しさん@お腹いっぱい。
21/08/20 19:13:12.75 0.net
>>189
管理者宛はS/MIMEで暗号化して、自動返信はしない設計にしましょう
192:名無しさん@お腹いっぱい。
21/08/20 19:56:53.43 0.net
自動返信あるパターン多いから
ないとちゃんと問い合わせ出来たかどうか不安になる
193:名無しさん@お腹いっぱい。
21/08/20 20:11:03.81 0.net
イマドキは個人情報は名前程度だけしか記載せず
認証関連はワンタイムにするだけでいいんじゃね?
194:名無しさん@お腹いっぱい。
21/08/20 20:33:48.18 0.net
お問い合わせフォームに潜むセキュリティリスクと「SSL化」とは?
URLリンク(www.pi-pe.co.jp)
195:名無しさん@お腹いっぱい。
21/08/20 20:55:58.51 0.net
でもまあ今時まともな鯖ならSMTPSですよ
保証されないだけでね
196:名無しさん@お腹いっぱい。
21/08/21 00:23:46.40 0.net
自動返信は送るけど問い合わせ本文を記載しなければいいよね?
197:名無しさん@お腹いっぱい。
21/08/21 00:29:09.94 0.net
意外と多い?問い合わせフォームの不完全な暗号化
URLリンク(masuipeo.com)
198:名無しさん@お腹いっぱい。
21/08/21 01:36:20.59 0.net
その問い合わせへの返信メールがすべての経路で暗号化されているか
メールは危険絶対使うな
199:名無しさん@お腹いっぱい。
21/08/21 01:41:56.65 0.net
パスワード付きの添付ファイル送って
後のメールでパスワード送ったらいいんだよねw
200:名無しさん@お腹いっぱい。
21/08/22 02:35:06.31 0.net
>>187
詳しくお願いします
201:名無しさん@お腹いっぱい。
21/08/22 06:57:30.06 0.net
>>200
おめーに説明する義理はない
202:名無しさん@お腹いっぱい。
21/08/22 07:48:01.78 0.net
分からないみたいw
203:名無しさん@お腹いっぱい。
21/08/22 16:09:25.48 0.net
>>202
やめたれwww
204:名無しさん@お腹いっぱい。
21/08/22 17:08:31.45 0.net
煽ったら教えてもらえると思ってんのか
205:名無しさん@お腹いっぱい。
21/08/22 22:23:23.94 0.net
煽りがヘタなガキで草も生えんわ
206:名無しさん@お腹いっぱい。
21/08/23 02:31:53.85 0.net
_, ._
(・ω・) ・・・。
○={=}〇
|:::::::::\
._____U___U__(@)_________________
207:名無しさん@お腹いっぱい。
21/08/23 04:04:51.42 0.net
「詳しくお願いします」と言ったら教えてくれると思っているバカがいると聞いて飛んできました!
208:名無しさん@お腹いっぱい。
21/08/24 09:45:01.78 0.net
答えるのは容易い
しかしその信憑性はどうする?
209:名無しさん@お腹いっぱい。
21/08/24 15:19:58.72 0.net
中途半端な知識やデマを披露すると総ツッコミ入るから大丈夫かと
例えば >>181 とか >>184 とか
210:名無しさん@お腹いっぱい。
21/09/24 06:37:15.59 0.net
社内でjitsiを立ち上げてオレオレ証明でローカルipアクセス(イントラネットでのみ使用)しています。androidアプリでjitsiを使用するためにはオレオレではだめなのでlet'sを考えています。ここで無料でhttps化するにはmydnsでドメインをとるでいいのでしょうか?他によい方法があるでしょうか?softetherで取得してるsoftether.netのドメインは使えない?
211:名無しさん@お腹いっぱい。
21/09/24 12:49:43.94 0.net
LetsEncryptの認証が通せて
使うときのエンドポイントに使えるFQDNなら
なんでも使えると思うよ
特殊な事例をやろうとすると、どちらかが引っかかるのがよくあるが
212:名無しさん@お腹いっぱい。
21/09/24 13:20:17.28 0.net
>>210
mydnsで取ったドメインをローカルアドレスにできれば大丈夫でしょう
Let'sを更新する時はグローバルアドレスへ切り替える。
213:名無しさん@お腹いっぱい。
21/09/24 17:43:35.53 0.net
レスありがとう。mydnsで行ってみようと思います。
214:名無しさん@お腹いっぱい。
21/10/01 12:14:18.25 0.net
今日になったら SSL_get_verify_result 10の日付エラーする なんでだろう
215:名無しさん@お腹いっぱい。
21/10/01 14:14:42.09 0.net
DST Root X3の期限切れ
216:名無しさん@お腹いっぱい。
21/10/01 14:36:31.65 0.net
Squidの設定ミスかと思った
X509_V_ERR_CERT_HAS_EXPIRED出まくりで
217:名無しさん@お腹いっぱい。
21/10/02 08:15:18.75 0.net
CENTOS7は UPdate が必要だ。使っている台数が半端ないから
証明書をLETS辞めるほうが早いな。安い所探そう
218:名無しさん@お腹いっぱい。
21/10/05 11:05:20.17 0.net
sslはcloudflareに丸投げ
219:名無しさん@お腹いっぱい。
21/10/12 18:08:41.52 0.net
Your system is not supported by certbot-auto anymore.
って毎回メールが来るけど普通に自動更新できてるな。こういうもん?
220:名無しさん@お腹いっぱい。
21/10/12 18:50:00.18 0.net
>>219
certbot-autoはサポート終了(no longer supported)で非推奨(deprecated)です
URLリンク(community.letsencrypt.org)
221:名無しさん@お腹いっぱい。
22/01/16 10:51:53.81 0.net
暗号方式を rsa から ecdsa に変えてみようと思うのだが
letsencrypt を
nginx
postfix
dovecot
stunnel
などでつかっているのでとらぶるが起きないか結構不安
注意点などありましたらご教示ください。
>偉い人
222:名無しさん@お腹いっぱい。
22/01/16 11:11:15.66 0.net
nginxなら2種類指定して同時に使えるから何も困らんはず
223:名無しさん@お腹いっぱい。
22/01/17 23:14:46.06 0.net
>>221
うちはletsencryptでrsaとecdsaの両方取得して、
apacheで両方指定、
postfixとdovecotはrsaのみ、
という運用をしてます。
stunnelは使っていないので分からないすまん。
224:名無しさん@お腹いっぱい。
22/02/09 19:05:17.66 0.net
letsencryptに切り替えたいのだが、80番のポートはファイアウォールで広範囲に
規制をかけてる。試験用のサーバーを立ち上げて色々テストしてみた結果、
認証サーバーのアクセスは443番には規制がかけられていても80番さえアクセス
できれば、再認証は通ることが分かった。
80番を全開放してしまうのはちょっと不安なのですが、ファイアウォールで
アクセス規制をかけてる人は他にどんな対処方法を取ってるのでしょうか?
225:名無しさん@お腹いっぱい。
22/02/09 19:21:03.13 0.net
>>224
公式くらい読もう
URLリンク(letsencrypt.org)
226:名無しさん@お腹いっぱい。
22/02/09 19:40:41.80 0.net
>>224
結局HTTP-01チャレンジが一番簡単だよ。ありもので全自動にできるし
/.well-known/acme-challenge/* だけ通せばいい
TLS-ALPN-01チャレンジは一斉失効が先月あったばかり
227:名無しさん@お腹いっぱい。
22/02/09 21:57:56.40 0.net
80と443のアクセスログを分離して、certbot renewの挙動を確認してみました。
結局の話、443へのアクセスを規制していてもcertbotは、ドットで始まるディレクトリ
を作ってるから、80から443へのmodrewriteの自動転送ルールは効かず、
certbotは80だけを見てるってことなのか
参考になりました
228:名無しさん@お腹いっぱい。
22/02/09 22:15:41.67 0.net
>>227
Apacheでmod_rewrite使ってるならRewriteCondで除外するでしょ普通
229:名無しさん@お腹いっぱい。
22/02/12 22:44:33.94 0.net
最初にcertbotするときメールID聞いてきますよね。
これって有効期限が60日以上が経過するとメールで連絡してくるんですか?
230:名無しさん@お腹いっぱい。
22/02/12 23:17:13.11 0.net
>>229
Let's Encrypt certificate expiration notice for domain "example.com"
みたいな件名でメール来るよ
期限切れ(90日)の確か20日前、10日前、1日前あたりだったはず
231:名無しさん@お腹いっぱい。
22/02/12 23:27:38.37 0.net
そのメアドって後から追加したり変更したりってできる?
232:名無しさん@お腹いっぱい。
22/02/12 23:52:49.79 0.net
来たことなぁ、mod_sslの方がカウントダウンしてくれるし
233:名無しさん@お腹いっぱい。
22/02/14 04:18:17.57 0.net
>>231
certbotだと変更は
certbot update_account --email 新しいメアド
で可能。追加は出来なさそう。
234:名無しさん@お腹いっぱい。
22/02/15 20:43:23.99 0.net
手動で更新するならHTTP-01でもDNS-01でも変わんない気がするんだが、
HTTP-01の利点ってcrontabで自動更新できるって点だけ?
235:名無しさん@お腹いっぱい。
22/02/15 22:29:12.16 0.net
有効期限90日の証明書を毎回手動で更新すんの?
236:名無しさん@お腹いっぱい。
22/02/15 22:50:22.12 0.net
>>235
おまえは何を言ってるんだ?
237:名無しさん@お腹いっぱい。
22/02/15 23:23:02.81 0.net
ん?手動更新なんて普通やらんだろと俺も思うんだが
238:名無しさん@お腹いっぱい。
22/02/15 23:25:42.69 0.net
>>237
すまん、俺もそう思う
239:名無しさん@お腹いっぱい。
22/02/15 23:29:50.48 0.net
>>234
DNS-01チャレンジでも環境によってはAPIで自動更新を構成することはできるけど
HTTP-01チャレンジ最大の利点はファイルを配置するだけで済むから対応環境が非常に広いところ
>>237
だよね。手動でやるなら有効期間が1年でも面倒
Let's Encryptは90日だけど、60日での更新が推奨だし
240:名無しさん@お腹いっぱい。
22/02/16 11:25:29.75 0.net
自動更新にしてどや顔で安心しきってて、ところが自動更新でエラーがでて証明書が失効してサイトが通じなくなったって人いる?
241:名無しさん@お腹いっぱい。
22/02/16 11:37:58.99 0.net
そういう場合はアラート来るように仕込むまでが自動だろ常考…
242:名無しさん@お腹いっぱい。
22/02/16 17:27:43.96 0.net
普通毎日スクリプト走らせるわな
243:名無しさん@お腹いっぱい。
22/02/16 18:29:37.06 0.net
Zabbixで有効期限監視するだろ
244:名無しさん@お腹いっぱい。
22/02/16 20:14:57.76 0.net
普通opensslコマンドで1行スクリプト毎日回すでしょ
245:名無しさん@お腹いっぱい。
22/02/16 20:33:07.58 0.net
だから回すだけじゃ駄目なんだって 失敗を検知しないと連続で失敗するだけじゃん
246:名無しさん@お腹いっぱい。
22/02/16 20:49:20.46 0.net
>>265
いや、普通そこも込みで回すでしょ
247:名無しさん@お腹いっぱい。
22/02/16 21:28:01.59 0.net
265に期待
248:名無しさん@お腹いっぱい。
22/02/16 21:45:23.41 0.net
少し遠くにパス回した理由がわからん
249:名無しさん@お腹いっぱい。
22/02/16 23:20:48.19 0.net
え、自前 DNS 鯖の DNS-01でも自動更新されてるけど、そういう話じゃない?
250:名無しさん@お腹いっぱい。
22/02/17 03:36:42.49 0.net
cronの出力をメールで受け取ればエラーなんて3秒で確認できるじゃろ
251:名無しさん@お腹いっぱい。
22/02/17 08:28:40.29 0.net
cronがコケたらどうすんだよ
252:名無しさん@お腹いっぱい。
22/02/17 08:34:35.82 0.net
そんなこと言ったらカーネルパニックになったらどうすんだよ
253:名無しさん@お腹いっぱい。
22/02/17 09:20:19.44 0.net
だから外からの監視が必要なんだってば
254:名無しさん@お腹いっぱい。
22/02/17 19:05:09.94 0.net
dbs01の利点はワイルドカード対応
255:名無しさん@お腹いっぱい。
22/02/19 18:28:35.82 0.net
使わなくなった証明書がexpireのカウントダウンが来るんだけど、
使わないというcertbotのコマンドとかあるの?
256:名無しさん@お腹いっぱい。
22/02/19 18:37:03.05 0.net
>>255
certbot revoke --cert-path /PATH/TO/downloaded-cert.pem
257:名無しさん@お腹いっぱい。
22/02/19 18:39:18.86 0.net
>>255
それくらいググろうぜ
certbot revoke
258:名無しさん@お腹いっぱい。
22/02/19 19:13:21.39 0.net
>>256-257
ぅぉぉぉ、できた!
すまねぇググる前に質問してしまった・・・ありがとうやで
259:名無しさん@お腹いっぱい。
22/02/21 16:51:07.08 0.net
>>258
いらない証明書を消す
certbot delete もするんやで
260:名無しさん@お腹いっぱい。
22/04/08 20:34:19.79 0.net
新たにサーバ構築してて、公式サイトにcertbotはsnapからインストール推奨と
書かれてたからその通りにやったらsnapでかすぎてビビった。
一度設定まで済ませたけど、acme.shで再構築した。
261:名無しさん@お腹いっぱい。
22/04/09 07:44:36.46 0.net
アクメ、シェル(貝)ってなんてイヤらしい子だこと
262:名無しさん@お腹いっぱい。
22/04/15 19:22:02.47 0.net
IPv4のポート80/443を開放できない環境(v6プラス)のおうちサーバーでもIPv6の方でポート開放(パケットフィルタ登録)して証明書もらえばあとは好き勝手使えるじゃん!
って思ってv4/v6両方登録できるsoftetherのDDNS使ってLet's Encryptの証明書取得したんだけど
SSLってURLリンク(hogehoge.net:10000)みたいな標準じゃないポートでやろうとするとブラウザ側がエラー吐く感じですかねもしかして…
263:名無しさん@お腹いっぱい。
22/04/15 20:15:25 0.net
>>262
DDNSなのがだめなのではなくて?
264:名無しさん@お腹いっぱい。
22/04/15 22:36:22.97 0.net
>>263
ごめんブラウザの履歴やらキャッシュとリダイレクトが変な挙動してただけかも
普通にルーターで利用可能ポートを80/443に変換→URLにポート指定でアクセスできたわ
http→httpsのリダイレクト入れるとダメっぽいけど
265:名無しさん@お腹いっぱい。
22/04/16 00:46:58.79 0.net
>>262
そういうのはCloudflareをリバースプロキシにするとIPv6アドレスだけで運用できる
ドメインは持ってる必要があるけどね
266:名無しさん@お腹いっぱい。
22/04/17 20:16:46.65 0.net
俺用メモ
apacheのmod_mdでLet's Encryptの証明書を取得・自動更新する方法
じゅんび:
・おもむろにmod_mdでググって出てくる日本語で解説してるページで基本操作を覚える
やったこと:
サーバーコンフィグに以下を突っ込む
コメントアウト行はapache 2.4.53現在デフォ値なので書かなくてもそのまま機能するやつ
## onでサーバー全体をmod_mdで管理、offでVirtualHost内のみ管理
## ドキュメント曰く「offにして全部VirtualHostで管理する事を勧める」
#MDBaseServer off
#MDCertificateProtocol ACME
MDCAChallenges http-01
## 廃止されたACMEv1のアドレスを紹介してるサイトがあるけのでv2のアドレスにする
## テスト環境用はURLリンク(acme-staging-v02.api.letsencrypt.org)
#MDCertificateAuthority URLリンク(acme-v02.api.letsencrypt.org)
## 利用規約のURLを貼らないとダメな時期があったみたいだけど今はacceptedでよい
MDCertificateAgreement accepted
## ServerAdminに有効なメールアドレスを入力してないならここで入力
MDContactEmail admin@example.com
つづく
267:名無しさん@お腹いっぱい。
22/04/17 20:18:21.33 0.net
>>266
つづき
## 一つは必須、複数ドメインが必要な場合は半角スペースを挟んでここで入力しても良いししなくてもよい
## ここに複数のドメインの記載をしない場合でも、VirtualHostのServerNameとServerAliasに記載したドメインが自動的に追加される(らくちん)
MDomain example.com
## 「RSA ビット数」で1個指定する場合と「暗号名 暗号名」で複数指定するパターンのどちらか(デフォはRSA 2048)
## mod_mdのドキュメントとLet's EncryptのドキュメントとOpenSSLの全てでECDSAの曲線名が違ってて発狂し死に至る危険性があるけど
## secp256r1=P-256=prime256v1(RFC 8422 付録Aを参照)なのでmod_mdのドキュメント表記に従いsecp256r1記載で生成
## RSAしか対応してないかつLet's Encryptのルート証明に対応してるデバイスがあるならrsa2048も追加
MDPrivateKeys secp256r1
## MDDriveModeはMDRenewModeに置き換えられた(互換性のため残ってる)
## デフォで自動的に残り日数33%=Let's Encryptの推奨である60日毎(残り30日)で更新してくれる
#MDRenewMode auto
#MDRenewWindow 33%
終わり
268:名無しさん@お腹いっぱい。
22/06/05 15:31:26.46 0.net
acme.shで更新するとどうしてもFirefoxで閲覧できなくなるの改善してほしいわ
デフォルトのルート証明書が古いまま
269:名無しさん@お腹いっぱい。
22/06/07 03:26:08.63 0.net
>>268
preferred-chain で回避できるのとは違う問題?
270:名無しさん@お腹いっぱい。
22/06/09 23:37:33.60 0.net
>>268
DV証明書と中間証明書のどちらも期限が同じ日付になってて悩んだことがあったけど
Apache 2.4.8以前
SSLCertificateChainFile 中間CA証明書ファイル
Apache 2.4.8以降
SSLCertificateFile 中間CA証明書、およびクロスルート証明書(オプション)はサーバ証明書と一つの証明書ファイル
のこととか?
271:名無しさん@お腹いっぱい。
22/09/10 05:27:17.25 0.net
現在、example.com www.example.com で証明書を作成して使っています。
ワイルドカードに変えようと思うのですが、
現在のを revoke かdelete してから取るのが正しい手順でしょうか?
また、何か注意点がありましたらご教示ください。
教えて下さい、偉い人
272:名無しさん@お腹いっぱい。
22/09/10 10:03:07.15 0.net
レスしようと思ったが
全く自分は偉くないことに気がついた
すまん
273:名無しさん@お腹いっぱい。
22/09/10 13:38:08.87 0.net
偉くないから答えられない身分ですが
新しいのを発行、運用開始してからrevokeしないとダウンタイムがあると思います
274:名無しさん@お腹いっぱい。
22/09/10 19:48:34.71 0.net
いわゆる作法やな
275:名無しさん@お腹いっぱい。
22/09/11 15:52:13.81 0.net
>>271 です。
実は example.com example.org の複数ドメインを一つにした証明書を
使っておりまして、let's のディレクトリには example.com の名称で
登録されていました。
ここで、ワイルドカードを取りに行くと、多分現在の example.com に
上書きされちゃって面倒になると思っていましたがどうなのかな?
ほんで、まずは example.org のワイルドカードを取ってみました。
で、取れたんですが何故か3ヶ月より短い。どうも現在 example.com 名義の
期限がそのまま受け継がれたようです。そういうものなんですかね?
で、example.com をrevoke して、example.com のワイルドカードを
取ったら、ちゃんと今日から3ヶ月でした。
あらかじめ dry-run でテストして多分大丈夫だろうと目星がついたところで
一気にrevoke ワイルドカード取得、各種の reload をやり、ダウンタイムは5分以下だったと
思います。
そのうち、force renew してどちらの期限も同じにしようと思います。
ではでは
276:名無しさん@お腹いっぱい。
22/09/11 16:57:02.53 0.net
crt.sh って初めて知った。
おもしれー
277:名無しさん@お腹いっぱい。
22/09/11 20:24:28.43 0.net
なにそれ
278:名無しさん@お腹いっぱい。
22/09/12 08:27:00.64 0.net
アクセスしてみれば分かる、かもw
279:名無しさん@お腹いっぱい。
22/09/28 13:15:04.72 0.net
自宅サーバで引っ越ししたら証明書更新が出来なくなったんだけどなんで?
280:名無しさん@お腹いっぱい。
22/09/28 13:21:06.83 0.net
エラーメッセージは?
281:名無しさん@お腹いっぱい。
22/09/28 13:22:13.44 0.net
Challenge failed for domain hogehoge.com
みたいになりました。
282:名無しさん@お腹いっぱい。
22/09/28 14:10:01.84 0.net
Waiting for verification...
Challenge failed for domain hogehoge.com
http-01 challenge for hogehoge.com
Cleaning up challenges
Attempting to renew cert (hogehoge.com) from /etc/letsencrypt/renewal/hogehoge.com.conf produced an unexpected error: Some challenges have failed.. Skipping.
All renewal attempts failed. The following certs could not be renewed:
/etc/letsencrypt/live/hogehoge.com/fullchain.pem (failure)
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
All renewal attempts failed. The following certs could not be renewed:
/etc/letsencrypt/live/hogehoge.com/fullchain.pem (failure)
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
1 renew failure(s), 0 parse failure(s)
IMPORTANT NOTES:
- The following errors were reported by the server:
Domain: hogehoge.com
283:名無しさん@お腹いっぱい。
22/09/28 16:32:43.39 0.net
>>279
取り敢えず
* OS
* ACMEクライアント(certbot?)
* 認証方式 (http-01)
に関する情報を提供するべし
それと
> 自宅サーバで引っ越ししたら
この「引っ越し」って具体的に何をしたの?
ハードの更新?
ハードの物理的orネットワーク的な移動?
284:名無しさん@お腹いっぱい。
22/09/28 22:42:56.49 0.net
http-01のacmeに失敗してるっぽいから
DNSが新しい方に向いてないとか、NAT(ポート開放)がされてないとか
renew用の情報が入ってる hogehoge.com.conf の設定では出来なかった
というニュアンスなのでこのファイルの中を眺めて、何か気付くことがあるかないか
285:名無しさん@お腹いっぱい。
[ここ壊れてます] .net
80ポート開いてないんじゃね
286:名無しさん@お腹いっぱい。
22/10/19 08:31:30.08 0.net
acme に対応している国内レジストラ一覧みたいなのどこかに無いかな。
ググったんだけど見つからなかった。
287:名無しさん@お腹いっぱい。
22/10/19 09:33:05.92 0.net
acme に対応しているレジストラ
って何? 海外ならあるの?
そんな概念が存在してないから検索にヒットしないだけでは・・・
288:名無しさん@お腹いっぱい。
22/10/19 10:18:35.93 0.net
認証局のことじゃないかと深読み。
もしそうならあるよ。SSL.com とか。企業向けならサイバートラストとか悪名高き GMO、グローバルサインも対応してる。
289:名無しさん@お腹いっぱい。
22/10/19 15:07:39.17 0.net
ごめんなさい、ワイルドカードを取る時の dns-01 や http-01 チャレンジ対応と書いたつもりだった。。。ぺこぺこ
290:名無しさん@お腹いっぱい。
22/10/19 15:53:36.16 0.net
おそらく 「無料の」 って言葉は隠れてる (文脈で理解しろ 的な
291:名無しさん@お腹いっぱい。
22/10/19 21:48:38.02 0.net
日本だと桜クラウドくらいかな知ってるのは
292:名無しさん@お腹いっぱい。
22/10/19 23:12:11.19 0.net
acmeツール次第だけどAPI出してるところは誰かがプラグイン作ってるだろ
API無くてもログインフォームとTXTレコード変更のPOST2回でいける程度の内容だし
293:名無しさん@お腹いっぱい。
22/10/20 10:45:55.39 0.net
API使わないと2段階認証解除するしかないのがなあ
294:名無しさん@お腹いっぱい。
22/10/21 15:35:53.58 0.net
JPRS も対応してるね。
295:名無しさん@お腹いっぱい。
22/11/04 23:04:33.77 0.net
DNS Provider のリストなら lgeo や acme.sh のドキュメントに載ってる
URLリンク(go-acme.github.io)
URLリンク(github.com)
296:名無しさん@お腹いっぱい。
22/11/15 18:41:49.44 0.net
Let’s 証明書、
1 Web Server
2 Mail Server
3 pop/imap Server
4 stunnel
に使っています。
他にこんなのに使えるってあればご教示下さい。
297:名無しさん@お腹いっぱい。
22/11/25 12:28:47.08 0.net
うちはウェブ(apache)とメール(postfix/dovecot)だけだなあ。
と言うか上の方でも同じ質問してなかったか?ECDSAには変えたのけ?
298:名無しさん@お腹いっぱい。
22/11/26 10:13:34.28 0.net
これで作った証明書メールサーバーで使ってるとiOS系から弾かれるとかある?
iPadのメーラーで「サーバの識別情報を検証できません」と出て受信できず、ぐぐったけど解決しない
299:名無しさん@お腹いっぱい。
22/11/26 10:59:31.79 0.net
>>298
--preferred-chain 'ISRG Root X1'
関連かな?
300:名無しさん@お腹いっぱい。
22/11/26 12:21:29.66 0.net
リバースプロキシ使った時に
Apple 端末だけ全滅したことあるけど
あれ何が原因だったんだか
301:名無しさん@お腹いっぱい。
22/11/26 15:42:54.57 0.net
同じ機体でもなる時とならない時あるしよーわからん
302:名無しさん@お腹いっぱい。
22/11/26 17:30:15.15 0.net
Chain of Trust(URLリンク(letsencrypt.org))のページを見ると、ECDSAな認証局証明書であるISRG Root X2とLet’s Encrypt E1はどちらも「Active, limited availability」ということらしいけど、後者で署名されたサーバ証明書って今現在入手できるんだろうか
303:名無しさん@お腹いっぱい。
22/11/27 23:21:20.91 0.net
>>302
できるんじゃない
URLリンク(crt.sh)
304:名無しさん@お腹いっぱい。
22/12/11 07:26:16.45 0.net
ecdsa にするか悩んでいます。特にデメリットがない様に思うのですが、ecdsa にして困った事があった方ご教示いただけませんか?
305:名無しさん@お腹いっぱい。
22/12/16 23:21:20.33 0.net
>>304
webブラウザだけなら困らないけど
メール関係で ecdsa より rsa のほうが困らない印象
postfix dovecot openvpn とか
306:名無しさん@お腹いっぱい。
23/07/14 13:54:02.96 0.net
無料のとこなんてどこにもないんですけどなにか
307:名無しさん@お腹いっぱい。
23/07/16 18:16:23.37 0.net
無料SLL(ただし有料ドメインが必要です)
と、ちゃんと記載するべきだと思います
景品表示法違反です
308:名無しさん@お腹いっぱい。
23/07/16 21:50:32.21 0.net
FreeNOMで取得できる無料ドメイン
DDNSサービスで取れるバリエーション豊かなサブドメイン
でも完全無料SSLを活用させて貰ってるで
309:名無しさん@お腹いっぱい。
23/09/08 15:06:11.80 0.net
>>302
URLリンク(forms.gle)
ここに申請すると翌週の木曜日頃に
「Let's Encrypt ECDSA Allowlist Confirmation」
ってメールが来てE1から証明書発行してもらえるようになるみたい
URLリンク(i.imgur.com)
310:名無しさん@お腹いっぱい。
23/09/09 21:07:17.84 0.net
>>60
ワレあほけ
311:名無しさん@お腹いっぱい。
23/09/16 14:01:55.86 0.net
工エエェェ( Д )⌒Y⌒Y⌒Y⌒Y⌒Y⌒...。....。コロコロ
312:名無しさん@お腹いっぱい。
23/11/23 13:12:24.45 0.net
デフォルトでクロス署名が無い方で証明書が発行されるようになるのが2024/2/8から、
alternate chainでもクロス署名版が取れなくなるのが2024/6/6から、
クロス署名版の期限が切れるのが2024/9/30。
前回騒いでからの間にChromeも独自証明書ストアを持つようになったし、古いAndroidのシェアもこの3年でかなり減ったみたいだから大きな問題は無いのかな?
ちなみに手元で試した限りではAndroid7はサポート切れる直前のChromeなら独自証明書ストア対応、
Android6は同じバージョンのChromeでも対応してなかった。
313:名無しさん@お腹いっぱい。
23/11/23 13:53:01.20 0.net
当時はサポート切れでも現役が多かった泥5がさすがにほぼ消えた
(アップデートできなかったり使えなくなったアプリがかなり増えてきた)
から、ブラウザで〇〇で見れなくなって困る 以前の状況になってる
314:名無しさん@お腹いっぱい。
24/01/03 00:55:38.06 0.net
Android 7は 証明書が切れるまでにFirefox Browser入れとけっていうのを見た気がする
315:名無しさん@お腹いっぱい。
24/02/02 08:20:36.33 0.net
それはAndroid 7に限らず6とかでも使える手だね。
>312にもあるけど、普通にChromeをアップデートしてれば、Android 7サポート切れ前のバージョンでも
独自証明書ストア対応版なのでIdenTrust DST Root CA X3の有効期限が切れた後でも問題ないはず。
まあ、サポート切れてるChromeを使い続けるのはセキュリティが心配だからFirefox使っとけってのが正しい気はするけど。
と言うか、さすがにそろそろAndroid 7は捨てた方が良い。
316:名無しさん@お腹いっぱい。
24/03/16 14:02:43.18 0.net
certbot renew --dry-runは成功するのにやってみたら失敗する
dry-runの意味ないやんけw
317:名無しさん@お腹いっぱい。
24/03/18 08:59:49.04 0.net
そりゃ、実際に水入れて放水しないと出ない不具合はいっぱいあるし
318:名無しさん@お腹いっぱい。
24/06/10 00:11:50.27 0.net
certbotしたら
These files will be updated when the certificate renews.
Certbot has set up a scheduled task to automatically renew this certificate in the background.
と勝手に出て来やがった
調べたらsystemdにcertbot-renew.timerが仕込まれてたわ
319:名無しさん@お腹いっぱい。
24/06/10 22:24:58.98 0.net
デフォルトだとこんな感じだからね
vi /usr/lib/systemd/system/certbot-renew.timer
OnCalendar=*-*-* 00/12:00:00
RandomizedDelaySec=12hours
いろいろ書き替えないと毎日2回実行してくれる
320:名無しさん@お腹いっぱい。
24/06/11 12:32:40.72 0.net
実行してなくてもインストールしただけでそれ入る
rpm -ql certbot
とか
dpkg -L certbot
とかすれば分かる
321:名無しさん@お腹いっぱい。
24/06/13 12:22:12.71 0.net
そうそう。せっかくChatGPTとお話しして自動更新するスクリプトを作ったのに、毎回先取りされるわ。
322:名無しさん@お腹いっぱい。
24/06/15 10:46:48.97 0.net
何で毎日2回なんだ
証明書更新なら週1回が順当だろう
別の意図があって毎日2回なのか?
323:名無しさん@お腹いっぱい。
24/06/25 08:33:36.68 0.net
OpenWrtにはcertbotパッケージがなかった
apacheやnginxはあるのに
324:名無しさん@お腹いっぱい。
24/06/29 15:12:39.96 0.net
>>318
ubuntuだとsnapにも仕込まれるらしいぞ
要注意
325:名無しさん@お腹いっぱい。
24/07/10 17:25:28.49 0.net
パケットフィルタあるから無断で更新しようとしたってエラーになるだけで無駄だぞゴラァ
326:名無しさん@お腹いっぱい。
24/08/25 16:32:10.35 0.net
>>324
迷惑なsnapは全部止める
# snap refresh --hold
327:名無しさん@お腹いっぱい。
25/02/15 18:54:07.16 0.net
DNS-01での確認が失敗してて更新されてなかった
certbotが環境変数にOPENSSL_MODULESを設定しはじめたせいでDNSの_acme-challengeにトークン文字列を設定する自動化スクリプト内でnsupdateがコアダンプ吐いてた
スクリプトにexport -n OPENSSL_MODULESを追加して何とかした
失効する前に気付いてよかた
328:名無しさん@お腹いっぱい。
25/02/25 01:45:52.81 0.net
snap版certbotは自動更新機能があるらしいが、調べてみるとそのたびにWebサーバーの再起動が必要との記事を見つけたんだがマジ?
スクリプト書かなければいけないの?
329:名無しさん@お腹いっぱい。
25/02/25 10:49:27.28 0.net
もうcloudflareの30年自動更新に変えたわ
30年後はもう死んでるだろ
330:名無しさん@お腹いっぱい。
25/02/25 14:49:47.16 0.net
初期のcertbotから自動設定されてるなら連携するhttpサーバにHUP信号送るまで自動かと
マニュアルでやる場合は何から何まで自作必要なのは事実
331:名無しさん@お腹いっぱい。
25/02/25 15:10:11.96 0.net
もうずーっと触ってないから忘れたけど、スクリプトっつったってコマンド羅列するだけっしょ?
ハードルはかなり低いと思うけど
332:名無しさん@お腹いっぱい。
25/02/25 18:55:12.76 0.net
ひとまずスクリプトを書いて実行権限与えておいた。
証明書の権限がrootになっていて、chatgptに聞いたら「Snap版Certbotのインストール時にディレクトリのパーミッションが変更された可能性がある」というんだが、実際どうなんだ?
あと、証明書更新時にパーミッションが元に戻る可能性があるってのはマジ?
実際どうなの?
333:名無しさん@お腹いっぱい。
25/02/25 20:46:55.61 0.net
パスワード掛けてない状態の private.pem は
漏洩したらすぐに失効手続きしての新しく作り無しが必要
というレベルの厳密なセキュリティ管理を要求するから
随所に所有権とパーミッションチェックや設定は入ってて当然と思う
SSHの鍵も同じでパーミッションに不足があるとあらゆるコマンドが失敗するようになってる
334:名無しさん@お腹いっぱい。
25/03/26 06:18:24.25 0.net
自分にはメールで先月と昨日に予告と警告が届いてるけど
そろそろ次回に影響する人が出てくるだろうからここでも共有しておこう
Let's Encrypt Expiration Emails Update
URLリンク(letsencrypt.org)
335:名無しさん@お腹いっぱい。
25/03/29 15:45:22.88 0.net
Providing expiration notifications costs Let’s Encrypt tens of thousands of dollars per year
という部分が引っ掛かる
SPAM業者はこんなに払ってるのか?
336:名無しさん@お腹いっぱい。
25/03/29 17:31:01.93 0.net
MailchimpのMandrillを使ってるからだね
Mailchimpはspam業者ではない
337:名無しさん@お腹いっぱい。
25/04/19 18:40:51.89 0.net
Appleの悲願がかなう TLS証明書の有効期間が最短47日に短縮へ
URLリンク(www.itmedia.co.jp)
338:名無しさん@お腹いっぱい。
25/04/19 19:31:38.17 0.net
2027年からは VeriSign や GeoTrust でも一か月半ペースで新しい契約手続きとサーバの差し替え作業が必要ってことか?
339:名無しさん@お腹いっぱい。
25/04/19 20:11:01.49 0.net
>>338
ACME化しろってこと
340:名無しさん@お腹いっぱい。
25/07/01 21:46:46.00 0.net
Let's Encryptは、ドメイン名を使わずIPアドレスのみでTLS証明書を発行する準備を進めている
2025年7月1日 URLリンク(share.google)
341:名無しさん@お腹いっぱい。
25/07/14 21:22:05.58 0.net
>>328
亀レスだけどサーバ毎にプラグインがあるだろ
debianだとpython3-certbot-apacheとか
342:名無しさん@お腹いっぱい。
25/07/14 21:22:29.61 0.net
>>340
有効期間6日w
343:名無しさん@お腹いっぱい。
25/07/14 21:26:52.71 0.net
それはそうとパスワードマネージャのもう必要なくなったエントリを整理してたら駅ネットに移行してJR東日本の必要なくなったエントリのURL欄が
URLリンク(my.jreast.co.jp)
びっくりするわ
344:名無しさん@お腹いっぱい。
25/08/12 16:32:18.04 0.net
>>328
その通り
更新しただけでは新しい証明書が読み込まれない
スクリプトというほどではないがウェブサーバやメールサーバの再起動をcronに書いた
345:名無しさん@お腹いっぱい。
25/08/12 16:48:00.46 0.net
>>328
crontabとかcron.dとかcron.dailyにcertbotの記述あるよね
そこに--deploy-hook "/bin/systemctl reload nginx"とか追記すればいい
346:名無しさん@お腹いっぱい。
25/08/24 07:36:04.18 0.net
このサーバーは、さくらのレンタルサーバで提供されています。
SSLの設定が有効になっていないため、このページが表示されている可能性があります。
以下HTTPのURLにアクセスすることで解消される場合があります。
こちらで解消されない場合はサイト管理者にご連絡ください。
ご契約者様はこちらのFAQをご確認ください。
(C)Copyright 1996-2025 SAKURA Internet Inc.
347:名無しさん@お腹いっぱい。
25/10/09 11:19:28.91 0.net
いずれ証明書は毎日更新になるのか?
348:名無しさん@お腹いっぱい。
25/10/09 17:13:51.57 0.net
いまのところ 47日までしか見えてない
2029年3月15日から47日に短縮
2027年3月15日から100日に短縮
2026年3月15日から200日に短縮
2026年3月14日まで398日を維持