【全ブラウザ対応】　無料SSL/TLS　Let's Encrypt

[表示 : 全て最新50 1-99 101- 201- 301- 401- 501- 601- 701- 801- 901- 1001- 2ch.scのread.cgiへ]
Update time : 11/25 13:56 / Filesize : 264 KB / Number-of Response : 1030
[このスレッドの書き込みを削除する]
[＋板最近立ったスレ＆熱いスレ一覧 : ＋板最近立ったスレ／記者別一覧] [類似スレッド一覧]


↑キャッシュ検索、類似スレ動作を修正しました、ご迷惑をお掛けしました

1 名前：名無しさん＠お腹いっぱい。 [2015/11/30(月) 18:01:15.69 0.net]: 2015年12月3日に公開ベータ（Public Beta）が開始される予定の Let's Encrypt のスレです。

これは、いわゆる無料の SSL/TLS 証明書なわけですが、ブラウザ Mozilla Firefox を作っているモジラ財団とか、
ネットワーク機器大手のシスコとか、ネットワークインフラ大手のAkamaiとかが出資している大規模なプロジェクトなので、
途中で有料化したり、サービス停止になったりする心配もありません。

さらに、全ブラウザにルート認証局として入っているアメリカの最大手CA IdenTrust の傘下の証明書という扱い（クロスルート）になったので、
クローズベータをやっている現時点でも、全ブラウザに対応しているという神証明書です。

はっきりいって、IdenTrust の証明書をけっているブラウザなんて考えられないので、ジオトラストとかのドメイン認証証明書と同格以上の証明書が
無料で手に入ることになります。

明々後日からは、専用クライアントをダウンロードして、コマンドを実行するだけで、VPS など root 権限があるサーバとドメインがあれば証明書が入手可能なので、
期待しておきましょう。

もう、SSL/TLS の証明書にお金をかける時代はおわったのです（ただし、実在証明を含むEV証明書を除く）

【Let's Encrypt 公式サイト】（英語）
https://letsencrypt.org/

【Let's Encrypt 公式Twitter】（英語による最新情報）
https://twitter.com/letsencrypt

【Let's Encrypt 総合ポータル】（日本語）
https://letsencrypt.jp/

【Let's Encrypt 導入方法】（日本語）
https://letsencrypt.jp/usage/
596 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/07/08(金) 13:54:28.29 0.net]: >>579
証明書がほしいのではなくhttpsやh2やりたい場合が多いでしょ
特にこんなサービスではね
597 名前：名無しさん＠お腹いっぱい。 [2016/07/08(金) 14:01:22.68 0.net]: きちんとした証明書がほしいならEV一択だわ
それが不要なら格安系やLet'sのDVで十分

一般人は証明書の検証方法を知らないんだから（知っている人は1%も居ないだろうね、IE6のシェアより低いかも）、
今のブラウザのUI的にOVなんて中途半端で無意味
598 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/07/08(金) 14:18:43.49 0.net]: 無料で証明書取れるのは良いけど、最低限勉強しとけ話しだな。
599 名前：名無しさん＠お腹いっぱい。 [2016/07/09(土) 03:54:40.52 0.net]: 先月30日までにIPv6完全対応化するってアナウンスしてたのが8月31日まで延期に
その他、日本語ドメインのサポートは8月31日までが11月30日まで、ECDSA中韓証明書サポートも年度末まで延期
https://letsencrypt.org/upcoming-features/

サボってるんじゃね？
このままドロンとか
600 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/07/09(土) 09:00:43.66 0.net]: お前がそう思うならそうなんだろうな
お前の中ではな
601 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/07/09(土) 09:30:57.40 0.net]: Let's Encrypt Subscriber Agreement updateされるそうかんだが
まだ頭が眠ってるようで頭に入ってこない
結局何が変わるの？
602 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/07/12(火) 21:09:30.85 0.net]: Let’s EncryptのSSL証明書で、安全なウェブサイトを公開
ttp://knowledge.sakura.ad.jp/knowledge/5573/

Web鯖導入、ポート開放、証明書生成・参照、自動更新および
設定のバックアップまでの流れ。

エンジニア向けで10～20分の作業を想定しているので難易度は
低くはないだろうが、うまくはまれば15時間＋αの苦労を
せずに済むはず。
603 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/07/13(水) 02:47:17.84 0.net]: 15時間かける阿呆とか現実にはいないから
604 名前：名無しさん＠お腹いっぱい。 [2016/07/13(水) 10:01:00.32 0.net]: >>587
わざわざそんな手間暇かけて自分でやるとか、社会人からすると考えられん
そういう作業を自分でやるやつって、パソコン買うときも完成品買わずにBTOとか自作とかやるんだろうな

さくらなら、たった2万で「apache」や「Microsoft IIS」の
・SSL通信の利用に関するmod_sslのインストール
・CSR/秘密鍵の生成、
・証明書のインストール
を全部やってくれる

https://ssl.sakura.ad.jp/setup.html

勉強時間まで考えると外注に出した方が合理的だ
605 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/07/13(水) 10:12:45.49 0.net]: スレチ
606 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/07/13(水) 10:44:22.86 0.net]: >>590
他にSSLのスレ無いんだしちょっとぐらいのすれ違いはやむを得ないんじゃね

この過疎板でSSL総合スレとか別スレ立てても殆どレスが付かず板汚しになるだけだしｗ
607 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/07/13(水) 10:52:04.05 0.net]: SSLやりたいけど、サーバーの知識ほとんど無いからなーって人結構ここにいるんだね
見てる人、みんな何かしらApacheとかphpとかある程度触った事あるイメージなんだけど

下手したらターミナル叩いたことない人もいるんじゃ・・・
608 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/07/13(水) 11:02:52.14 0.net]: 俺も大昔は自宅ローカルにapache+php+mysql環境作ってたけどここ数年はレンタルサーバOnlyでターミナルの叩き方とか忘れたｗ
昔はPerlとかphpとかでプログラミングする際にはローカルに実行環境用意する必要あったけど　今は普通にレンタルサーバでデバッグできるからね

現にVALUE SERVERとかさくらとかロリポとかで、cgi実行→エラー→修正→実行を数百回繰り返してもサーバ会社からクレームが来たりしないのでレンタルサーバとテキストエディタでphpプログラミングができる
プログラムが間違って無限ループしてプロセスが暴走したりしても、CPU使用率などがアカウントごとにきちんと制限・制御されているから他のユーザーに迷惑もかからんし、30秒とかで勝手にkillしてくれる

ちなみに10年ちょっと昔はそういうのは許されず、「他の利用者の迷惑になるので、開発段階のプログラムのテスト実行などにレンタルサーバを使用するな」とサーバ会社から警告メールが届いたりアカウントBANされた
当時はアカウントごとの負荷制御どころかSuEcecの導入すらままならず他のユーザのファイルにcgi経由でアクセスできるのが当たり前で、cgiが暴走したらサーバ全体のload average急上昇で大変なことになってた
609 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/07/13(水) 11:04:17.29 0.net]: 誰も聞いてねえよ
610 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/07/13(水) 12:10:02.81 0.net]: アフィ野郎まだいるのかよ
その貴重なお時間を割いてまでこんなスレでレスバトルして下さるとは
611 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/07/13(水) 16:44:37.48 0.net]: >>591
>他にSSLのスレ無いんだしちょっとぐらいのすれ違いはやむを得ないんじゃね
自宅鯖板にあるからそっちでやれ
612 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/07/13(水) 17:49:14.05 0.net]: >>596
自作鯖板で専用サーバとかVPSにSSL入れる話とか、スレ違いではなくても板違いだろｗ
スレ違いも板違いも団栗の背比べだよ
613 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/07/13(水) 18:24:58.91 0.net]: アフォは専鯖借りてサポートに聞け
自分で出来る奴はググってわからないところだけ2chで聞け
614 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/07/13(水) 19:10:35.92 0.net]: >>589
自作PCとか1時間も無くて作れるが？
615 名前：名無しさん＠お腹いっぱい。 [2016/07/13(水) 20:01:19.89 0.net]: >>599
お前はツクモとかドスパラとかの社員か？
何百台作ったらそんな早くなるんだ？
616 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/07/13(水) 20:32:02.11 0.net]: 自作PCとかスレチ
TLSの導入がhttpdの設定を含めて1時間でできるかどうかの方が重要
617 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/07/13(水) 20:52:49.86 0.net]: httpd()
鯖とまともなネット回線とドメインくれれば一時間で終わらせられるわ
618 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/07/13(水) 21:09:51.65 0.net]: CSR送って帰ってくるのも早くなったしな。
619 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/07/13(水) 21:46:28.12 0.net]: んなもん五分もかからんだろ。
620 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/07/13(水) 21:59:14.96 0.net]: 1時間かかるとかいったい何をやってるんだ？理解に苦しむ
621 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/07/13(水) 22:18:59.84 0.net]: きっとyumのアップデートで50分くらい掛かるんだろう
622 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/07/13(水) 22:21:59.28 0.net]: なんの話してんのや
自己満足に浸りたのか？
623 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/07/13(水) 22:29:50.18 0.net]: >>606
確かにうちの鯖はCentOS入れてyum updateしたら1時間じゃ足りない・・・
意外な盲点だった
624 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/07/13(水) 22:36:04.01 0.net]: 更新スクリプトなんで標準環境で動かないようなpython使ってるんだろう
625 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/07/13(水) 22:40:29.51 0.net]: >>609
サードパーティ製のがいくらでもあるでしょ
626 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/07/14(木) 08:04:53.60 0.net]: yumで一時間て、お前らどんなサーバー使ってんの？自宅でダイヤルアップって時代じゃねーだろ
627 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/07/14(木) 17:01:42.05 0.net]: カーネルのカスタムまでやり始めるとビルドが1時間じゃ終わんねえな
628 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/07/14(木) 17:02:42.63 0.net]: >>611
CelM@1.46Ghz+256Mでつ
629 名前：名無しさん＠お腹いっぱい。 [2016/07/14(木) 18:13:19.49 0.net]: >>613
メモリ256MBって……
今時スマホですら3GBが当たり前だぞ？
サーバならCPUはXeon、メモリは最低32GB（普通は64GB）積むのが常識だろ

極限までデータベースをチューニングするよりも、DBとクエリキャッシュを丸ごと物理メモリに入れる設計の方が
開発人件費も節約できて合理的だわ
630 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/07/14(木) 18:16:04.32 0.net]: >>614
常識ってなんだろうな
スレチだからさっさと帰れよ
631 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/07/14(木) 18:25:22.78 0.net]: >>614
> 今時スマホですら3GBが当たり前だぞ？
一部のハイエンド機以外は2GBが一般的だしローエンド機では1GBもちょくちょくある
> サーバならCPUはXeon、メモリは最低32GB（普通は64GB）積むのが常識だろ
let's encrypt使う層とそんな化け物マシン使う業務層とはあんまかぶらないと思う
個人層の多いさくらVPSやconohaの1GBプラン同等が普及帯だと思うんですが
ラズパイや古いPCで自宅鯖もあるでしょうに
(釣られた?)

まあラズパイでもアップデートに1時間もかからんしメモリー256MBはさすがに卒業しないときつそう
632 名前：614 mailto:sage [2016/07/14(木) 18:28:36.05 0.net]: >>615
> 常識ってなんだろうな
俺は社内でSEとして自社サーバの管理やってるし、転職3回もしたから広く業界全体のことを知っている
換言すると業界の「常識」を知っているのよ
そのうえで、ここ最近でメモリ32GB未満のサーバなんて見たことも無いので、メモリ32GB以上が常識だと書いているわけ
633 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/07/14(木) 18:29:05.52 0.net]: i.imgur.com/9CC0vpb.jpg
634 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/07/14(木) 18:29:33.77 0.net]: >>617
はいはいそうですか
誰が業界なんて言ったんですかね
635 名前：614 mailto:sage [2016/07/14(木) 18:32:04.77 0.net]: >>616
> let's encrypt使う層とそんな化け物マシン使う業務層とはあんまかぶらないと思う
> 個人層の多いさくらVPSやconohaの1GBプラン同等が普及帯だと思うんですが
なるほど、個人で使っている人もいるのか
弊社の場合、本システムの開発段階や、バックエンド鯖に導入してシステムの通信に使う証明書として使ってたから
個人が使う用途というのは想定してなかったわｽﾏﾝ
636 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/07/14(木) 18:33:32.92 0.net]: 逆にあのスペックを企業が使ってるわけ無いでしょ
わかってて言ってるんだから相手する必要ない
637 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/07/14(木) 18:34:39.47 0.net]: >>617
自称業界人はすっこんでろって話です
今時物理サーバなんて流行らない
IIJですら専用サーバサービス終了するってよ
638 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/07/14(木) 18:37:42.04 0.net]: わざわざ2chまで来て自分自慢しちゃう時点で自称が天皇だろうとニートだろうと同じだわ
さっさと帰れアホ
639 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/07/14(木) 18:38:03.98 0.net]: メモリ256MでLet'sのpythonクライアントが動かないと文句つけるとか、ただのクレーマーだろ

お前は知らんかもしれないが、鍵ペアの生成とか検証にはある程度負荷がかかるもんだし
その過程の処理データはセキュリティ上の都合でSSD/HDDには保存不可（キャッシュやスワップ禁止）、揮発性メモリにのみおかれるように設計されているんだよ
一時的にでもHDDにスワップしちゃったら残留磁気などにより情報が漏れる可能性があるからね

勿論、完成した秘密鍵はSSD/HDDに設置されるわけだけど、それは話が別
おかれた秘密鍵はファイル単位で安全にワイプ消去が可能だけど、その鍵を生成する過程のデータの残骸をHDDにまき散らすのは不適切な設計なの

ってことで、Let'sのpythonクライアントがメモリが少ない環境で動かないのはやむを得ない
640 名前：613 mailto:sage [2016/07/14(木) 18:38:49.73 0.net]: >>624
ん？俺は文句なんぞ言ってないぞ
こんな環境もあるって話をしただけでその話だした本人ではないし
641 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/07/15(金) 01:00:07.07 0.net]: 勉強のために個人で使ってます
最初はXAMPPのオレオレ証明書からはじめて、
この前EC2で初めてLet's~をいれてみた

俺環境の時にググりながら作った鍵ファイルとかと、手法が結構違うなーと思った
642 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/07/18(月) 00:22:40.36 0.net]: >>622
専鯖ユーザはラック借りるほどの規模じゃないんだからクラウドに巻き取るのもアリ
物理鯖が流行らないとまで言い切るのはおつむが足りない
643 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/07/18(月) 01:41:19.40 0.net]: >>627
一般人ごときが「アリ」だっておｗ
儲からない（流行らない）からサービス終了するんだ
644 名前：よ 物理サーバはどんどん減ってる 現実を知らずに妄想も甚だしいわｗ []: [ここ壊れてます]
645 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/07/18(月) 02:24:45.08 0.net]: let's encryptでCSR使うのってどんな時が考えられるんだろうか。
秘密鍵自作したい時ぐらい？
646 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/07/18(月) 02:42:52.32 0.net]: 物理鯖減ってるかなぁ。
俺の客だと、ラックごと借りて、物理3台ストレージ2台で、その上に仮想4台が標準だから、
DCか現地に納品じゃなくて、仮想マシンだけ鯖屋から借りるって選択肢自体がありえないくらいだが。
鯖屋から同じ構成の物理サーバ借りる事は稀にあるけど。
ウェブなんかの安いシステムは知らんが。
647 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/07/18(月) 07:18:15.25 0.net]: うちも両方使うことの方が多いな
物理鯖がなくなるなんて言われてたけど用途によると思う
648 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/07/18(月) 07:35:12.54 0.net]: >>629
?
秘密鍵は自分の側で作ってるだろ。CSRを送って署名されて返ってくる。
ぜんぶスクリプトがやってくれるが。
649 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/07/18(月) 07:54:56.97 0.net]: >>629
LetsでCSRを使う機会はないよ
650 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/07/18(月) 08:19:20.02 0.net]: 今のところ，楕円曲線暗号な証明書を作るとき．
qiita.com/Tsu
651 名前：tomuNakamura/items/e2e7be7c1f4d1638454d []: [ここ壊れてます]
652 名前：629 mailto:sage [2016/07/18(月) 13:59:18.42 0.net]: >>634
やっぱり今の所それぐらいですかね～。
ありがとうございました。
653 名前：名無しさん＠お腹いっぱい。 mailto:age [2016/07/19(火) 14:48:00.39 0.net]: まぁそんなとこだな
654 名前：名無しさん＠お腹いっぱい。 [2016/07/22(金) 16:10:48.08 0.net]: ですです
655 名前：名無しさん＠お腹いっぱい。 [2016/07/27(水) 20:38:12.62 0.net]: IPv6対応記念age
656 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/07/28(木) 13:03:04.51 0.net]: 日本語TLDって対応してたっけ？
657 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/07/28(木) 13:17:13.81 0.net]: 少なくとも公式蔵じゃだめだったな
Internationalized domain names are not presently supported: example.コム
658 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/07/28(木) 16:20:06.52 0.net]: わかりきってたけど一応やってみた
Punycode domains are not presently supported: example.xn--tckwe
659 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/07/31(日) 15:49:31.76 0.net]: ここは優しいスレであることを願って助けを求めに来ました。
質問スレを見つけることができず、ここへ投下させていただきました。ダメならすいません。

いくつかのデータセンターの専用サーバー(Debian/CentOS)には導入できたのですが、自宅サーバーで導入できず悩んでます。
他の質問サイトに投稿したのですが、回答がつかず、見かねた人が声をかけてくれたのですが現在お手上げ状態です。
ドメイン認証なので動的IPでも行けると思ってますが、固定IP必須ならその時点でアウトです。

●トラブル内容：自動でこけてるのでmanualでやっています。
# ./letsencrypt-auto certonly --manual --manual-public-ip-logging-ok -d #MyDomain# --server HTTPS://acme-v01.api.letsencrypt.org/directory
とりま、これで新規認証？を作りました。キーファイルを書き込めと出るので、ドキュメントルートに移動して
# printf "%s" sWwMGNwLSim# Keys here #TNWLCDSq67TvE > .well-known/acme-challenge/sWwMGN#Filename Here#Bi5yJhdTI
としました。その後、VPNで外部の環境からや、4G環境のスマートフォンなどから
# #MyDomain#/.well-known/acme-challenge/sWwMGN#Filename Here#Bi5yJhdTI
letsencryptで指示されているここへアクセスし、問題なく
中身である「sWwMGNwLSim# Keys here #TNWLCDSq67TvE」が表示されていることを複数の環境で確認しました。
しかしエラーで接続ができないといわれてしまいました。
「Failed authorization procedure. #MyDomain# (http-01): urn:acme:error:connection :: The server could not connect to the client to verify the domain :: Could not connect to」

しかし、ルーターのファイヤーウォール記録にも、これへのリクエストと思われる記録はなく、(ファイヤーウォール切っても変わらず)
またサーバー側のアクセス記録、エラー記録にもこのファイルにも、アクセスしようとした記録がありませんでした。
このサーバーのIPは動的ですが記録上半年以上変わっていないので、DNSが反映されていないとも考えにくいなというところです。
何か思い当たる原因有りませんでしょうか。よろしくお願いします。
660 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/07/31(日) 16:12:04.63 0.net]: https://letsencrypt.org/getting-started/
熟読しましょう
自宅鯖のOSくらい書きましょう
インストール
CentOSの場合
https://certbot.eff.org/#centosrhel7-other
Debianの場合
https://certbot.eff.org/#debianjessie-other
証明書の取得
動いてるウェブサーバー止めて80と443が開いてることを確認したら
#certbot certonly --standalon
661 名前：e -d example.com -d www.example.com []: [ここ壊れてます]
662 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/07/31(日) 16:15:06.16 0.net]: あとstackoverflowに書いてる数々のくだらない質問は無意味だしわけわからんのでさっさと消しときなさい
663 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/07/31(日) 16:19:54.94 0.net]: >>643
すいません、それで解決できればおそらく悩んでないです・・・ほんとすいません。
VPS(CentOS/Debian)や専用サーバー(WindowsServer/Debian/CentOS)で、同じドメインのサブドメインをいくつか登録していますが、そちらは何も問題なくLetsencryptのSSLを使えています。
なので違いは動的IPであり、ルーターを介している事、ぐらいかと思うのですが、ルーターにもサーバーにもアクセス記録は無く、
このドメインのDNS情報が正しく伝わっていないのではないか、と思うのが正直なところですが、他の監視サービスは問題なく監視されていて、それらのログは残っています。

OSはDebianです。
664 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/07/31(日) 16:24:33.12 0.net]: 動的IPでも関係ない
そのときにドメインがそのIPに繋がればいい
上位のルーターに何か問題があるのでは？
665 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/07/31(日) 16:38:11.27 0.net]: >>646
ルーターの設定をもう一度再確認してみます。

元々はGeoTrustのSSL証明書でSSL(443)でも平文(80)でもアクセスできる環境でして、
特にトラブルなく動いているためポート開放等も問題ないはずなのですが。。
原因不明すぎて悩みます。とりまもう一度ルーターの設定見直します。
666 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/07/31(日) 17:19:53.97 0.net]: 馬鹿だって喧伝したいだけだろ
667 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/07/31(日) 17:24:45.21 0.net]: >>648
すいません、煽りたいのは分かりますが、真剣に謎で困ってます。
Type: connection
Detail: Could not connect to mydomain.com/.well-known/acme-challenge/#KEY FILE#
と言われるが、外部接続テストサービスを使っても、私所有の他サーバーからcurlなどしても正常に開くことができるのです。
しかし、certbotは上記エラーを返すため、原因が分からない状況なのです。
668 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/07/31(日) 17:28:51.12 0.net]: 例示にそんなドメインを使う時点でRFCも読んでない常識無しだってわかるし
669 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/07/31(日) 17:37:44.97 0.net]: そもそもなんでマニュアルでやらず自動でコケるところを直して自動でやったほうが
670 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/07/31(日) 17:58:50.18 0.net]: >>651
日本語でOK
671 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/07/31(日) 18:08:09.76 0.net]: >>650
色々すいません、確かにそのドメインは相応しくなかったです
i.imgur.com/6MQH7CC.png (外部サーバーではOKの様子備考)
とりあえずあまり一人で占有するのもよくないので一旦引こうと思います。
似たような事があれば経験されている方の俺もあった談が出てきてもおかしくないのですが、
出てこないという事は私の環境の問題で、何が悪いか見つけられていないだけ、のようなので、私宛の書き込みがなければROMります。
私宛になにか書かれていればすいません、書き込みます。
解決した際にはその油脂だけ投下しにきます。色々と申し訳ないです。

>>651
何故だめなのかトレース踏まえ手動にしたところ今に至ります。
自動も手動でも同じエラーが出て「Detail: Could not connect to (URL)」となるので
そのURLに外部サービス含めていろんな手段でアクセスを試みますが、どれも200 OKなので詰んでる状況ですね。
672 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/07/31(日) 18:37:40.24 0.net]: スマホや外部からはサーバーにアクセスできてるのにLEからはアクセスできてない(LEからのアクセスはログにも残ってない)ってことか

ところでドメインはIPv6のIP設定してる?(AAAAレコードある?)あったら外部からIPv6でもサーバーにアクセスできてる?
673 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/07/31(日) 22:54:35.66 0.net]: この板で質問者を認識しやすくするために臨時トリつけようとかぐらい思わんのかね
名前欄に数字突っ込むだけでもだいぶ整理つくのに

他の質問場所とマルチしてるくさいしいやだいやだ
674 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/07/31(日) 23:21:57.80 0.net]: 誰が質問者かとか判別できるでしょそんなに問題がたくさん出てきてるわけじゃないんだし
やったほうがいいかもしれないがやらなくても全く問題ない
675 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/08/01(月) 08:57:17.74 0.net]: 動的IPってことだから同じダイナミックDNS使ってる人が証明書取りまくってて
rate limitに引っかかってるのかなあ……
676 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/08/01(月) 11:01:38.30 0.net]: そりゃ、そう言うエラーメッセージでるだろ。
677 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/08/01(月) 13:46:54.20 0.net]: 中から外に送ってるIPアドレスがプライベートなんだろ
678 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/08/02(火) 15:50:20.84 0.net]: ここでSSLテストすると証明書が駄目だという
ttps://www.cman.jp/network/support/nslookup.html
679 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/08/02(火) 16:09:37.34 0.net]: そこは中身化石だから気にしなくていい
ssllabで見とけ
680 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/08/02(火) 16:09:42.25 0.net]: そこは中身化石だから気にしなくていい
ssllabで見とけ
681 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/08/02(火) 16:09:59.07 0.net]: 失礼、連投してしまった
682 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/08/02(火) 16:11:55.33 0.net]: ssl化すると
ノートンとverisignのマークが出るん？
683 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/08/02(火) 16:37:11.58 0.net]: EV-SSLならね
こことは関係ない話
684 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/08/02(火) 17:59:49.15 0.net]: >>665
ここのssl入れると何がいいのさ？
も少し教えてくれよ。
685 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/08/02(火) 18:10:48.59 0.net]: 自分で調べて
別に俺はLet'sEncryptの営業マンでもなんでもないから
使いたくなきゃ使わなくていい
686 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/08/02(火) 22:40:30.81 0.net]: EV-SSLって、実際どうなのかね。
最近は社内LANアクセスだとSSLデコードかましてる企業が多くて、緑色バー(笑)の表示されないところも多いしびみょいような。
個人向けは依然として有効かもしれないけど。
687 名前：名無しさん＠お腹いっぱい。 [2016/08/03(水) 16:13:44.08 0.net]: >>660
シーマンのチェッカー、問題点が多すぎて迷惑なゴミチェッカーだから使わない方がいい
1つや2つじゃなくて、書ききれないぐらい問題があるゴミチェッカーで信頼性も低い
脆弱な暗号スイートの判定とかもおかしすぎる

悪いこと言わないから　https://www.ssllabs.com/ssltest/　使え
688 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/08/03(水) 16:25:11.04 0.net]: あの会社のサービス自体IP返してくれるやつ以外まともに使えない
689 名前：名無しさん＠お腹いっぱい。 [2016/08/08(月) 20:52:09.14 0.net]: EV証明書が個人や個人事業主でも取れるようにしてくれ
確認方法は銀行に口座作る時みたいな感じでいいから
690 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/08/08(月) 20:53:05.07 0.net]: それができないからこそEVSSLの価値が出る
ホイホイ取れたらそれはそれで困る
本物というだけでなくEVSSLを取得できているという点の評価もあるわけだから
691 名前：名無しさん＠お腹いっぱい。 [2016/08/08(月) 21:12:40.91 0.net]: エセ左翼の目的は、わざと突っ込みどころが多い主張をすることで自分たちへ注意を向けさせ、
カルトへ向かう非難の矛先を逸らすこと。
国益に反することを言ったり、主張が食い違うもの同士の対立を煽ろうとするので放置し難いが、
主義思想についての洗脳を受けているわけではなく、フリをしているだけなので、
言い負かされてもダメージを負った様子もなく、論点をすり替えられるかスルーされる。
まともに相手をしてはならない。
692 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/08/08(月) 22:35:04.18 0.net]: 取れるもんなら取ってみたくはあるが
まあどうせ大半の人は南京錠すら確認しないからいいかなとも思う
693 名前：名無しさん＠お腹いっぱい。 [2016/08/09(火) 03:43:13.27 0.net]: 個人でも政治に絡むもののみ（国会・市町村議会議員、政治団体など）でいいんじゃね？
緑アドレスバーに「政治結社○○○○會[JP]」か…

逆にEV証明書は理論上暴力団でも取れる方が問題だと思うが

「六代目山口組[JP]」
「神戸山口組[JP]」
「稲川会[JP]」
「住吉会[JP]」
「五代目工藤會[JP]」
694 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/08/09(火) 07:57:04.91 0.net]: 理論上取れても実際に取れないので全く問題ない
695 名前：名無しさん＠お腹いっぱい。 [2016/08/09(火) 13:36:56.94 0.net]: >>676
EVの審査はマニュアル通りに行われるから、取れるんじゃない？
それにEV証明書の目的は実在の組織とWebサイトの運営者を明確に関連付けることだから問題無し
696 名前：名無しさん＠お腹いっぱい。 [2016/08/09(火) 13:37:54.09 0.net]: EVだとブラウザのアドレスバーに組織名・団体名が表示されるんだから
ユーザーがその組織・団体を自分が信頼するかどうかを考えれば良いだけ
697 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/08/09(火) 15:26:12.49 0.net]: EV証明書は個人でも国会議員や候補者だけは認めてほしい
なりすまし対策に有効じゃん
698 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/08/09(火) 17:05:20.04 0.net]: 政治団体で取れば良いじゃん
699 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/08/10(水) 19:27:35.69 0.net]: 国会や地方議会議員とそれらの候補者ってのは重い責任負ってるんだから

「○○党○○県第○区選出衆議院議員　○○○○[JP]」
「○○党○○県比例選出衆議院議員　○○○○[JP]」
「○○党○○県選出参議院議員　○○○○[JP]」
「○○党全国比例選出参議院議員　○○○○[JP]」

「東京都知事　小池百合子[JP]」
「おおさか維新の会所属大阪府知事　松井一郎[JP]」

「東京都知事候補者　マック赤坂[JP]」

の方が理想的

確かEVは違った表示名は認められてないよね？
政治絡みはなりすまし防止の観点から個人でも認めた方がいい。
700 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/08/11(木) 23:23:10.42 0.net]: そうですか。
701 名前：名無しさん＠お腹いっぱい。 [2016/08/15(月) 23:25:56.26 0.net]: Let's Encryptの証明書使ったサイトをHSTS preloadに登録しようとしたら、
https://hogehoge.com uses an incomplete or invalid certificate chain. Check out your site at https://www.ssllabs.com/ssltest/
オレオレ証明書使うなｗｗ嘘と思うならssltestしてこい

と怒られたんだけど(´・ω・`)
やっぱ互換性糞杉
702 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/08/15(月) 23:44:00.59 0.net]: 俺は問題ナス
703 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/08/16(火) 00:21:18.94 0.net]: >>683
https://hogehoge.com は不正な証明書を使ってるってどのブラウザでも表示されるぞ。
704 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/08/16(火) 12:16:55.17 0.net]: 設定が間違ってるだけだろ。
705 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/08/16(火) 13:29:59.32 0.net]: hogehoge.comってのは、ここに実ドメイン書きたくないから書いた例で、たまたまそのドメインがあっただけじゃね？
本当のドメイン書いたら低脳バレるし
706 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/08/16(火) 13:32:30.05 0.net]: と、低能が申しておりますｗｗｗ
707 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/08/16(火) 13:44:22.06 0.net]: じゃけん例示はexample.comを使いましょうね～
708 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/08/16(火) 18:02:41.25 0.net]: hogehoge.comを例だと思わない奴がここに居るのか？
709 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/08/16(火) 18:06:36.43 0.net]: 誰もいないだろう
そういうこと言ってるやつは質問者で遊んでるだけ
>>687は良う分からんが
710 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/08/16(火) 18:32:32.53 0.net]: RFC読めない奴なら大丈夫
711 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/08/16(火) 20:12:05.74 0.net]: 例だと思わない奴は居ないだろうが、例に使っちゃう奴もそうそう居ない。
712 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/08/16(火) 21:15:10.38 0.net]: なんだ? hogehoge 憶えたての新人さんか?
ケツの力抜けよとりあえずな。
例示には example.com 使う用にしような。
713 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/08/17(水) 08:43:21.22 0.net]: >>685 は初心者だったのか。
そもそも >>683 実際どうなのよ？
714 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/08/18(木) 00:05:37.96 0.net]: リダイレクト書けばいいだけやん
715 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/08/20(土) 17:13:41.98 0.net]: ちょっと検証していてつまずいてるのでご教示下さい。
現在opensslのs_clientを使用してクロスルートの検証をしています。
クロスルートが必要な古いルート証明書とクロスルートが不要な新しいルート証明書をそれぞれ別ディレクトリに格納してます。
それをCApathで指定してs_clientを実行すると、クロスルート利用はうまくいきますが、クロスルート無し�
716 名前：ﾍうまくいきません。 対象のサーバにはクロスルートと中間証明書両方入っている状態となります。 なお、同じディレクトリに新旧のルート証明書両方入れると、旧ルート証明書の方にchainされてしまいます。 opensslはバージョン1.0.1e Feb 2013を使ってます。 宜しくお願いします。 []: [ここ壊れてます]
717 名前：名無しさん＠お腹いっぱい。 [2016/08/21(日) 19:04:49.15 0.net]: Let's Encryptで格安系SSLがヤバイとか言うけど、無くならないだろ

格安系SSLでもよっぽどいい加減な業者じゃなければ会員登録時に個人情報を求められるし、
支払が必要≒支払者の銀行口座・クレジット番号で明細に残る
提出用CSRにもチェック入る業者もある。内容が少しでも違ってたら発行しませんとかよくある。
格安系SSLでも悪用するには大きなハードルがある。

Let's Encryptはどうか？
発行枚数実質無制限、仲介業者なし、個人情報の提供なし、CSR不要（ファイル認証かDNS認証のみ）、
そもそも無料なため本人確認のしようがない。etc...
＋Torを使えば悪用し放題じゃね？

既に悪用されたケースがちらほらある。
security.srad.jp/story/16/01/10/1837213/

そのうち、Googlebotも証明書の種類で判定して、このサイトはそれ使ってるからダメだってなりそうな気もする。

>>697
その前にOpenSSLバージョンアップしろよ
718 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/08/21(日) 19:47:24.79 0.net]: >>698

> 格安系SSLでもよっぽどいい加減な業者じゃなければ会員登録時に個人情報を求められるし、
> 支払が必要≒支払者の銀行口座・クレジット番号で明細に残る

何言ってるんだか
その個人情報は全部出鱈目でも取得可能

「よっぽどいい加減な業者」がどこかは知らんけど、さくらのSSLのラピッドSSLすら実質匿名で取れるのを知らんのか
支払いも10万円以下なら、ATMから口座持ってなくても銀行振り込みできるし、振り込み名義は「ヤマダタロウ」とかいい加減に入力すれば弾かれない
719 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/08/21(日) 19:59:54.83 0.net]: 何言ってんだお前
誰が運営してるかがバレた時点でアウトなサイトでも取れるって話だろ
720 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/08/21(日) 20:26:33.64 0.net]: >>698
バージョンアップできないのよ。
721 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/08/21(日) 21:31:47.19 0.net]: >>698
認識が間違ってるわ
ドメイン認証の証明書は有料だろうが本人確認がない時点でLet'sEncryptと同じだよ
ドメイン認証は間違いなく消えてなくなる方向だよ
722 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/08/21(日) 22:19:47.56 0.net]: だろうなぁ。
でも、同じように、高額のシマンテックの証明書とかは無くならないけど値段が下がるって事にはなるだろうね。
723 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/08/21(日) 22:27:39.78 0.net]: どっちも見当はずれだろｗ
724 名前：犯罪者御用達ｗｗｗｗｗｗｗｗ mailto:payopayo [2016/08/21(日) 23:13:01.56 0.net]: thehackernews.com/2016/01/free-ssl-certificate-malware.html

For a long time, malware authors purchased stolen SSL certificates
from the underground market and deployed them in their malvertising campaigns.
Fortunately, these certificates are eventually caught up and invalidate
by their legitimate owners.
However, with the launch of Let's Encrypt free SSL certificates,
malware authors don't even have to pay for SSL certificates anymore,
and can request one for free instead.

従来、ウイルス作者は不正な方法でSSL証明書を購入し、トロイの木馬付き広告を配布したがいずれも所有者によって無効化されている。
しかし、Let's Encryptのサービス開始でウイルスの作者はSSL証明書に金払う必要なくなり、更に自由に発行できるようになった。

犯罪者御用達SSL証明書、Let's Encryptｗｗｗｗｗ
こんな糞サービスやめた方がいい。絶対ｗ

>>702
有料証明書だと金銭的にやり難いだろ？ｗ
725 名前：犯罪者御用達 mailto:sagete [2016/08/21(日) 23:13:46.97 0.net]: thehackernews.com/2016/01/free-ssl-certificate-malware.html

For a long time, malware authors purchased stolen SSL certificates
from the underground market and deployed them in their malvertising campaigns.
Fortunately, these certificates are eventually caught up and invalidate
by their legitimate owners.
However, with the launch of Let's Encrypt free SSL certificates,
malware authors don't even have to pay for SSL certificates anymore,
and can request one for free instead.

従来、ウイルス作者は不正な方法でSSL証明書を購入し、トロイの木馬付き広告を配布したがいずれも所有者によって無効化されている。
しかし、Let's Encryptのサービス開始でウイルスの作者はSSL証明書に金払う必要なくなり、更に自由に発行できるようになった。

犯罪者御用達SSL証明書、Let's Encryptｗｗｗｗｗ
こんな糞サービスやめた方がいい。絶対ｗ

>>702
有料証明書だと金銭的にやり難いだろ？
726 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/08/21(日) 23:28:48.68 0.net]: よっぽど儲からなくて困ってるんだろうな。
ごく小さな代理店は。

SSLかかってたら安全なんて時代もとっくに終わってんだから、
無料だから濫用される、無料のがあるからうちのが売れない、とか言い訳探してないで、売る方法考えりゃいいのに。
727 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/08/21(日) 23:38:24.16 0.net]: 荒らしはスルー
728 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/08/21(日) 23:39:18.21 0.net]: 広告とかで出てくるSSLでセキュリティ対策できますみたいなのってなんなんだろな
729 名前：犯罪者御用達SSL証明書、その名はLet's Encrypt mailto:sagete [2016/08/21(日) 23:55:45.15 0.net]: ・シールなし（藁）
・日本語ドメイン非対応（藁）
・たったの90日（藁）
・不正証明書作り放題（糞藁）
・不正利用されても無効化不可能（禿藁）
・ルート証明書はI'den Trustという無名認証局（禿藁）
・大手認証局が参入しないのは100%不正利用されるから（禿藁）
・犯罪の温床（寺藁）
・犯罪者御用達証明書（与太藁）

>>707
無料だからじゃなくて犯罪に利用されても無効化できない、
脆弱性だらけ、数十秒で作成可能とか
もはや外部攻撃された認証局と同じｗｗｗｗ
730 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/08/22(月) 00:04:53.76 0.net]: >>710
犯罪に利用されても、と言われてもなぁ。
そもそも認証じゃなくて、その名の通り、Encryptがメインだから。
そういう意味では認証局ですら無いだろ。

大手認証局がこう言う事しないのは、文字通り認証局だからだろ。
そら推せば良いだけなのに。

だから売れる物も売ることが出来ねえんだよなぁ、ボンクラって。
731 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/08/22(月) 01:27:55.54 0.net]: 臭い名前からして前も政治コピペ貼って荒らしてた奴と同じだろ
732 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/08/22(月) 10:05:58.28 0.net]: >>705-706
StartSSLでも同じようにできることなんだが、何言ってるんだこいつは
733 名前：367 [2016/08/25(木) 12:59:27.19 0.net]: 質問させてください。
Let's EncryptでSSLを取得しようと思って何回か試したのですが、以下のようなエラーが出てしまい前にすすめません。
Detail: DNS problem: NXDOMAIN looking up A for hogehoge.mydsn.jp

DDNSのmydsn設定欄に何かしら設定をすればよいのでしょうか？

ちなみSSL化したい対象このサーバーはapacheリバースプロキシサーバーのバックエンドのサーバーです。
リバースプロキシサーバーに問題があるのでしょうか？

ご存じの方いらっしゃいましたらアドバイス頂けないでしょうか。
どうか宜しくお願い申し上げます。
734 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/08/25(木) 13:04:16.47 0.net]: 取りあえずそのddnsやめてfreenom+cloudflareでラクチン管理&apiで自動化し放題にしようぜ

難しいことせずに一旦80と443を取りたい鯖に向けちゃうのが早いよ
735 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/08/25(木) 13:06:04.30 0.net]: マルチすんな死ね
736 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/08/25(木) 13:25:22.16 0.net]: ドメインの例示に hogehoge 使う奴は総じて無能。
737 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/08/25(木) 13:27:32.68 0.net]: しかも
> mydsn.jp
とか夏の暑さで頭が逝っているのではないかと
738 名前：367改め714 [2016/08/25(木) 14:19:06.11 0.net]: すみません、私の確認違いで別のスレにマルチしてしまっていました。
向こうのスレの方には経緯をお伝えし、こちらで改めて質問させて頂きます。
739 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/08/25(木) 14:35:29.00 0.net]: まず取得しようとした環境と操作内容は？
DNS側でやることは何もないよ
普通にそのドメインでwebブラウザでページひらけるんだよね？
740 名前：714 [2016/08/25(木) 14:56:13.39 0.net]: qiita.com/TsutomuNakamura/items/4166423699061e38d296
上記のサイトを参考に、順当に操作をつづけ
最後に
sudo certbot-auto certonly --webroot -w /var/www/html/owncloud -d hogehoge.mydsn.jp --email メールアドレス
のコマンドを打ちました。

環境としては、Windows2012R2のhyper-vで
・apacheでのリバースプロキシサーバー
・その配下に、apacheのwebサーバーを動かしています。
このwebサーバーをSSL化したいのです。

ちなみに、715さんがレスくれたように一旦、ルーターのポート80と443をwebサーバーに向けて、上記の操作を行ったのですが、
結果は同じでした。

またmydsn.jpってDDNSはあまりよろしくないんでしょうか？
何かご存じでしたら教えて頂けませんでしょうか。

>>freenom+cloudflareでラクチン管理&apiで自動化
ってちょっと調べてみたのですが、cloudflareがSSLを発行してくれると言うことはわかりましたがapiで管理と言う部分が
わかりません。
もう少し突っ込んでお話聞かせて頂ければ幸いです。
741 名前：714 [2016/08/25(木) 15:09:31.57 0.net]: 連レス失礼します。
実際にサーバーを動かしているOSは両方ともCentos7になります。
742 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/08/25(木) 15:40:52.39 0.net]: その hogehoge.mydsn.jp/ にアクセスして
/var/www/html/owncloud/ の index読みに行ってる？
ログに残ると思うけど
743 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/08/25(木) 16:47:44.17 0.net]: apiとかはやりたきゃってことよ
cloudflareのDNS部分だけ使う
freenomで無料のまともなドメイン(example.tk等)がもらえるからそのネームサーバーをcloudflareにする
間違いなく操作しやすいからね
ddnsだとドメインごとの発行制限引っかかったりいろいろめんどくさいのでこの方法の方がいい
IP変わってもcloudflareのwebサイトで変えたら数分で切り替わってるし俺はそれがめんどくさいからその作業自動化してる
744 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/08/25(木) 17:53:29.98 0.net]: >>721
なあいい加減
mydsn.jp
に疑問を抱かないのか？
目見えてる？
745 名前：名無しさん＠お腹いっぱい。 [2016/08/25(木) 19:26:27.28 0.net]: そこはサンプルのためにあえて存在しない例でも書いてるのかと
思ったけど、それそのままなのかよ、まさかねえ
746 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/08/28(日) 00:23:18.94 0.net]: ドスン
747 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/08/28(日) 15:25:15.52 0.net]: まあデータソースネームに釣られたんじゃないかｗ
748 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/09/07(水) 17:06:35.71 0.net]: 新参＆質問です
他の鯖ではうまくいったんですが、*****.mydns.jpのサイトだけ
Too many certificates already issued が出て証明書がもらえません
やはりダイナミックDNSでは使えないということでFAですかね？ぐぐってもわからなかった（取れてる人もいる）のですが
事実上無理ですよね、何度も試し続けて運良く取れてもまともに更新できないだろうし…
749 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/09/07(水) 18:27:23.51 0.net]: だからもう書いだだろそれ
>>724みたいにすればいい
750 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/09/07(水) 19:11:12.80 0.net]: https://publicsuffix.org/list/
751 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/09/07(水) 21:25:49.66 0.net]: >>729
発行しない理由も明示され、あなたがそこに貼っているとおりなんだが…
DDNSで使えないのではない
1ドメインにつき発行する数に制限があり、mydns.jpはすでに上限に達しているということ
別途ドメインとって、それをDDNSで運用すればいいだけ
752 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/09/08(木) 11:28:20.25 0.net]: >>729
ベータの頃は、7日間に5回取得したらそれ以上取れなくなる制限あったけど
その上限未だあるんじゃないの
何回も取りなおしてない？
まあ数日経てばとれると思うよ
753 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/09/10(土) 22:28:40.52 0.net]: Issuer: CN=Let's Encrypt Authority X3 The certificate is not issued by a trusted authority.
と環境によっては出てしまうけど、これはこういうもの？仕方ないのでしょうか
754 名前：名無しさん＠お腹いっぱい。 [2016/09/11(日) 03:11:27.72 0.net]: >>734
クライアントからアクセス時にそのエラーが出るってこと？

それはサーバソフトでの中間証明書の設定ミス以外考えられない
Let's Encrypt Authority X3 は IdenTrust からチェーンされてるはずだから、
「IdenTrust が信用できない」というエラーが出るならともかく「Let's Encrypt Authority X3 が信用できない」
なんていうエラーは出ないはず
755 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/09/11(日) 08:07:04.84 0.net]: まともな環境なら普通に全部ストアに入ってるはずだがな
756 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/09/11(日) 10:36:59.23 0.net]: そうなのですか、おかしいな
ある一つのクライアントを除いて出ていないので、そのクライアントがおかしいのかなと思ったのですが
それもおかしいよな
でも鯖は普通にcert.pem, privkey.pem, chain.pemをApacheに読み込ませてるだけなので間違いようもないし
757 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/09/11(日) 13:22:54.51 0.net]: >>737
chain.pem を読み込ませているなら問題ないっぽいね

中間証明書を読み込ませないと、クライアントによってはエラーが出たりでなかったり不安定になるが
758 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/09/11(日) 13:42:20.49 0.net]: >>737
https://www.ssllabs.com/ssltest/
ここの結果どう？
759 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/09/11(日) 19:45:10.43 0.net]: >>739
Bになりました
特に致命的な問題はなさそうに見えますが
760 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/09/11(日) 19:50:35.17 0.net]: 評価というより上の証明書あたりのところね
エラー出てないなら問題ない
クライアントがクソなんだろう
761 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/09/11(日) 20:01:27.44 0.net]: ・Chrome49＋chainあり：OK
・Chrome49＋chainなし：証明書エラー
・Chrome52＋chainなし：OK
こんな感じだった
762 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/09/11(日) 20:49:02.08 0.net]: FORTIGATE かなんか入れてない？
763 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/09/12(月) 01:43:20.60 0.net]: Windowsの証明書ストア（＋キャッシュ）の影響を受けてるだけじゃね？
764 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/09/12(月) 19:30:26.61 0.net]: もう、どうでもよくね？
765 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/09/13(火) 11:49:53.04 0.net]: そうだな。
766 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/09/15(木) 21:25:48.40 0.net]: openssl s_client -connect
で調べれば？
767 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/09/20(火) 16:18:53.89 0.net]: 更新のたびに、ファイルが作られていくけど古いのって自動的には消えないの
768 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/09/20(火) 16:43:31.02 0.net]: 消されたら困るじゃんよ
新しいの作ってweb鯖側の設定まだ変えてなかったらエラー出てweb鯖起動できなくなったりする
769 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/09/20(火) 20:12:59.20 0.net]: SANに登録できるドメインの数の上限は何個だろう
上限まで使い切りたい
770 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/10/07(金) 13:53:51.31 0.net]: なーんかまたスクリプトの更新頻度が上がってるな
日に何度もアップデートあったし
771 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/10/20(木) 15:59:35.63 0.net]: 検証され信頼できる運営者情報はありません
EV証明のないサイトなんて
772 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/10/20(木) 16:02:37.26 0.net]: オレオレよりよっぽどマシ、スマホにCA証明書追加しなくても使えるからな
使う顧客は自分と関係者だけだからEV証明もいらん
773 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/10/20(木) 16:02:54.37 0.net]: ﾌｰﾝ
774 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/10/20(木) 16:03:12.20 0.net]: >>753
いや、それはないだろ
775 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/10/20(木) 16:05:59.73 0.net]: 暗号化したいだけなんだよ
それなのに余計な警告出されるのがクソウザイ
776 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/10/23(日) 23:07:59.91 0.net]: Mozilla、Firefox 52のデフォルトでTLS 1.3を有効にする計画
security.srad.jp/story/16/10/22/2318250/
777 名前：名無しさん＠お腹いっぱい。 [2016/10/25(火) 03:14:18.00 0.net]: Letsencryptが普及しようが格安SSLはまだまだ需要はある。
互換性の観点から言うと格安系より少ないし、特に法人向けでは需要がある。
778 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/10/26(水) 08:05:50.29 0.net]: 法人がほしいのはサポートだからな
その格安でサポートが受けれるかという疑問もあるがｗ
779 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/10/26(水) 17:39:05.40 0.net]: >>759
私の職場ではローカルアドレスのサーバーがあってこれのSSL証明書はブラウザで警告でなきゃ何でもとい。
Ｌｅｔｓは公開サーバー建てないと取れないから1000円程度の格安使っている�
780 名前：諱B []: [ここ壊れてます]
781 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/10/26(水) 18:27:50.71 0.net]: 普通に適当なドメイン使って外部公開してる鯖でssl証明書手に入れてそいつをローカルの鯖にコピーしてきてhostsなり社内のDNSなりでドメインその鯖に向ければいいじゃん
782 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/10/26(水) 18:50:07.55 0.net]: 完全なローカル環境でのサーバ運用ってアップデートとかしないの？
つかローカルならSSL使う必要性すら無い気もするが、
社内のネットワークを管理してる人間すら信用ならないって事なのか？
783 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/10/26(水) 18:53:58.78 0.net]: >>762
社内にミラー鯖立てててそっから更新するんじゃね
テスト環境だけと本番と同じようにSSLで通信させたいとか色々あるだろ
784 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/10/26(水) 19:20:28.62 0.net]: ミラー鯖あるならそこで証明書更新出来るんじゃねーの？
785 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/10/26(水) 19:27:16.14 0.net]: 俺は本人じゃないよ
推測で言っただけですはい
786 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/10/27(木) 08:34:16.32 0.net]: >>760
社内向けのドメインなら格安で取れば簡単か。
なるほど！
787 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/10/27(木) 17:24:06.05 0.net]: 公開って取るときだけ80あけりゃいいじゃん
788 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/10/27(木) 17:31:35.92 0.net]: そもそも同じ鯖である必要すらないだろ
789 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/10/31(月) 16:55:02.50 0.net]: 2016/10/31、
yahoo検索が常時SSL(常時HTTPS)となった模様

fast-uploader.com/transfer/7033455998374.PNG?key=
790 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/11/01(火) 08:42:56.06 0.net]: ファイル認証でhttpの鯖とhttpsの鯖が異なるとき、htttpsにリダイレクトしても取りに来てくれたよ。
791 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/11/02(水) 19:37:06.57 0.net]: >>770
新しいプロトコル作ったのかよ
792 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/11/03(木) 19:56:39.93 0.net]: お茶吹いたぞコノヤロー
793 名前：名無しさん＠お腹いっぱい。 [2016/11/06(日) 19:31:18.05 0.net]: メジャースポンサー見てたら、英語圏以外では中華系しかない件
中華系は共産党の検閲絡みだからか？
一方、セキュリティ？何それおいしいの？の日本や韓国はスポンサーにならないだろう多分ｗ
794 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/11/08(火) 22:54:37.81 0.net]: Tシャツもらえるぜ
ttps://www.generosity.com/community-fundraising/make-a-more-secure-web-with-let-s-encrypt
795 名前：名無しさん＠お腹いっぱい。 [2016/11/12(土) 21:34:10.16 0.net]: 日本語ドメイン名まだー？
796 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/11/12(土) 21:35:50.17 0.net]: とっくに
797 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/11/12(土) 21:52:24.46 0.net]: >>776
できるの?
できんのだけど。。。
798 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/11/13(日) 13:10:23.59 0.net]: punycodeでやってる?
799 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/11/13(日) 19:14:05.77 0.net]: >>776
>>778
開発版インストールでできました。
ありがとう！
800 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/12/01(木) 17:44:11.41 0.net]: upup.bz/j/my44020gUjYtVhx-H5xOfQw.jpg

今年の11月からNEVERまとめが常時SSL(常時https)化

https://matome.na-ver.jp/odai/2147927345093318201
「Neverまとめ」が常時SSL化（WebサイトのHTTPS化）に対応へ - NAVER まとめ
801 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/12/01(木) 17:51:18.48 0.net]: サイト全体がHTTPSに！常時SSL化のメリットとデメリット | コラム | Web制作株式会社ワンゴジュウゴ WAN55 （東京・千代田区）
https://www.wan55.co.jp/column/detail/id=390
802 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/12/01(木) 18:03:54.87 0.net]: hayabusa3.2ch.net/test/read.cgi/news/1434201149?v=pc
Wikipedia「政府の検閲に対抗しデフォルトをHTTPSにする・・・特に中国、貴様だ」 [転載禁止]©2ch.net
1 : ネックハンギングツリー(家)
803 名前：@転載は禁止:2015/06/13(土) 22:12:29.34 ID:+n0FFgyp0 ?PLT(12345) ポイント特典 WikipediaなどWikimedia FoundationのサイトがデフォルトでHTTPSを採用…政府機関による検閲などを抑止へ http://jp.techcrunch.com/2015/06/13/20150612the-wikimedia-foundation-turns-on-https-by-default-across-all-sites-including-wikipedia/ Wikipediaなどの重要なwikiプロジェクトをホストしているWikimedia Foundationが今朝(米国時間6/12)、 今後はすべてのサイトのトラフィックをHTTPSにより暗号化する、と発表した。同団体によると、 これにより各国の政府などがユーザトラフィックをモニタすることが困難になり、 またISPがWikipediaなどの記事を検閲することも難しくなる。 同団体は2013年に、サイトのアカウントを持つログインユーザのトラフィックに関してはHTTPSを実装したが、 そのとき、中国やイランなどトラフィックのHTTPS化が難しい国に関しては、 ログインユーザに対しても従来どおりのアクセスを認めた。 しかし今日のWikimedia Foundation(WF)の報告では、同団体はHTTP Strict Transport Security(HSTS)を 使用して、トラフィックをHTTPS破りから保護する、と言っている。 (略) 今日WFが発表した談話によると、"中国ではここ数週間、中国語WikipediaはHTTPとHTTPSの両方で、 多くのユーザにとってアクセス不能になっている。しかし、香港や台湾など一部の、 アクセスできているユーザにとっては、HTTPSがセキュリティの向上に資すると思われる。 また、中国でも英語版Wikipediaにはアクセスできるので、英語版の利用に関しては、 ユーザはHTTPSのセキュリティ効果に浴することができる"、ということだ。 (略) []: [ここ壊れてます]
804 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/12/01(木) 18:08:20.75 0.net]: echo.2ch.net/test/read.cgi/hp/1461051817?v=pc
【HTTP/2】常時SSL化について語ろう【TLS1.3】©2ch.net
805 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/12/01(木) 18:13:21.56 0.net]: ログ速が今日から常時SSL化
806 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/12/02(金) 16:51:16.35 0.net]: >>780
https://matome.na-ver.jp/odai/2147714935661573701
https://matome.na-ver.jp/odai/2147565496820672501/2147565617221932203
807 名前：名無しさん＠お腹いっぱい。 [2016/12/02(金) 16:53:13.76 0.net]: >>784
itest.2ch.netもSSL化
808 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/12/02(金) 17:03:36.06 0.net]: echo.2ch.net/test/read.cgi/esite/1452760205/?v=pc
【アットウィキ/atwiki】@wikiについて語る Part 16 [無断転載禁止]©2ch.net
809 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/12/04(日) 12:51:28.14 0.net]: SSLのデメリットってあるの？
810 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/12/04(日) 12:56:52.57 0.net]: パフォーマンスの低下
証明書の更新などの作業の増加
ページ内で読み込めるスクリプトとか画像に多少制限がかかる(安全じゃない接続のは読み込めない)
811 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/12/06(火) 13:48:21.74 0.net]: SolarisのOpenCSWで最新だとletsencrypt途中でコケてたのが治った、、よかった
一部のライブラリを古いのに入れ直すの面倒でギリギリまで待ったかいがあったｗ
812 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/12/07(水) 03:53:58.52 0.net]: 個人：Let's Encrypt（0円）
個人＋高い互換性：RapidSSLとコモド(1.5千円)かFujiSSL

法人・団体：RapidSSL・ジオトラストクイックSSLプレミアム・OV証明書全般
法人（金融取引・通販以外）：EV証明書全般
法人（金融取引・通販等）：シマンテックEV証明書
こんな感じかなぁ

クイックSSLベーシックなるものはRapidSSLは値段は5倍以上する上、機能面では全く同じでメリット皆無
ttps://www.ssl-store.jp/geotrust-quick-ssl-basic/
813 名前：SSL証明書によって検索結果が優遇されることってあるなら話は別だけど >>788-789 今に限っては古いブラウザから閲覧できなくなるのと、HTTP接続のは読み込めないくらいじゃね。 SHA-1しか対応しないかSSL3.0まで対応するブラウザは全滅（特に2kとかサポート切れのOSはほぼ全滅） そのうちTLS1.0も使用禁止になって、ガラケー全滅するかもしれない パフォーマンスの低下もAES-NIやECDSAのお陰で殆ど感じないし、HTTP/2を使えばむしろ速いほう。 []: [ここ壊れてます]
814 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/12/07(水) 04:52:31.72 0.net]: 昔ながらのアクセスランキングサイトにgetパラメータが渡らなくなっちゃったくらいやね
815 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/12/07(水) 09:40:38.28 0.net]: 今はそんなの自前で解析するだろ
外部がいいならGoogleで十分だわ
816 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/12/07(水) 11:44:50.65 0.net]: 昔ながらのアクセスランキングサイトって、アクセス解析じゃなくてWebリングみたいなものの事じゃない？
817 名前：名無しさん＠お腹いっぱい。 [2016/12/07(水) 17:02:28.91 0.net]: 明日切れちゃう＆自動化してないので、手動で./certbot-auto renewしてみたんだけど
No renewals were attempted. と出て更新されない。何がおかしいのでしょうか？
CentOS6です。ログにはDEBUG:certbot.renewal:no renewal failuresと出てます。
818 名前：名無しさん＠お腹いっぱい。 [2016/12/07(水) 19:02:00.94 0.net]: >>794
確かにHTTPS→HTTPではRefererが送られないけど、今時アクセスランキングのようなAPIがHTTPS非対応ってほとんどなくない？
だって、そのランキングシステムがHTTPSなサイトでまともに機能しないわけで、そんな状況放置するのは普通じゃない

一応、htmlに

<meta name=
819 名前：796 mailto:sage [2016/12/07(水) 19:03:37.37 0.net]: ほんと2chって投稿が途中で切れたりバグがらけのゴミコードだな

<meta name="referrer" content="unsafe-url" />

って書いとくと、FirefoxとChromeだと HTTPS→HTTP でもReferer送られるようになるよ
IEには効果ないけど
820 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/12/07(水) 19:07:40.07 0.net]: コマンドインジェクション対策だったりするんじゃないの

>昔ながらの
って書いてるんだからhttpsなサイトなんて対象外なんだろ
821 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/12/07(水) 21:02:40.62 0.net]: 逆の言い方するとさ、
HTTPSに対応することで、アクセス解析したときにHTTPSなサイトからのリンクされたことが分かるってメリットがあるよ

もしHTTPだとHTTPSなサイトからリンクされた場合に、Google アナリティクスとかのアクセス解析でも表示されなくなり、
ブックマークとかからの直接アクセス扱いにされるよ
822 名前：名無しさん＠お腹いっぱい。 [2016/12/07(水) 21:15:47.84 0.net]: ブログランキングで対応している所はにほんブログ村のみ
with2.netなど他の所は非対応のまま
823 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/12/08(木) 01:57:56.62 0.net]: httpsサイトは検索エンジンからの流入キーワード全部取れるようにしてほすい…サーチコンソールだけじゃ分からん
ランキングは投票URLが touhyo.cgi?siteno=000 みたいになってると?以降が暗号化されてカウントされないね
824 名前：名無しさん＠お腹いっぱい。 [2016/12/08(木) 03:35:22.55 0.net]: >>801
たまたま検索結果画面のHTTPS化とタイミングが重なったから誤解している人多いけど、
Google検索のRefererがとれなくなったのは、Google側がプライバシーにかかわるキーワードをサイト側に送らないように対策したから

技術的には検索結果をクリックした際に、特殊なスクリプトを含むリダイレクタを経由するようにして、そのリダイレクタのURLしか取得できないように対策した

キーワードはGoogle Search Console からとるしかなく、数の極端に少ないキーワードや個人情報を含む恐れのあるキーワードは取得できないようになっている
825 名前：名無しさん＠お腹いっぱい。 mailto:sage [2016/12/08(木) 17:14:45.37 0.net]: Google検索結果のリンクから飛ぶときにHTTPSでないクッションを経由するのが�
826 名前：凾ﾅ、Don't track me Google入れてる。 []: [ここ壊れてます]
827 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/01/02(月) 19:41:13.31 0.net]: https://github.com/analogic/lescript
このスクリプト使ってるんだけどちゃんとtoken見に来てくれない
ブラウザでアクセスすれば普通に見えるがアクセスログに自分とGoogleのBot以外出ておらずアクセス制限なんかもしてない
何か原因思い当たるのありますか？
それと他にphpだけで認証できるようなのありませんか？
828 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/01/02(月) 19:53:07.61 0.net]: certbot使ってmanualでできました
829 名前：名無しさん＠お腹いっぱい。 [2017/01/17(火) 18:33:40.22 0.net]: 中間証明書入れないと、Androidブラウザだけ信用してくれないんだな
何ヶ月も気付かなかったわ
830 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/01/17(火) 19:04:33.00 0.net]: ディスコンのサポ切れブラウザで信用してくれないと申されましても
831 名前：名無しさん＠お腹いっぱい。 [2017/01/17(火) 19:37:14.63 0.net]: 最近のAndroidのブラウザはChromeだぞ
終わったのは標準ブラウザってやつ
832 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/01/17(火) 20:25:58.33 0.net]: それ、Chromeでも起きるよ
833 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/01/17(火) 21:56:03.53 0.net]: 俺は入れた覚えはないけど
古いバージョンか？
834 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/01/17(火) 23:30:16.01 0.net]: この年末に証明書の更新をやって、中間証明書は有効期限内だから入れ替えなくていいかなって。
Win7＋IE11,Chrome、Win10＋IE,Edge,Chrome、iOS＋Safari,Chromeは問題なかったが、
Android 7.1(Nexus5X)＋Chromeの55かな？で「このサイトは信頼できません）になった。

最新の中間証明書に入れ替えたら問題なくなったから、そういうもんだと思ってたんだけど。
ググるとAndroidでだけ証明書エラーってのが何件か引っかかったし。
835 名前：名無しさん＠お腹いっぱい。 [2017/01/18(水) 00:05:13.44 0.net]: >>811
https://letsencrypt.jp/faq/#Browser の

> 過去に使用されていた中間証明書「Let's Encrypt Authority X1」と、予備の中間証明書「Let's Encrypt Authority X2」は Windows XP との互換性がありませんでした。
> 2016年03月25日以降は、Windows XP との互換性が高い中間証明書「Let's Encrypt Authority X3」、および予備の中間証明書「Let's Encrypt Authority X4」が使用されています。

あたりが影響してるんじゃない？
2016年3月25日に中間証明書が変わったらしいので、3月25日以降に取得した証明書は、それより古い中間証明書だとエラーになるかもしれん

中間証明書はブラウザによっては勝手にキャッシュする（証明書ストアに勝手に入る？）から、自分がエラーでなくても他の人がエラー出たりと検証が困難

なので、https://www.ssllabs.com/ssltest/　でエラーが出ないか確認した方が良い
836 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/01/18(水) 00:51:24.95 0.net]: >>812
ありがとう。XP云々との関連は分かんないけど、時期的には同じ感じなので何か関係あるのかな。

検証するにも環境に限りがあるから、そういうサイトも活用する方がいいね。
自分はSymantec Encryptなんちゃらいう検証サイトで見てみたわ。
837 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/01/18(水) 05:58:18.49 0.net]: >>812
sslabs.comでエラー無いんだけど、スマホでクロムで警告画面でて使えねーという
ひとが複数出ちゃう。
さてどうしたものか
838 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/01/18(水) 09:14:20.52 0.net]: 結構前からX3一緒に渡して運用してるけどそんなことになった試しは一度もないなぁ
839 名前：名無しさん＠お腹いっぱい。 [2017/01/18(水) 10:04:49.51 0.net]: https://youtu.be/quIHgwuF6r4
840 名前：名無しさん＠お腹いっぱい。 [2017/01/19(木) 17:38:08.41 0.net]: 日本国民のために命をかけて悪と戦っている警察の方に
おしっこを出せと命令されたのにかわりに茶をだしたASKA

与党議員を盗聴している、本省の課長級以上の国家公務員の私邸を盗撮している、と言って
日蓮上人の正法を護持し、日本の真の国主であり平和の王者である池田先生と創価学会をネットで誹謗中傷していた奴ら、
おまえらは、全員ASKAと同じ精神障害ということで警察官に逆らう詐欺師と言う事にこれではっきりとなった。

警察官の３割強はわたくし達創価会員で占められている。
ASKAは必ず再逮捕され、拘置所内で自殺と言う事で間違いなく処理される。
おれたちは絶対負けない。
創価の敵対者達も必ず仏法の力で破滅する事になる。
841 名前：名無しさん＠お腹いっぱい。 [2017/01/19(木) 17:38:25.62 0.net]: 警察では池田先生から仏法の教えを受けた警官が日々身命を惜しまず働いている。
ASKAの味方をする奴は全員統合失調の薬物中毒者と言う事にもうすでにもうなったんだから、
おとなしく観念しろ。

創価が与党議員を盗聴している、本省の課長級以上の国家公務員の私邸を盗撮している、
という疑惑を流している奴らも同罪ということになる。

池田先生は魂の指導者で日本の国主なのだということは、
全世界が認めていることなのだから、
もし仮に公務員や一般国民の生活をご照覧になって指導されたとしても
それは当たり前のことだ。

このスレにそんな馬鹿は居ないと思うがASKAに肩入れして警官や盗撮の悪口を言ってるやつは
IPアドレスから住居を突き止めて六道地獄を永久に廻る仏罰をくだしてやる。
842 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/01/20(金) 03:25:19.93 0.net]: >>816-818
内容はともかく、ここは Let's Encrypt のスレなんで、無関係な政治や宗教の主張はやめてくれないかな？
他にSSL/TLSのスレはないんで、他の認証局の話題ぐらいならいいけど、流石に政治はスレチすぎる

表現の自由が保証されているとか思ってるかもしれないけど、無関係なスレッドでの主張は反感を買って逆効果になるだけだよ
843 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/01/20(金) 03:51:45.41 0.net]: 荒らしにマジレスかっこいい
844 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/01/20(金) 07:57:19.35 0.net]: IPアドレスとか関係なしの個人特定から仏罰とやらの執行、
そしてそれらの内容を全世界に夢か何かで知らせるくらいできないと本物じゃないよね
こんなスレに書き込んでる時点で(笑)
845 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/01/20(金) 13:44:19.64 0.net]: ゴミレスは無視するしかないよ。
846 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/01/20(金) 15:40:51.56 0.net]: 昔からニュー速とかから定期的にタチ悪いコピペ貼られてたじゃん
ある程度年齢層の高い板は大体そうだよ
847 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/01/20(金) 16:38:58.23 0.net]: 年代関係なくおかしいやつはおかしいって
848 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/01/20(金) 16:51:20.35 0.net]: 板とか関係なく電波入ってるコピペは貼られるだろ
なぜスルーできないの？
849 名前：名無しさん＠お腹いっぱい。 [2017/01/27(金) 00:04:04.61 0.net]: 今、話題のグルメンピックの騒動でそのHP見てみたらLet's Encrypt使っててワロタ
Let's Encrypt使ってる商用サイトは詐欺と思えでおｋ？

https://www.gourmetmpic.com
850 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/01/27(金) 00:44:15.02 0.net]: 短絡的思考過ぎてなんとも。
851 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/01/27(金) 01:19:59.41 0.net]: 昔からドメインとか証明書に関してはいろいろ言われてるけどね
10年じゃないとダメだのCOMODOはありえないだの
気にするからお前次第だ
852 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/01/28(土) 03:00:24.59 0.net]: >>826
お前の考え方が糞過ぎ
853 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/01/28(土) 05:25:00.98 0.net]: >>826
全然おkじゃねーよ
もっと勉強してこい
854 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/01/28(土) 09:34:19.36 0.net]: >>826
むしろDV証明に何万も出しているサイトの方が情弱で怪しいのでないか
855 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/01/28(土) 10:14:15.28 0.net]: >>826
そういうところ�
856 名前：ｩて「怪しいな」って思う人はそもそも相手にしてないから大丈夫 []: [ここ壊れてます]
857 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/01/28(土) 19:36:32.05 0.net]: Let's Encrypt はSSL/TLSの証明書であって運営内容とは関係なよな
それで使ってるサイトがとか言うのはアホかとしか思えない
858 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/01/28(土) 19:43:33.55 0.net]: あるよ？
だって高いところは単純な証明書ではなく信用を売ってるんだもの
859 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/01/28(土) 19:46:38.95 0.net]: 信頼は証明書の金で買えるものじゃないよ？
860 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/01/28(土) 19:54:13.69 0.net]: >>826はそう考えるんだろ
861 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/01/28(土) 21:22:28.85 0.net]: まあ>826の信用なんて無いんですけどね
862 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/01/29(日) 03:49:49.09 0.net]: >>834
その認識が正しくないから袋叩きにあっているんだと自覚しようか
863 名前：名無しさん＠お腹いっぱい。 [2017/01/29(日) 04:20:28.00 0.net]: echo.2ch.net//test/read.cgi/esite/1485225798/?v=pc
echo.2ch.net//test/read.cgi/esite/1485225798/3-n?v=pc
【アットウィキ/atwiki】@wikiについて語る Part 17 [無断転載禁止]©2ch.net

3 : 名無しさん@お腹いっぱい。2017/01/25(水) 02:08:31.60
https://atwiki.jp/news/116
いつも@WIKIをご利用いただき誠にありがとうございます。
@WIKIサポートです。

以前より、https対応につきましては、お知らせさせていただいてますが、
@WIKIはhttps化を完了し、現在、http/httpsいずれも接続が可能になっております。

この度、さらなるセキュリティ強化対策として、
2017年1月30日午前10時を持ちまして
常時SSL化 (httpsのみによる接続) を適用させていただきます。

～～～～～～～～～～中略～～～～～～～～～～

なお、本件実施に伴い、現行のhttpsに非対応である一部の古いバージョンのブラウザやサポート終了のOS、
フィーチャーフォン(いわゆるガラケー)等につきましては、ご利用いただくことができなくなります。
大変恐縮ではございますが、現行のスマートフォン・OS・ブラウザ等をご利用いただくようお願い致します。
864 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/01/29(日) 08:50:40.12 0.net]: 他所でやってくれないか
865 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/01/30(月) 15:46:24.82 0.net]: >>834
信用のためならDVじゃなくEVにしとけよ
866 名前：新潟野郎 [2017/02/14(火) 08:02:32.86 0.net]: ameblo.jp/staff/entry-12247397187.html
アメーバブログの常時SSL化に伴う仕様変更について ...
ameblo.jp › staff › entry-12247397187
14 時間前 - 常時SSL化以降、ご利用可能なプラグインについて ... のハッシュタグ入力とテーマ設定の変更について · 【おしらせ】PCの最新版エディタにて一部改善のお知らせ · 【おしらせ】絵文字を追加いたしました。
867 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/02/17(金) 07:53:29.84 0.net]: let's encrypt 使い始めました。
webroot で、証明書ゲットして、apache, postfix, dovecot にインストール。うまく動いている模様。
あとは自動更新なんだけど、cron に
certbot renew --quiet --post-hook "service apache24 reload ; service postfix reload ; service dovecot reload"
で、いいのかな？
いちおう、--dry-run と --force-renewal でテストしたらうまくいっているみたいですが、

よく分かんないのが証明書の取得回数制限。
https://letsencrypt.org/docs/rate-limits/

１．１週間に２０ドメインまで
２．１週間にサブドメインは１００まで
３．同じドメインの更新は１週間に５回まで
４．あと、ひとつのIP からは証明書５００枚まで。
５．保留中（これよく分からない）のは３００枚まで
６．制限がかかった時は、１週間たつと解除される。

私は４つのドメインをSANを使ってひとつの証明書にまとめてます。
私の理解では例えば毎週日曜日に --force-renewal 使って更新しても制限にひっかから�
868 名前：ﾈいと 思うんですが合ってますか？（勿論、決してお薦めでは無いだろうけど） 教えて下さい、エロい人 []: [ここ壊れてます]
869 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/02/17(金) 10:17:27.84 0.net]: 毎週強制更新する必要はどこにもないのだから根本から考え直せ
870 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/02/19(日) 06:57:01.43 0.net]: --force-renewal って通常更新に使っちゃいけないのかなぁ？
マニュアルには、毎日２回 renew がリコメンドされてるみたいだけど、
毎週はやりすぎにしても、毎月１回、 --force-renewal するほうが let's のサーバー負荷少ないんじゃね？
殆どの人は回数制限にひっかからないでしょうし。
871 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/02/19(日) 08:25:51.56 0.net]: certbot になる以前は自前でスクリプト書いて、証明書の有効期限一ヶ月前にならないと
更新しないようにしてたわ。それを cron で二日毎に回す感じで。
今は certbot がよろしくやってくれてるから force-renewal とかしなくても済んでるよ。
872 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/02/19(日) 10:14:27.73 0.net]: >>845
renewならローカルに保存されている証明書の有効期限が30日を切っていない限り
サーバには一切アクセスしないのです。
873 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/02/19(日) 16:27:19.49 0.net]: 30日前って、更新しろメールが来るタイミングではないの？
期限まで45日を切ったら強制更新するスクリプトを4日に一度cronで回してたけど
もう少しタイミングを後ろにずらせるのかな
874 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/02/19(日) 17:17:30.74 0.net]: メールが来るのは19日だろ
875 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/02/22(水) 12:36:01.87 0.net]: renewじゃなく強制更新してる人は一体なにが目的なの？
876 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/02/22(水) 14:08:24.10 0.net]: すみません

サーバー１でSAN使って www www2 www3
と証明書を取得したとします。

後に
サーバー２で www2
とした場合は証明書は取得可能でしょうか？
サーバー１で取得したものが無効になったりするのでしょうか？
877 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/02/22(水) 14:19:22.40 0.net]: 取得可能だけどなんでそんなことする必要あるの。
同じ証明書を使えばいいじゃない。
878 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/02/22(水) 14:30:21.17 0.net]: １つの証明書に複数ドメインが入ってるか、その複数の中でも先頭のドメインじゃない場合に自己署名証明書扱いされることがあるからじゃね？
879 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/02/23(木) 12:36:26.95 0.net]: おいらの renew の cron 遍歴。certbot を使い、webroot で認証してる。

certbot renew --post-hook"なんちゃら"

を --dry-run や --force-renewal でテストして動作確認。
よくわかんないまま、毎日２回 cron で実行するようにした。

毎日、２回、メールがうざい。ので、--quiet を追加。

今度は、本当に期限切れ１ヶ月前にちゃんと動作してくれるんだろうか？と不安になる。
で、毎週１回 cron にして、--quiet を削除。
（今ここ）

みんな、どうしてるの？

p.s.

ところで cron で６０日に１回とか、７５日に１回ってどうやるの？
やろうと思ったんだけど、あり？どうやるんだろうと考え込んでしまった。ｗ
880 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/02/23(木) 13:08:29.79 0.net]: cronでスクリプトを毎日動かすようにしてスクリプト側でどっかのファイルに書くなりして日付数えればいいじゃん
881 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/02/23(木) 13:12:16.22 0.net]: 奇数月の15日に実行とかにすらばええやろ
882 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/02/23(木) 13:40:08.91 0.net]: てか更新切れの案内メール届くか不安なんだけど
確認方法ある？
883 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/02/23(木) 15:30:51.91 0.net]: 自宅で運用してるとcronで回す場合に色んな原因で失敗が有り得るのが怖いから
スクリプトで期限までの残りをチェックして閾値以下になったら強制更新
これを数日に一度実行するのが気持ち的に楽なんだよ
その時に強制更新かけて、通知メールが来る前に処理しちゃう
サブドメインの分をSANS使わずにやってると、メールがウザいでしょ
884 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/02/23(木) 17:04:21.79 0.net]: 強制更新ばかりするスパマーの証明書は無効化するようにしないといけないな
885 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/02/24(金) 05:46:14.04 0.net]: 楽しそうだなみんな
ドメイン持ってない漏れには関係ないけど、趣味で試行錯誤するのは楽しい
仕事となると期限が発生するからゴメンだけどね
886 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/02/24(金) 11:19:29.03 0.net]: >>860
30円くらいでドメイン取得できるぜ
887 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/02/24(金) 11:22:25.41 0.net]: その程度なら無料のでいいだろ
どうせその30円のは一年しか使えないんだから
888 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/02/24(金) 12:41:49.86 0.net]: 無料ドメインで回ってるならそれでいいだろ
889 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/02/27(月) 08:31:05.21 0.net]: なんでサーバーにわざわざ負荷を掛けるのかわからないな。
どうせDonateもしてないんだろうし。
890 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/02/27(月) 11:06:37.66 0.net]: 無料だから何してもいい、という考えじゃないかな？
スーパーの試食も無料だから全部食うようなヤツらだろうな
891 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/02/27(月) 13:23:11.81 0.net]: どの書き込みの事を言ってるんだ？？？
892 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/02/27(月) 21:23:29.89 0.net]: cronなどでcertbot実行時に--force-renewalつけてる迷惑な方々
893 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/02/27(月) 23:24:42.98 0.net]: なんだ日本語読めないんだな(笑)
894 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/03/03(金) 15:38:21.43 0.net]: cron で certbot renew を毎日動かしてるんだけど、
/var/log/letsencrypt/ 以下のログって黙っていると無限増殖するんですよね？
895 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/03/03(金) 19:48:18.17 0.net]: つまりお前さんが喋り続けるとログが増えないとか
すごい才能だな
896 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/03/03(金) 22:53:35.30 0.net]: linuxでもBSDでもログをローテーションする機能あるだろう
897 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/03/04(土) 03:01:52.11 0.net]: >>871
certbot使ってない？
certbotがでローテーションはやるが古い世代の削除をやらないだけ。
898 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/03/04(土) 06:34:24.52 0.net]: >>872

そうなんですよね。みなさん、ログのお掃除してます？
899 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/03/07(火) 16:24:50.60 0.net]: 1日1回ぐらいしか書き出されないログを掃除する必要なんて全くないんだが……
昭和生まれでフロッピーディスクとか使ったことある世代の人間なのか？

参考までに、俺の VPS のApache が吐いているログファイル "www.example.com-ssl_access_log" は、1日200万PVで、1日あたり 2.7GB にもなる (UserAgent名も書き出しているから容量多いっぽい)
だけど、パフォーマンス上の問題は全くおきていないぞ

/var/log/letsencrypt/ のログを見たところ、1日あたり 50KB 程度だった
毎日cronで回して、1年で 18.25MB、10年そのサーバを運用しても 182.5MB にしかならない

つまり、certbot のログは、一生貯め込んでも全く問題がないと言える
10年ため込んでも200MBにもならないログの容量の心配をするのは、老害もいいとこである
900 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/03/07(火) 17:26:39.34 0.net]: 必要ないログ貯めてどうするｗ
せいぜ次の更新までぐらいでOKだろう
901 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/03/07(火) 17:36:19.55 0.net]: >>875
なんか「必要のないメール貯めてどうする。要らないメールは見たら消せば良い」と言ってる老害みたいだな
俺のGmailアカウントは1度もメール消したことないし、今チェックしたら34万通貯まってたが、これから一生メールを削除することはないだろう

過去のメールやログは、何かに役立つときが来るかもしれないから念のため取っておくというのが今主流の考え方だと思う
902 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/03/07(火) 18:18:03.66 0.net]: ローテートで保持数指定出来るんだから、必要な分以外は無いのが普通だろ
容量の問題じゃないからメールとの比較も的外れだ
サーバ管理者には向かない性格してそうだな
903 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/03/07(火) 18:21:21.60 0.net]: 実際のとこ気にする必要があるかって言われたら無いよね
904 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/03/07(火) 18:42:05.04 0.net]: >>877
ログを安易に消しちゃう方がサーバ管理者に向いてないよ

例えば、正常に動いているように見えて実は不具合が発生していたことに気が付いた場合（ログにもエラーが記録されていない）ようなとき、
過去にも同様の問題が発生していたのかどうかの情報が役に経つこともある
ログ全検索で、5年ぐらい前にも同じエラーが発生していたことが分かり、そっちのログがヒントになって問題が解決したこともある
905 名前：879 mailto:sage [2017/03/07(火) 18:46:24.66 0.net]: 「ログにもエラーが記録されていない」というのはエラーログだけ随時チェックしていても気が付かないけど
生ログには問題を解決するのに役立つ情報が含まれている場合ね

今回初めて発生した問題なのか、過去に気が付かなかっただけで同じ問題が発生したことがあったのかが重要になることもあるから、
やはりログは原則削除すべきではない

例外は、WebサービスのPOSTデータの生ログなど、容量が膨大になり保管が困難な場合
勿論、役に立たないデータというわけではなく、例えば数年ぶりにログインしたユーザーからデータが損傷しているというクレームがあったとき、
数年前のPOST生ログがあれば復旧可能なこともあって役には立つわけだけど、容量が膨大になるときは保管コストが高いので消さざるを得ない
906 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/03/07(火) 20:13:22.17 0.net]: certbotが吐くログに１年前がどうとかってアホかと

POSTデータの生ログで復旧するようなシステムってデータベースで設計しろよとｗ
保管コスト以前に膨大な量のログから異常見つけるコスト考えろって
907 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/03/07(火) 20:16:41.88 0.net]: Let's Encryptで数年前のログが必要になると？
アホか
過去のログなんてのはいつから問題が発生していたか程度分かれば問題ない
証明書の期間が3ヶ月なんだからそれ以上は残しても無駄
908 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/03/07(火) 20:22:29.35 0.net]: こんなことで怒るなよ。
仲良くしようぜ。
909 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/03/07(火) 20:32:04.05 0.net]: >>882
> 証明書の期間が3ヶ月なんだからそれ以上は残しても無駄

いや、証明書の期間過ぎてもログは使い道あるだろ

例えば、Certbotって仕様が色々複雑でSANのエリア拡張がどれにかかるのかとか
サブドメイン列挙したときにどれがメインのドメイン名でどれがSAN扱いなのかとか
色々よくわからない点あるじゃん
過去のログとっとくと、昔ああいうコマンド打った時こういう証明書が発行されたな、とか色々わかって便利

「無駄」がどうのと言い出すのなら、1日数十キロバイト程度のログをどうするのかをいちいち考える時間が一番無駄
気にせず放置してログはそのまま保存しとけばいいだけ

ログが万が一漏えいしたときのリスクとか的外れなことは言い出すなよｗ
root権限でしかアクセスできないログが漏えいする時には、もっと重要な秘密鍵もとっくに漏えいしてるわｗ
910 名前：名無しさん＠お腹いっぱい。 [2017/03/07(火) 20:43:13.54 0.net]: どうでもいいけどrootでしか弄れないログをどうこうするスクリプト書くのはコマンドミスったとき致命傷になるぞ
大した必要もないのに下らんこと気にする方がリスクが高いな
911 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/03/07(火) 20:52:26.65 0.net]: >過去のログとっとくと、昔ああいうコマンド打った時こういう証明書が発行されたな、とか色々わかって便利
メモれよ
馬鹿か
912 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/03/07(火) 21:54:42.44 0.net]: 過去のログなんて見る事自体ないつーの
そんなに暇なんか
913 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/03/07(火) 22:01:19.81 0.net]: 証明書の更新に失敗してたとして、当日分はわかるが過去ログまで見るか？
どうせ同じエラーしか出力されていないだろうし、エラー内容ググればすぐに解決するだろ
914 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/03/08(水) 19:31:52.67 0.net]: 鯖缶に向かない人だね
915 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/03/08(水) 19:58:20.90 0.net]: わけあってIPアドレス表記の証明書が欲しい…
レアすぎる要求なんだろうな。
916 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/03/08(水) 23:57:20.06 0.net]: 有料のところでコモンネームがグローバルIPのSSL証明書とればいいんじゃね。
917 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/03/12(日) 21:15:47.98 0.net]: パイソン2.4でも動くようにしてくれ。
918 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/03/12(日) 22:20:32.88 0.net]: ほんとそれ
919 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/03/12(日) 23:48:18.84 0.net]: 必要なら自分でフォークして作ればいいじゃないよ
そうじゃなくたって公式以外の実装はいくらでもあるのに
920 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/03/13(月) 00:23:37.15 0.net]: python2.4とか骨董品OS使用で踏み台メーカーにしか見えない
921 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/03/13(月) 05:05:51.71 0.net]: しょうがねーなー
/usr/local/にpython2.6一時期入れてみるよ。
年季の入ったＣｅｎｔOS5管理者を舐めるなよ！
922 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/03/13(月) 09:04:05.39 0.net]: >>896
今月でサポート終了だよね＞CentOS5
923 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/03/13(月) 12:28:25.50 0.net]: べつ
924 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/03/13(月) 12:29:16.82 0.net]: 別に自分で管理できるからいいよ。
さい
925 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/03/13(月) 12:30:08.35 0.net]: 最急的にrpmほとんどなくなっちゃうかも。
926 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/03/13(月) 14:55:39.14 0.net]: 落ち着けよｗ
927 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/03/13(月) 19:40:35.57 0.net]: >>899
踏み台にされたときの言い訳も用意した方が良いよ
俺のせいじゃないって
928 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/03/13(月) 20:44:05.33 0.net]: kernelは2.6でかなり完成されてて、
内部に自分以外のログインユーザーがいたりしなきゃ問題ない。
kernelより上のサーバー周りはほとんどソースからビルドしてるし。
CentOSといいつつ、その機能はほとんど使ってない…
929 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/03/13(月) 23:33:48.30 0.net]: スタンドアローンならそれでいいんじゃない
930 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/03/14(火) 00:42:27.07 0.net]: Slackware
931 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/03/18(土) 08:33:12.30 0.net]: FTPサーバーに入れたんだけど
ffftp ではオレオレ証明と同じ扱いになる。
3ヶ月で証明書は変わるし使えないって事？
932 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/03/18(土) 11:00:52.11 0.net]: そもそもなぜSFTPではなくFTPSに行こうとするのかが目が見えてるのかなと思わされるくらい
933 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/03/18(土) 16:44:51.22 0.net]: >>907
じゃ sftp でも良いからあらかじめ証明書をダウンロードなどしないで本当に相手なのか確認できる方法があるの。
934 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/03/18(土) 17:46:29.23 0.net]: IPで繋いで信用できないなら話にならないだろJK
935 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/03/18(土) 22:47:49.01 0.net]: 最近の素人はこのレベルなのか…
936 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/03/19(日) 02:23:05.70 0.net]: ・SFTP じゃなくて FTPS (File Transfer Protocol over SSL/TLS) を使ってる？

・FTPSクライアントのホスト名にはIPアドレスじゃなくて、ドメイン名で入れてる？
　Let's Encrypt は IPアドレスに対する証明書じゃないのでIP入力ならオレオレ扱いになるのは当然

・FFFTPがFTPS対応かはつかってないので知らんけど、仮に対応だとしても小規模のフリーソフトレベルのソフトが
　Mozillaのように独自の証明書ストアを持っているとは思えない
　Chromeとかと同じようにOSの証明書ストア（IEとかEdgeと共通）を使ってると考えるのが自然

　ってことでLet's の証明書でエラーでるならベリサインとかシマンテックとかジオトラストの証明書でも
　同じエラーが出ると思う
937 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/03/19(日) 15:06:24.99 0.net]: >>909
それを言ったらhttpsでもIPでアドレスでつなげばオレオレで良いって話じゃないか。
938 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/03/19(日) 17:14:55.26 0.net]: 安全性の話ならipアドレスが信用できないなら証明書があろうとあまり意味ないし

ブラウザの警告の話なら確かに出るけど
そもそもどうしたいの？

ただ警告消したいの？
939 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/03/20(月) 10:05:21.29 0.net]: そもそもSSLってのはパケットやURIの暗号化もあるけど、DNSやドメインが乗っ取られたとしても検知して証明書に記載された正しいIPホストへの接続を保障するものであってIPアドレスそのものに付けても意味ないだろ
940 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/03/20(月) 11:29:49.36 0.net]: DNS乗っ取り前提だとLet's Encryptの証明性はゴミ以下だぞ
941 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/03/20(月) 15:28:47.96 0.net]: >>915
その通りだな

証明書を新規取得時に、下記の3つを全て確認してくるEV証明書こそまともな証明書だよ

・登記全部事項証明書（登記簿謄本）の原本の確認
・帝国データバンクの情報の確認
・タウンページ記載の電話番号への架電

Let's Encrypt をはじめとした各種DV証明書はほんとゴミ
認証作業が�
942 名前：@械化されている DV証明書で金をとる糞業者は滅びるべき DVは「平文」で通信されるDNSとか、「平文」のHTTPに認証用ファイルを乗せるとかを担保にしているので、 信頼性が全くない []: [ここ壊れてます]
943 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/03/22(水) 12:29:35.77 0.net]: >>916
ゴミというかそれらを省いてるからでしょ。
どれを使うかはホストした人が選べばいいだけ。
944 名前：名無しさん＠お腹いっぱい。 [2017/03/29(水) 18:05:05.09 0.net]: Symantec発行のSSL/TLS証明書、Google Chromeで段階的な期限短縮案
internet.watch.impress.co.jp/docs/news/1051510.html
https://security.srad.jp/story/17/03/26/064241/

「Chrome 64で279日以内の証明書しか受け入れないようにするとの提案を行った」模様

GeoTrust、Thawte、Verisign、Equifax も Symantec
使っている人が多い RapidSSL も GeoTrust なので、Symantec発行の証明書扱い

Google Chrome だと、大手認証局の証明書の有効期間も約9か月までに制限されそうなので、
自動更新が容易な Let's Encrypt の方が有利になるな

有償の証明書よりも利便性が高まるという皮肉な事態
945 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/03/29(水) 18:37:35.72 0.net]: Let'sEncryptはある意味Googleの身内みたいなもんだし
946 名前：ich1 [2017/04/01(土) 14:49:25.73 0.net]: https://goo.gl/8by4rX
これは嫌だなー。。本当なの？
947 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/04/09(日) 08:16:35.02 0.net]: 自宅鯖にこれ入れて泥タブで見ると「証明書が見つかりません」とか出てだめなんだけど、
なんでかわかりますか？
Windowsのクロムでみるとちゃんとアドレスが緑になってくれるのに。
もし入れるとしたら、何をどう入れれば
948 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/04/09(日) 10:03:19.23 0.net]: 国産の化石タブは窓から投げ捨てるに限る
949 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/04/09(日) 10:09:02.65 0.net]: 「キャンセル」押してしばらく放っておいたら見れるようになった。
なんかわからんけど解決。
950 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/04/09(日) 23:25:55.06 0.net]: ページキャッシュしてただけじゃね？
951 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/04/10(月) 23:58:40.25 0.net]: ダメなのはその端末で最初に表示するときだから、キャッシュはないはずなんだよね
危険の警告じゃなくて、証明書インストールしますか？というダイアログが出る
端末は去年買った3台とも。
952 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/04/11(火) 02:14:38.68 0.net]: 真面目に解決する気があるならそれなりの書き込みをしろよ
ここはお前の日記帳じゃない
953 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/04/11(火) 07:10:58.99 0.net]: 情報がないなら別に書き込まなくていい
954 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/04/11(火) 09:06:39.67 0.net]: 単にサーバー証明書と秘密鍵だけ指定して、中間証明書(chain)指定し忘れてるとかいうオチかと。
955 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/04/11(火) 09:59:45.00 0.net]: だな
956 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/04/11(火) 12:12:55.70 0.net]: 921はIISなのですが、証明書の発行とインストール（letsencrypt-win-simple.V1.9.3で自動）
をやり直して、現在はエラーが出ていません。

中間証明書は自動でインストールされる xxx.xxxxx.com-all.pfx に含まれているのでしょうか。
.pemのほうはいくつか生成されていて、-chainというやつがそれっぽいですが、.pfxは一個しか
ないけれど、上のファイルとほぼ同じ大きさのファイル。
957 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/05/15(月) 07:35:27.64 0.net]: 毎日 cron で動いている certbot が下記のエラー。

An unexpected error occurred:
AttributeError: 'tuple' object has no attribute 'add'
Please see the logfile 'certbot.log' for more details.

指示に従って、certbot.log なんかを見たりして、ググったところ

py-configargparse

が、11 だと certbot は動くけど、12 になるとエラーとなることが分かった。
調べると、確かに昨日 12 にアップデートしてたので、とりあえず、１１に戻したら
動くようになった。

まぁ、certbot 側か configargparse 側のどちらか（あるいは両方）が近いうちに対処すると思うけど
とりあえず、これで１時間ほど使ったので、メモ代わりに残しておこうｗ
958 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/06/28(水) 09:07:51.36 0.net]: ここ生きてますか？
959 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/06/28(水) 10:13:21.69 0.net]: は
960 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/06/28(水) 12:59:14.59 0.net]: 何も無いって事は、問題ないって事の証でしたかｗ
961 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/07/11(火) 07:09:39.57 0.net]: ワイルドカードの証明書が発行できるようになるっぽい
962 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/07/11(火) 09:49:11.03 0.net]: 来年か
https://letsencrypt.org/2017/07/06/wildcard-certificates-coming-jan-2018.html
963 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/07/12(水) 11:41:49.71 0.net]: まじか
これでサブドメイン毎に証明書を分けなくても、
証明書から他のサブドメインがバレるって事はなくなるな
964 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/07/14(金) 23:05:26.53 0.net]: でもどうやって申請者の正当性を確かめるんだろう
今みたいな「そのドメインを管理している証明」の方式が使えるのだろうか。
あるドメインでアクセスできる場所に申請者がミシルシを置けるなら、そのサブドメインは
どれでもOKみたいな？
965 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/07/14(金) 23:14:24.38 0.net]: hoge.tdlが承認できれば*.hoge.tdlもおkじゃ無いのか？
966 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/07/15(土) 12:41:20.33 0.net]: *.example.comが登録できるだけで
*.sub.example.comが登録できるわけではないだろ
967 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/07/15(土) 12:42:48.07 0.net]: ワイルドカードってそういうもの？
968 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/07/15(土) 12:57:00.20 0.net]: >>941
少なくともSSLのワイルドカードの扱いはそういうものです。
969 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/07/15(土) 13:06:12.88 0.net]: 有料でやってる所はDVがなくなってOV、EVになるだろうな
970 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/07/15(土) 13:24:03.38 0.net]: >>942
なるほど、じゃあワイルドカードｷﾀｰって人はそこまで多くなさそう
971 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/07/15(土) 13:53:37.25 0.net]: このRFCだった。
https://tools.ietf.org/html/rfc6125#page-27
6.4.3. Checking of Wildcard Certificates
972 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/07/15(土) 15:39:24.77 0.net]: >>944
え？？本当に理解してるか？
サブドメインごとに登録が必要なのがドメインにつき一つでいいんだぞ？
973 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/07/15(土) 16:05:38.03 0.net]: >>946
自分でドメインとってる人は嬉しいだろうけどね
別にddnsのサブドメインでいいやって人には恩恵なさそうな流れだったからね
974 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/07/15(土) 16:06:52.48 0.net]: 馬鹿にわざわざ説明してまで使っていただく必要はございませぬ
975 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/07/15(土) 16:22:55.44 0.net]: >>947
> 別にddnsのサブドメインでいいや
ああそんな人がいることを考えてなかった
976 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/07/15(土) 21:39:46.50 0.net]: 少数派なのは間違いないだろうな
977 名前：名無しさん＠お腹いっぱい。 [2017/08/04(金) 15:23:49.33 0.net]: そうだな
978 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/08/06(日) 00:53:10.28 0.net]: メジャースポンサーの中に日本の企業も入ったな
979 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/08/22(火) 14:42:15.78 0.net]: 証明書の有効期限が物凄く短くて
Rootで動くクライアントソフトを定期的に回さないといけない仕様ぽいんだけど
ほんとに、こいつ信用しちゃって大丈夫なん？

やや怖い
980 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/08/22(火) 14:49:12.05 0.net]: インターネットの権利を守る非営利では一番歴史と実績の多い電子フロンティア財団を信用するか否かってところやな
981 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/08/22(火) 15:04:40.61 0.net]: CSRを送信したら1年か2年分のCRTが戻ってくる
っていうシンプルな仕組みにしなかった理由が知りたいところ
982 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/08/22(火) 15:34:03.42 0.net]: セキュリティリスクは放置されているか否かが割と重要
983 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/08/22(火) 19:48:35.56 0.net]: >>955
クズがサイト作って放置するからだよ
984 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/08/23(水) 12:00:18.07 0.net]: でもcertbot入れたらcron回してるだけで放置しても更新されるんだよな
985 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/08/23(水) 12:59:40.54 0.net]: 固定IPアドレス割り当てのプロバイダのドメイン名の証明書も取得してたのだがエラーで更新できなくなった。
1ドメインあたりの数の制限ではなく、Googleのunsafeドメインに引っかかってるのかな。
The client lacks sufficient authorization :: Error creating new authz :: "xxx.example.jp" was considered an unsafe domain by a third-party API. Skipping.
986 名前：名無しさん＠お腹いっぱい。 [2017/08/24(木) 22:20:16.11 0.net]: >>959
悪意あるサイトだと判明したらcert revoke できるから
987 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/09/23(土) 04:42:10.89 0.net]: そろそろ、次スレ、誰か作って。
988 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/09/23(土) 07:45:19.80 0.net]: >>961
過疎ってるからまだ大丈夫

来週初めての更新だ
期限前に更新バッチ叩いてもなにも起こらないのツラい。
989 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/09/23(土) 13:39:01.81 0.net]: 何も起こらない……？
更新スクリプトテストしていたときは普通に変わったよ。
長いこと放置している(自動更新させている)間に仕様変わったのか、
そもそも使っているスクリプトが違うのか。
990 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/09/23(土) 22:53:02.57 0.net]: 仕様変わったよ
期限近くないと何もしない
991 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/09/25(月) 09:49:17.39 0.net]: 近くってどれくらいなん？
992 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/09/27(水) 06:33:48.44 0.net]: >> 965

９月に更新の奴、

Your certificate (or certificates) for the names listed below will expire in 19 days

って注意喚起メールが来てたから、２０日位なんじゃないかな？
993 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/09/27(水) 12:17:01.39 0.net]: Windowsのバッチ、renewalで動かなくない？
IISのサーバー証明書が更新されず…
結局、手動で更新したけど、この先不安だなぁ
994 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/09/29(金) 07:51:51.20 0.net]: 動かないね。まあメールが来たらこれ打てばいいだけだから、困ってはいないけど。
letsencrypt.exe --accepttos --manualhost host.example.com --webroot C:\wwwroot
995 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/09/29(金) 21:12:11.54 0.net]: >>968
それだとIIS側の証明書参照先が更新されないので、手動で切り替えが必要だった
Chromeの仕様変更を期にRapidから乗り換えようと思ったのに…
996 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/09/29(金) 23:37:37.18 0.net]: WSLでできんの？
997 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/10/01(日) 20:04:25.02 0.net]: SSL化したら画像の読み込みが遅くなりました
サーバーはHTTP/2に対応していて、遅くなるのはネット回線が混雑する時間帯だけSSLだとしょうがないものでしょうか？
998 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/10/01(日) 21:46:43.22 0.net]: 遅くなったと言うのは具体的にはどの程度
明確な数値でお願いします
999 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/10/01(日) 22:56:49.48 0.net]: >>972
レスありがとうございます
画像20枚程度1.3MBのページでテスト
httpだと1.5秒、httpsだと3～4秒くらいの読み込み
夜の回線が混雑する時間帯以外は両方とも1.5秒程度です
chromeのツールだと画像のcontent downloadというところが速度低下の原因のようです
1000 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/10/01(日) 23:03:39.58 0.net]: >>972
すいません訂正です

混雑する時間帯は
httpだと2秒、httpsだと3～4秒くらいの読み込みでした
httpでも多少遅くなりますが、httpsの方が回線の影響を受けやすいようです
申し訳ないです
1001 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/10/01(日) 23:37:08.93 0.net]: それは回線というより鯖に詰め込みすぎでCPU負荷かかってるんじゃないの？
SSLは一応CPU食うからね
1002 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/10/02(月) 00:13:58.48 0.net]: >>975
ありがとうございます
サーバーはそれなりのスペックなんで大丈夫だと思います(たぶん)

色々調べたところHTTP/2が原因のようでした
非対応のブラウザだとSSLでも速度低下はみられませんでした
1003 名前：名無しさん＠お腹いっぱい。 [2017/10/02(月) 12:23:01.82 0.net]: 作りが酷いウェブアプリ（結果の返答
1004 名前：に長時間かかる処理を非同期ではなく同期でロードさせるとか） だとそれに引っ張られて読み込みがロックされてしばらく画面真っ白になることはある。 ワイルドカード証明書使ってると他のサブドメインにも波及するので怖い。 Let's Encrypt では無縁だけど。 []: [ここ壊れてます]
1005 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/10/02(月) 12:56:05.02 0.net]: >>977
来年 1 月から Let's Encrypt もワイルドカードの証明書発行するっしょ
1006 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/10/16(月) 07:10:26.63 0.net]: ssl通信初心者です

・サーバ側はIISを利用、クライアント側はcURLを利用
・サーバ側で自己署名証明書を作成してFTPにバインドした
・FTPS通信をクライアントPCからやってみたら警告さえ無視したら(証明書の不正に関する)暗号化もできた通信ができている

この警告を無くすために次の手段としてはこのレッツエンクリプトを導入になるのかな？
公的な機関でなくて良いので(閉じたネットワーク上なため)、この警告をなくす方法を知りたいです

そもそもIISに何かしら(pem?cer?pfx)発行させてクライアントpcにファイルを持っていく必要はない？？
勉強してた限りだとサーバが発行する証明書が真であると判断するために、
何かしらクライアントpcに取り込まなくてはいけないのかな？と思っていたので
何もクライアントに取り込まずに出来ていて戸惑ってます
1007 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/10/16(月) 14:23:36.68 0.net]: >>979
CA証明書がクライアントPCの信頼されたルート証明機関にあれば、そのCAが発行した証明書で警告が出ない
これが基本

自己署名なら自分のCA証明書をクライアントに入れればいい
Let's Encryptはdomain validationだから閉じたネットワークに使うものではない
したがってスレチ
1008 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/10/16(月) 16:27:12.39 0.net]: >>979
IISの鯖に証明機関サービス入れてIISのサーバで署名して
そこのCA証明書を信頼させればいいし
台数多くてActiveDirectry入れてるならポリシーに信頼する項目入れりゃいい

Let's Encrypt利用するなら一時的にでも外向きにドメインとサーバ設定して
証明書貰うのが楽だけど90日ごとにそれやらんとならんよ
1009 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/10/16(月) 16:35:11.10 0.net]: IPv4でLet's Encryptの証明書をとって、東西NTTのNGNのIPv6網上で使うことは可能だった。
IPv6でインターネット繋がってなくても、東同士、西同士だったら通信できる。
1010 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/10/16(月) 16:53:15.92 0.net]: プライベートIPを指すホスト名用に Let's Encrypt って取得時毎に IP をグローバルにするか
ローカル用にDNS立てないと無理かね。　ワイルドカードの発行が始まれば解決ではあるんだけど

>981 Let's Encrypt って CA証明書用の発行してくれるっけ？　オレオレをローカルにばら撒けという話かな？
1011 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/10/16(月) 18:19:07.73 0.net]: >>983
1. 一時的に外から鯖がドメインでつながるようにして鯖証明書を取得し、取得完了後は切り離す(LE)
2. 俺俺CAを蔵の信頼リストに入れる
どっちか選べって話だろ
1012 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/10/17(火) 00:40:33.56 0.net]: んなことしなくてもそのドメインインターネットに繋がってる別の鯖に向けといて証明書取ってそれをコピーしてくるだけでいいじゃん
1013 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/10/17(火) 01:12:53.16 0.net]: そんなトリッキーな使い方するなら素直に金払った方がいいと思うよ
1014 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/10/17(火) 06:23:00.96 0.net]: オレオレをインストールしまくるより、鯖の証明書移動するほうが楽な気がする。
クライアントを触らないでいいからね
1015 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/10/17(火) 17:47:41.99 0.net]: 鯖の証明書ってオレオレのこといってんだとおもってたけど違うのか？
1016 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/10/17(火) 17:48:27.27 0.net]: 外に繋がってないローカルpcにSSL通信させたいけどこれって無理？第三機関に繋がらないよね？
1017 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/10/17(火) 20:16:52.81 0.net]: >>989
密室の中の人がどうやって外の人と手をつなぐかだな

コナン君に聞いてくれ
1018 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/10/17(火) 21:59:34.68 0.net]: 閉じたローカルネット上のＰＣとサーバとの間の経路に通信内容を盗聴しようとする何かがいたりするのか？
1019 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/10/17(火) 22:19:06.41 0.net]: LAN内だから生で流していいとかあり得んから
1020 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/10/17(火) 22:48:49.04 0.net]: >>989
外の定義が微妙だけど、俺俺じゃだめなのか？
1021 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/10/17(火) 23:56:42.95 0.net]: >>992
これ
1022 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/10/18(水) 00:43:32.33 0.net]: >>1
長すぎる気がするんだが次スレ立てるとき適当に削っていいよな？
1023 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/10/18(水) 01:15:30.52 0.net]: いいんじゃね
1024 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/10/18(水) 10:46:25.62 0.net]: 無料SSL/TLS証明書 Let's Encrypt Part2
mevius.2ch.net/test/read.cgi/hosting/1508291164/
1025 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/10/19(木) 04:01:29.96 0.net]: >>997
スレ立て乙
1026 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/10/19(木) 07:31:43.64 0.net]: 埋め
1027 名前：名無しさん＠お腹いっぱい。 mailto:sage [2017/10/19(木) 10:53:54.02 0.net]: 質問いいですか？
1028 名前：1001 [Over 1000 Thread.net]: このスレッドは１０００を超えました。
新しいスレッドを立ててください。
life time: 688日 16時間 52分 39秒
1029 名前：過去ログ ★ [[過去ログ]]: ■ このスレッドは過去ログ倉庫に格納されています

[ 新着レスの取得/表示 (agate) ] / [ 携帯版 ]

read.cgi ver5.27 [feat.BBS2 +1.6] / e.0.2 (02/09/03) / eucaly.net products.
担当:undef