【全ブラウザ対応】　無料SSL/TLS　Let's Encrypt

[表示 : 全て最新50 1-99 101- 201- 301- 401- 501- 601- 701- 801- 901- 1001- 2ch.scのread.cgiへ]
Update time : 11/25 13:56 / Filesize : 264 KB / Number-of Response : 1030
[このスレッドの書き込みを削除する]
[＋板最近立ったスレ＆熱いスレ一覧 : ＋板最近立ったスレ／記者別一覧] [類似スレッド一覧]


↑キャッシュ検索、類似スレ動作を修正しました、ご迷惑をお掛けしました

1 名前：名無しさん＠お腹いっぱい。 [2015/11/30(月) 18:01:15.69 0.net]: 2015年12月3日に公開ベータ（Public Beta）が開始される予定の Let's Encrypt のスレです。

これは、いわゆる無料の SSL/TLS 証明書なわけですが、ブラウザ Mozilla Firefox を作っているモジラ財団とか、
ネットワーク機器大手のシスコとか、ネットワークインフラ大手のAkamaiとかが出資している大規模なプロジェクトなので、
途中で有料化したり、サービス停止になったりする心配もありません。

さらに、全ブラウザにルート認証局として入っているアメリカの最大手CA IdenTrust の傘下の証明書という扱い（クロスルート）になったので、
クローズベータをやっている現時点でも、全ブラウザに対応しているという神証明書です。

はっきりいって、IdenTrust の証明書をけっているブラウザなんて考えられないので、ジオトラストとかのドメイン認証証明書と同格以上の証明書が
無料で手に入ることになります。

明々後日からは、専用クライアントをダウンロードして、コマンドを実行するだけで、VPS など root 権限があるサーバとドメインがあれば証明書が入手可能なので、
期待しておきましょう。

もう、SSL/TLS の証明書にお金をかける時代はおわったのです（ただし、実在証明を含むEV証明書を除く）

【Let's Encrypt 公式サイト】（英語）
https://letsencrypt.org/

【Let's Encrypt 公式Twitter】（英語による最新情報）
https://twitter.com/letsencrypt

【Let's Encrypt 総合ポータル】（日本語）
https://letsencrypt.jp/

【Let's Encrypt 導入方法】（日本語）
https://letsencrypt.jp/usage/
411 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/03/14(月) 22:01:58.97 0.net]: >認証局に送信されて電子署名されるのは公開鍵とCSRだけで、秘密鍵も秘密鍵のハッシュも認証局には送信されない
この下りは解釈の仕方だろうけど、認証局に送られて署名されるのは CSR (署名要求証明書) だけでしょ。
もちろん CSR の中には公開鍵の情報も含まれているから間違いでは無いような気もするけど誤解されそう。
412 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/03/15(火) 00:44:42.69 0.net]: >>399
> CSR (署名要求証明書)

まぁ、解釈の仕方で技術的な話ではないけど、CSR は Certificate Signing Request つまり署名要求なわけで、
「この公開鍵に署名してくださいねー」と認証局に送るための署名要求、つまり手紙のようなもの

で、認証局がやるのは、公開鍵に署名してその公開鍵がそのドメインに属することを証明することなんだから、
「認証局に送られて署名されるのは『公開鍵』」という説明が分かりやすくて合理的なのでは？

CSRは署名してください、っていう手紙に過ぎない
413 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/03/15(火) 01:10:55.18 0.net]: そりゃCSRに署名だったらCN以外もCSR通りに署名してくれるだろw
414 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/03/15(火) 01:17:36.89 0.net]: >>400
CSR (署名要求証明書) ってかいた括弧の中がおかしかった。これは訂正。

言っていることは分かるし伝わる。結果として署名された公開鍵がくるわけだしね。否定する所も無い。
つまり、考え方、合理性の求め方が人それぞれ色々あるんだなと感じた。
もっとも俺がおかしいだけなのかも知れないがｗ
415 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/03/15(火) 16:35:36.26 0.net]: >>399
CSR（含む公開鍵）が認証局に送られるけど、署名されるのは公開鍵だけっしょ

例えば、Let's EncryptのCAに下記のCSRを送ったとする

コモンネーム: 2cher-no-oresama.jp
組織名: 2cher Co LTE
部門名: BBS Service
市区町村名: Tubo-City
都道府県名: Osaka
国別番号: JP
公開鍵: 公開鍵情報グダグダと長文で列挙

すると、Let'sのCAはCSRの組織名・部門名・市区町村名・都道府県名・国別番号を全部無視（削除）して証明書を発行する
何故ならば、単なるDV証明書でドメイン名しか認証できないのでコモンネーム以外は無視・削除する（ジオトラストとかのDV証明書も同様）

ってことで、CAが署名するのはサーバの公開鍵だけだ
もしCSR全体を署名するとするならば、CSRの記載事項（組織名とか部門名）を認証局が改ざんできないことになるけど、
実際には認証局が勝手に変更したり認証していない項目を削除したりする
416 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/03/15(火) 18:50:46.72 0.net]: CSR に署名って言うは俺の言葉足らずだったので訂正及び謝罪はしておく。

CSR に含まれる「公開鍵」に対し、DV 認証且つマルチドメイン対応だから CN 及び SAN の値以外を削除して署名する。
ということで。

大元に >>399 で俺が書いた引用部分
>認証局に送信されて電子署名されるのは公開鍵とCSRだけで
この部分への違和感は「署名されるのは公開鍵と CSR だけ」にあって、公開鍵は CSR に含まれるから
送信されるのは CSR だけでそこに含まれる公開鍵にのみ署名される
という事になる。
417 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/03/16(水) 17:07:29.78 0.net]: もうわかったから何度も同じこと繰り返し書かなくていいよ
続きはPKI勉強会スレでも立ててそっちでやってくれ
418 名前：名無しさん＠お腹いっぱい。 [2016/03/21(月) 12:59:37.25 0.net]: >>405 が怖いから、もう5日もレス無しじゃないか……

誰でもみんな最初は初心者なんだから、多めに見てあげてください
419 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/03/21(月) 13:44:13.46 0.net]: それが正常なスレの状態だ
スレ違いは他所でやれ
420 名前：名無しさん＠お腹いっぱい。 [2016/03/21(月) 23:04:08.48 0.net]: 基本的なことですみませんが証明書の透明性について、
よく分かってないので質問させてください。
Google ChromeのURLの隣の鍵マークをクリックして接続タブをクリックすると、
「証明書の透明性に関する情報はサーバーから提供されませんでした。」
と表示されるんですが、解決策をぐぐるとApacheの場合はmod_ssl_ct、
nginxの場合はnginx-ctを組み込む解決策が出てくるんですが、
これは通常webサーバーのほうで対応する問題なんでしょうか？
news.valuessl.net/?p=1418
こういう有料のところのを見てみると証明書発行側で対応しているように見えるのですが。
421 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/03/21(月) 23:16:05.58 0.net]: それはDV証明書以外なら出る
つまりそのサイトを作った奴が信用できるかってことだからLet's Encryptの管轄じゃない
422 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/03/21(月) 23:36:53.62 0.net]: >>409
OV証明書やEV証明書なら出ないということですかね？
ということは、webサーバー側でモジュール組み込んだりして
対応しているのは本来の解決法ではないんですね。
423 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/03/22(火) 01:15:25.14 0.net]: >>408
SCTのdelivery方法は3種類ある
1) CAが証明書にSCTを埋め込む(X.509v3 extension)
これならweb serverに特に何か設定する必要はない。有料証明書のCT対応は基本これ
だがLEは証明書にSCTを埋め込んでない(し、そうする予定はないと明言)
2) web serverのTLS extension
つまりmod_ssl_ctやnginx-ct
なおLEはCT Log serverにsubmitはしてるから、ct-submitは必要ない
3) OCSP stapling
CAが対応しないとNGで、LEはいずれ対応するかも知れないが現状まだ

>>409
色々間違いすぎで知識が古い
424 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/03/22(火) 01:45:06.74 0.net]: >>411
分かりやすく説明ありがとうございました。
説明のおかげで解決策に納得できました。
現状では2)でしか対応できないということですね。
425 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/03/22(火) 08:16:25.54 0.net]: >>411
こういうのってどこで覚えるのか、素直に教えてほしい
426 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/03/22(火) 11:15:07.25 0.net]: TLSサーバからクライアントにSCTを渡す方法は規格上は3つある

① TLSサーバ証明書のemvedSCT拡張に含める
② TLSハンドシェイクのsigned_certificate_timestamp型TLS拡張に含める
③ TLSハンドシェイクのstatus型TLS拡張のOOSP staplingに含める

ググったところ、実際に対応実装があるのは ① のみ（それも対応ブラウザは Google ChromeだけI)で、
それ以外の方法は実装例がないそうだけど、②や③に対応している環境はあるのか？
427 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/03/22(火) 12:07:34.49 0.net]: Chromeは2対応してる。確認済み。3はシラネ
428 名前：414 mailto:sage [2016/03/22(火) 12:12:26.37 0.net]: >>415
貴重な情報サンクス
このスレにも神（本物のエンジニア）が居たようだ。。。
429 名前：名無しさん＠お腹いっぱい。 [2016/03/23(水) 16:38:16.82 0.net]: Let's Encrypt の話じゃないが、無料SSLの StartSSL にドメイン認証不備の脆弱性があったようだ
blog.tokumaru.org/2016/03/startssl.html

証明書取得時のWebフォームで、認証用メールアドレスのパラメーター（下記のDOM）を書き換えることで、
任意のメールアドレスでの認証が可能だったとのこと。

<input name=
430 名前：名無しさん＠お腹いっぱい。 [2016/03/23(水) 16:38:53.53 0.net]: （2chの不具合で投稿が途中で切れたので続き）

<input name="ValidateEmails" type="radio" value="webmaster@example.com">

こういうWebアプリケーション製作の入門書にも載っているような低レベルな脆弱性があるとか、StartSSL は信用できん
やっぱ90日ごとの更新が面倒でも Let's Encryptの方がいいね
431 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/03/23(水) 21:31:47.02 0.net]: Let's Encrypt が面倒なのは最初だけ。
自動更新するようにシェル書いたらあと放置。
432 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/03/23(水) 22:26:49.34 0.net]: 最初の手順も、そこらのに比べれば楽だと思う。
433 名前：名無しさん＠お腹いっぱい。 [2016/03/25(金) 03:07:50.27 0.net]: >>418
クライアントから送られてくるデータを信用してはいけないと、
教科書に書いてありますね。
434 名前：名無しさん＠お腹いっぱい。 [2016/03/25(金) 21:02:38.02 0.net]: >>421
残業だらけで寝不足になってくるとセキュアなコーディングなんて心がける余裕はなくなってくるんだよ

時間が無いと、オブジェクト指向どころか、関数にすべきところをコピペして一部編集してコーディング、
ググって適当にでてきたコードをよく読まずに無理やりつなぎあわせて、エラーが出た場所だけとりあえず修正して間に合わせ
とにかく急いで完成させるようになるの

勿論、プロなのでできる限り穴がないようにするが、ところどころ抜けるのはやむを得ない
睡眠不足で過労死するよりはマシだろう

一番のWebアプリケーションの脆弱性対策は、教育ではなく労働環境の改善だと思う
セキュアなコーディングのやり方をプログラマーが知らないのではなく、それに気を配る時間がないというのが現実
435 名前：422 mailto:sage [2016/03/25(金) 21:04:57.01 0.net]: その点、非営利で趣味でやっているようなオープンソースのフリーソフトってのは
「美しいコード」「オ�
436 名前：uジェクト指向」「セキュアなコーディング」といった作者が拘りたいところに 時間を気にせずとことん拘れるから、場合によってはプロよりも良い物ができる 寝不足の中納期に無理やり間に合わせるような雑なコードとは違って、趣味のプログラミングなら 自分のやりたいペースでできるからね []: [ここ壊れてます]
437 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/03/25(金) 21:34:39.75 0.net]: おいスレタイ
438 名前：名無しさん＠お腹いっぱい。 [2016/03/31(木) 23:33:18.91 0.net]: βなのにトラブルとか全然なくてスレが盛り上がらない模様
439 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/04/01(金) 12:17:41.78 0.net]: いいことだ
440 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/04/01(金) 12:47:27.45 0.net]: 仕込んでた自動更新スクリプトが無事勝手に更新して反映してくれていた事を確認出来たのでもう放置ですわ。
441 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/04/03(日) 20:48:36.40 0.net]: これ、期限の何日前になったらメール送られてくるのかねー
スクリプトで回すから、一ヶ月毎に強制的に更新してればメール来ないんだろうけど
442 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/04/03(日) 22:52:01.98 0.net]: >>428
19日前と9日前にメール届いてる
443 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/04/03(日) 23:55:55.83 0.net]: >>429
なるほど
やっぱり隔月で更新でちょうどいい感じなのね
ありがと
444 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/04/05(火) 07:50:15.87 0.net]: 0日前（1日未満）メールも届いた！
445 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/04/05(火) 07:56:49.16 0.net]: 最後通牒だぬｗ
446 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/04/15(金) 22:39:46.28 0.net]: Windows10 + xamppで導入してみようと思ってletsencrypt.exeを落としてきて実行したんですが、

Which host do you want to get a certificate for: m
Enter a host name: hogehoge.com
Enter a site path (the web root of the host for http authentication): d:\DATA\htdocs
System.ArgumentNullException: 値を Null にすることはできません。
パラメーター名:collection
場所 System.Collections.Generic.List`1..ctor(IEnumerable`1 collection)
場所 LetsEncrypt.ACME.Simple.ManualPlugin.HandleMenuResponse(String response, List`1 targets)
場所 LetsEncrypt.ACME.Simple.Program.Main(String[] args)
Press enter to continue.

とエラーとなってしまいます。どなたか解決策が分かる方はいらっしゃるでしょうか？
447 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/04/15(金) 22:58:51.13 0.net]: >>396
同じ事が起こった
一つ上のドメインにはアクセス来ないのに、
存在してないサブドメインに対するアクセスがあるね
とりあえず418返してるけど
448 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/04/15(金) 23:21:57.68 0.net]: >>433
Windows以外の環境で証明書作る
わざわざやりづらいWinでやる必要はない
449 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/04/15(金) 23:35:04.04 0.net]: >>434
毒入れ？
450 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/04/16(土) 00:05:37.62 0.net]: >>436
なんか狙われてるって？(笑)
451 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/04/16(土) 02:18:15.04 0.net]: >>434
418で草
452 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/04/16(土) 03:15:01.02 0.net]: ステータスコード 418 I'm a teapot のページ探してみたらあった

https://www.google.com/teapot

てっきり無効なステータスコードとしてエラーになるかと思ったら、
RFCで定義されたステータスコードだけあって、ちゃんと主要ブラウザでエラーにならず問題なく閲覧できるんだね
453 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/04/16(土) 14:03:42.05 0.net]: てか大半のブラウザは不明なステータスコードとしてスルーしているだけだと思う
一部IEとかで404の時ブラウザ独自のエラー画面出すことがあるっぽいけど
普通は404でも403でも500でも何でもとりあえずサーバーから返されたHTML表示してるし
454 名前：名無しさん＠お腹いっぱい。 [2016/04/18(月) 19:02:54.08 0.net]: ベータ取れて正式版になったようだね

https://letsencrypt.jp/blog/2016-04-12.html

gigazine.net/news/20160413-lets-encrypt/
455 名前：名無しさん＠お腹いっぱい。 [2016/04/25(月) 02:35:42.29 0.net]: 2月の初めごろに証明書とった香具師、そろそろ更新の時期だから忘れずに更新しような！
456 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/04/25(月) 09:17:39.41 0.net]: ふつうに注意喚起のメール飛んでくるから、そういうのいらんです
457 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/04/25(月) 09:18:49.83 0.net]: あって困ることはない
458 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/04/25(月) 10:06:36.81 0.net]: ２回目の取得は自動スクリプトがちゃんと動いてるかどうかの確認に使うのがいい
459 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/04/25(月) 10:48:07.67 0.net]: 俺なんかスクリプトの記述を数文字間違えて、4日で更新しちまった事があるぜぃ

-ne と != は違うから気を付けような！(笑)
460 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/04/27(水) 18:00:16.35 0.net]: !rrbuild:age
461 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/04/27(水) 18:00:30.56 0.net]: 板復帰(NG!:Gather .dat file OK:NOT moving DAT 592 -> 592:Get subject.txt OK:Check subject.txt 592 -> 592:fukki NG!)1.15, 1.04, 1.00
age Maybe not broken
462 名前：名無しさん＠お腹いっぱい。 [2016/05/08(日) 23:53:04.44 0.net]: 証明書取得記念上げ
463 名前：集ストテク犯被害者必見！ [2016/05/09(月) 05:39:39.70 0.net]: [拡散希望！]
参考になりそうなURL送っておきます
電磁波による拷問と性犯罪
denjiha.main.jp/higai/archives/category/%E6%9C%AA%E5%88%86%E9%A1%9E
公共問題市民調査委員会
masaru-kunimoto.com/
この方たちは集団訴訟の会を立ち上げてマスコミに記事にしてもらう事を目的に集団訴訟を被害者でしようという試みを持っている方達です
訴訟は50人集めてしようという事なのですが50人で訴訟をすると記事に書けるそうです
記事には原発問題を取り上げてテク犯被害を受ける様になった大沼安史さんらが取り上げて下さるそうです
大沼安史さんがテク犯に遭っているという記事
ameblo.jp/hilooooooooooooo/entry-11526674165.html
大沼安史の個人新聞
onuma.cocolog-nifty.com/blog1/4/index.html
この方たちは電話相談等も受け付けている様で電話番号を載せている方達は電話かけ放題の契約をしていますのでこちらから電話して本人にかけ直してくれと頼むとかけ直してくれます
音声送信被害等を受けている「電磁波による拷問と性犯罪」の記事の水上さんは年金暮らしなので時間には余裕があるそうで宗教等に付随する集団ストーカー等の被害内容の話も聞いて下さいます
もう一人の電磁波犯罪には遭っていない国本さんという方は電磁波犯罪をしっかり理解されている方で年金暮らしの方なので長電話も大丈夫です
大沼さんはこちらのページからメールを受け付けておられる様です
onuma.cocolog-nifty.com/about.html
電話をかけたい場合は人によってはメールで電話番号を訊くと教えてくれると思います
この文章を見られた方は全文コピーをしてできるだけ多くの知り合いの被害者の方等にメールを送るなり被害者ブログに書き込むなりしていただければ大変有難いです
もし大勢の方に送る事が出来なければまだこの文章に触れていない知り合いの被害者に少しでも全文コピーで送っていただけるとその方が次の何人かの方に繋いで頂ける場合があり結果として大勢の方に見て頂く事が出来るはずです
ご協力よろしくお願い致します 👀
Rock54: Caution(BBR-MD5:f70dfdc711a7c6ae6accccb939f27fbf)
464 名前：名無しさん＠お腹いっぱい。 [2016/05/09(月) 20:06:24.10 0.net]: おせわになてる
https://twitter.com/kohnosuke/status/686895442739634177
465 名前：名無しさん＠お腹いっぱい。 [2016/05/11(水) 02:21:24.12 0.net]: Windowsで"sudo" is not availableってエラーが出るんだけど
466 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/05/11(水) 07:27:16.99 0.net]: 草
467 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/05/11(水) 11:23:30.66 0.net]: sudoいらんだろうけど、その後ろのコマンドは何を動かそうとしてんの？
Windowsでやったことないけど、↓これ使ったら
https://github.com/Lone-Coder/letsencrypt-win-simple/releases
468 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/05/11(水) 11:33:39.33 0.net]: あーあとSolarisの人はOpenCSWでいける
469 名前：名無しさん＠お腹いっぱい。 [2016/05/11(水) 15:27:54.09 0.net]: ☆ 総務省の、『憲法改正国民投票法』、でググってみてください。☆
日本国民の皆様方、2016年7月の『第24回参議院選挙』で、日本人の悲願である
改憲の成就が決まります。皆様方、必ず投票に自ら足を運んでください。お願い致します。
470 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/05/28(土) 12:54:37.67 0.net]: 公式のスクリプトって毎日更新されるね
日によっては複数回
471 名前：名無しさん＠お腹いっぱい。 [2016/06/04(土) 01:51:08.99 0.net]: 日本語ドメイン登録しようとしたらエラー出るんだけど、どうすればいいの？
472 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/06/04(土) 02:04:04.80 0.net]: 別の蔵使ってみる
473 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/06/05(日) 13:42:01.62 0.net]: OCSP stampingしたいときはどれを指定すればええんじゃ？
474 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/06/05(日) 13:53:06.81 0.net]: X3に署名されてるけどこれ用の証明書が見つからん
475 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/06/05(日) 14:29:12.29 0.net]: でけた
>>460-461は気にしないで
476 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/06/10(金) 16:10:21.33 0.net]: みなさんどんな感じ？
https://www.ssllabs.com/ssltest/
477 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/06/10(金) 21:45:22.95 0.net]: >>463
A+
478 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/06/10(金) 23:24:57.91 0.net]: 自分専用だーってセキュリティをガチガチにやりすぎると、
おかしな挙動として判定されてテストが完走できないｗ
479 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/06/10(金) 23:34:56.25 0.net]: 完走出来ないってそれって設定ぽしゃってるんじゃなくて?ｗ
480 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/06/10(金) 23:40:50.98 0.net]: どうなんだろ
まず認証かけてて、一定回数以内にパスしないだけでFWでシャットアウトだから…
たまに自分も締め出されるｗｗｗ
481 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/06/10(金) 23:52:00.28 0.net]: そら完走するわけがない
482 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/06/11(土) 00:15:29.12 0.net]: Let's Encrypt の話じゃないけど、apacheの設定もっと簡単に出来るようにならないかなぁ

confに許可する暗号と許可しない
暗号をずらずらかくと長たらしくてしょうがない
483 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/06/11(土) 00:24:48.39 0.net]: SSLProtocol all -SSLv2 -SSLv3
SSLCipherSuite HIGH:!aNULL:!eNULL:!MD5
SSLHonorCipherOrder on

これで十分やろ
484 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/06/11(土) 00:30:03.05 0.net]: こんなのがあるんですな
https://mozilla.github.io/server-side-tls/ssl-config-generator/
485 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/06/11(土) 03:44:27.84 0.net]: まあ、暗号化スイート列挙したりすると、
confの見た目が汚くてなって直感的になに書いてあるか把握しにくい
というのはわかる
そこは自動生成したものを使うのでコピペではあるのだけれど
486 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/06/11(土) 11:11:56.71 0.net]: うちはsslの設定部分だけをどこかに書いておいてconfからそれをincludeしてる
487 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/06/11(土) 11:25:51.42 0.net]: 何このメール
488 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/06/11(土) 11:27:40.39 0.net]: 書くところミスったんかな？
メールアドレスがアホみたいに大量に書いてある
489 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/06/11(土) 11:39:59.27 0.net]: 俺のメアドもあったな
こりゃオペミスで全アドレス流出ですかねwe've
490 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/06/11(土) 11:40:22.44 0.net]: we'veじゃなくてｗ・・・
余計な補完しなくていいのに
491 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/06/11(土) 11:45:20.30 0.net]: なかなかやばいな
俺は晒されても問題ないアドレスでしか登録しないから別にいいけど
492 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/06/11(土) 13:04:05.46 0.net]: 今までlet's encryptからメール来たことないんだけど…
証明書の期限1日前まで放置しててもお知らせメールとかなかったし
今回のお漏らしメールも来てないし
493 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/06/11(土) 13:17:03.62 0.net]: おま環
494 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/06/11(土) 17:00:10.22 0.net]: これみたいですね
https://community.letsencrypt.org/t/email-address-disclosures-preliminary-report-june-11-2016/16867
前代未聞というか、だいぶまずい気がするけどどう対応するんだろう
495 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/06/11(土) 17:47:20.18 0.net]: 対応のしようがないだろ
どうするってんだ？
496 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/06/11(土) 17:54:12.47 0.net]: ac.jpなんかで作るなよ
497 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/06/11(土) 17:57:01.30 0.net]: 俺のもぎりぎり入ってるんだなあ
別に問題はないけどどうするのかは気になる
498 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/06/11(土) 18:15:36.50 0.net]: 手違い自体はまずいだろうが……。

SSL証明書なんだからドメインはだいたい公知、
ローカルパートは postmaster とか info とかその手のものなんじゃないの、普通。
499 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/06/11(土) 18:18:29.65 0.net]: 手違いじゃなくてバグだってさ
途中で止めたから7200件くらい漏れたとか
500 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/06/14(火) 06:44:42.11 0.net]: ここから漏れるとは想定してなかったわ。
どうやってアドレス変更するんだ。
501 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/06/14(火) 08:00:54.79 0.net]: スレチ
502 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/06/14(火) 08:16:30.03 0.net]: 適当なgmailを取ってた俺が勝ち栗
503 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/06/14(火) 09:42:13.87 0.net]: 10minutemail使ってたから無問題
504 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/06/14(火) 09:42:52.40 0.net]: >>490
むしろそれは問題だ
505 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/06/14(火) 09:51:54.50 0.net]: >>491
期限過ぎても仕様書が上がってこなかったせいで、程なくして企画ごとなくなったからへーきへーき
506 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/06/14(火) 10:40:48.35 0.net]: >>463
Ｆ

sudo yum update openssll 実行して sudo service httpd restart したら A+ になったわ

OpenVZのVPSだから、全体的にyum updateできないのよね

助かったわー n ∧＿∧
　　 (ﾖ（´∀｀　） Thanks!
　　　Y 　　　つ
507 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/06/14(火) 10:43:38.41 0.net]: うちはA+だなあ
どのドメインをメインにしてどれをSNIにするか選べないのかしら
508 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/06/14(火) 11:46:14.77 0.net]: HSTSを有効にしなければAが限界
HSTSを有効にすれば多分A+になる
509 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/06/14(火) 11:52:01.89 0.net]: 有効にしないメリットって？
510 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/06/14(火) 12:26:43.19 0.net]: >>496
httpとhttpsで違うものが表示されるようにしてたらHSTSで酷い目にあったことならある。
今では反省してる
511 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/06/14(火) 12:27:58.91 0.net]: リダイレクトしとけよ・・・

[ 続きを読む ] / [ 携帯版 ]

read.cgi ver5.27 [feat.BBS2 +1.6] / e.0.2 (02/09/03) / eucaly.net products.
担当:undef