【全ブラウザ対応】　無料SSL/TLS　Let's Encrypt

[表示 : 全て最新50 1-99 101- 201- 301- 401- 501- 601- 701- 801- 901- 1001- 2ch.scのread.cgiへ]
Update time : 11/25 13:56 / Filesize : 264 KB / Number-of Response : 1030
[このスレッドの書き込みを削除する]
[＋板最近立ったスレ＆熱いスレ一覧 : ＋板最近立ったスレ／記者別一覧] [類似スレッド一覧]


↑キャッシュ検索、類似スレ動作を修正しました、ご迷惑をお掛けしました

1 名前：名無しさん＠お腹いっぱい。 [2015/11/30(月) 18:01:15.69 0.net]: 2015年12月3日に公開ベータ（Public Beta）が開始される予定の Let's Encrypt のスレです。

これは、いわゆる無料の SSL/TLS 証明書なわけですが、ブラウザ Mozilla Firefox を作っているモジラ財団とか、
ネットワーク機器大手のシスコとか、ネットワークインフラ大手のAkamaiとかが出資している大規模なプロジェクトなので、
途中で有料化したり、サービス停止になったりする心配もありません。

さらに、全ブラウザにルート認証局として入っているアメリカの最大手CA IdenTrust の傘下の証明書という扱い（クロスルート）になったので、
クローズベータをやっている現時点でも、全ブラウザに対応しているという神証明書です。

はっきりいって、IdenTrust の証明書をけっているブラウザなんて考えられないので、ジオトラストとかのドメイン認証証明書と同格以上の証明書が
無料で手に入ることになります。

明々後日からは、専用クライアントをダウンロードして、コマンドを実行するだけで、VPS など root 権限があるサーバとドメインがあれば証明書が入手可能なので、
期待しておきましょう。

もう、SSL/TLS の証明書にお金をかける時代はおわったのです（ただし、実在証明を含むEV証明書を除く）

【Let's Encrypt 公式サイト】（英語）
https://letsencrypt.org/

【Let's Encrypt 公式Twitter】（英語による最新情報）
https://twitter.com/letsencrypt

【Let's Encrypt 総合ポータル】（日本語）
https://letsencrypt.jp/

【Let's Encrypt 導入方法】（日本語）
https://letsencrypt.jp/usage/
76 名前：名無しさん＠お腹いっぱい。 mailto:sage [2015/12/05(土) 17:10:54.25 0.net]: よし
今夜から使うぞ
77 名前：名無しさん＠お腹いっぱい。 mailto:sage [2015/12/05(土) 20:02:25.82 0.net]: SNI 用にいくつかもらいたいのだけど
./letsencrypt-auto certonly -a standalone \
-d letsencrypt.jp -d www.letsencrypt.jp \
--server https://acme-v01.api.letsencrypt.org/directory
をその分ドメインだけ変えて繰り返せばよいのかな。
78 名前：名無しさん＠お腹いっぱい。 mailto:sage [2015/12/06(日) 10:48:40.19 0.net]: -d example.com をその数だけ並べればいいよ
79 名前：名無しさん＠お腹いっぱい。 mailto:sage [2015/12/06(日) 11:08:00.09 0.net]: >>76
ん？SANじゃなくてSNIなのですが…
80 名前：名無しさん＠お腹いっぱい。 mailto:sage [2015/12/06(日) 11:13:29.95 0.net]: だったらそんな初歩的な質問するまえにやってるはずだが
何でも聞かないとできないタイプか
81 名前：名無しさん＠お腹いっぱい。 mailto:sage [2015/12/06(日) 11:37:07.15 0.net]: >>77
は？
SANsの証明書を使いまわせばいいだけだろ
82 名前：名無しさん＠お腹いっぱい。 mailto:sage [2015/12/06(日) 11:37:09.55 0.net]: SAN のやつを SNI でホスト毎に同じの指定すりゃいいじゃんか。
83 名前：名無しさん＠お腹いっぱい。 mailto:sage [2015/12/06(日) 11:37:53.82 0.net]: 2sec 先こされたわｗｗ
84 名前：名無しさん＠お腹いっぱい。 mailto:sage [2015/12/06(日) 15:31:13.61 0.net]: startsslで結構梃子摺ったのに
こっちはかなり楽そうだな
85 名前：名無しさん＠お腹いっぱい。 mailto:sage [2015/12/06(日) 15:40:47.29 0.net]: startsslにてこずるところなんてなかったろ
86 名前：名無しさん＠お腹いっぱい。 mailto:sage [2015/12/06(日) 15:43:23.50 0.net]: CSR すら自分でやる必要も無く全自動だから、たいして知識がなくとも
説明通りに設定するだけで使える。メリットでもあるし、デメリットにもなるかもしれないなｗ
証明書だけじゃなく、SSL の動作に関してもある程度設定詰めないといけないしね。
まぁそれすら生成してくれるサイトあるけど。
87 名前：名無しさん＠お腹いっぱい。 mailto:sage [2015/12/06(日) 16:05:25.12 0.net]: >>83
ウェブ素人なんや
察してくれ
88 名前：名無しさん＠お腹いっぱい。 [2015/12/08(火) 00:19:35.55 0.net]: 最大手のアットマークITでも取り上げられた模様
www.atmarkit.co.jp/ait/articles/1512/07/news072.html

これは Let's Encrypt がどんどん普及していくかもしれない
89 名前：名無しさん＠お腹いっぱい。 mailto:sage [2015/12/08(火) 08:03:51.94 0.net]: 自分のサブドメイン分作ろうと思ったら発行上限に達して作れなくなった模様ｗｗ
マルチドメインはなんだかなーなんだよなー
90 名前：名無しさん＠お腹いっぱい。 mailto:sage [2015/12/08(火) 13:20:31.44 0.net]: 何個発行しようとしたんだ？
91 名前：名無しさん＠お腹いっぱい。 mailto:sage [2015/12/08(火) 13:49:27.66 0.net]: ＞パブリックβ期間中は 7日間で5証明書/ドメイン

となってるな
92 名前：名無しさん＠お腹いっぱい。 [2015/12/08(火) 15:49:24.08 0.net]: BlueOnyxコンパネが対応した。
マウスクリックしかできないweb素人でも
一瞬で証明書が取れる時代になったわけだ。
93 名前：名無しさん＠お腹いっぱい。 mailto:sage [2015/12/08(火) 18:21:15.34 0.net]: >>88
>>89 の通り 5 個だった。

話変わるけど、
<VirtualHost *:443>
Define vhost hoge.example.com
ServerName ${vhost}
SSLEngine on
SSLCertificateFile /etc/letsencrypt/live/${vhost}/cert.pem
SSLCertificateKeyFile /etc/letsencrypt/live/${vhost}/privkey.pem
SSLCACertificateFile /etc/letsencrypt/live/${vhost}/fullchain.pem
...
...
こう書けば証明書の記述はコピペで行けるから楽だな。
letsencrypt-auto の証明書配置好きだわｗ
94 名前：名無しさん＠お腹いっぱい。 mailto:sage [2015/12/08(火) 18:44:07.02 0.net]: gmailからpopsでのフェッチアクセスも認証通りますか？
95 名前：名無しさん＠お腹いっぱい。 mailto:sage [2015/12/08(火) 23:35:04.30 0.net]: 今 httpd.conf を grep したら VirtualHost が 122 個もあった
全部外部向けに https で公開したいわけじゃないけど

7日間で5証明書では毎日チビチビ取得するの面倒だな
β取れたら緩和されるかな？
96 名前：名無しさん＠お腹いっぱい。 mailto:sage [2015/12/08(火) 23:47:14.46 0.net]: >>91
>SSLCACertificateFile /etc/letsencrypt/live/${vhost}/fullchain.pem

これ
97 名前：間違ってない？ []: [ここ壊れてます]
98 名前：名無しさん＠お腹いっぱい。 mailto:sage [2015/12/08(火) 23:56:22.62 0.net]: 内部向けはオレオレで認証局作ってクライアントに信頼させときゃいいっしょ。証明書はワイルドカード 1 つでｗ
証明書の発行やらは現状だと httpd 止めないと行けないからあまりホスト数多いと更新の時点ではダウンタイム長くなりそうだな。
99 名前：名無しさん＠お腹いっぱい。 mailto:sage [2015/12/08(火) 23:58:54.89 0.net]: >>94
そこは fullchain.pem か chain.pem どっちでもいいけどそうした方が結果としては良い。
最悪無くとも暗号化経路は確保されるけど SSL Server Test のスコア落ちるから嫌だｗ
100 名前：名無しさん＠お腹いっぱい。 mailto:sage [2015/12/09(水) 00:03:58.02 0.net]: >>96
いんや、そっちじゃなくて

SSLCA～

クライアント証明書を認証するためのサーバー側のCA証明書ストアを記述するディレクティブじゃない？
って話
101 名前：名無しさん＠お腹いっぱい。 mailto:sage [2015/12/09(水) 00:08:24.10 0.net]: Let's は今のところワイルドカードに対応する予定は無いってFAQにあるし
SubjectAltName は証明書を見るとサブドメインが全部バレてしまうので嫌なんじゃー
102 名前：名無しさん＠お腹いっぱい。 mailto:sage [2015/12/09(水) 00:37:24.14 0.net]: ライセンス同意とメールアドレス入力のためにわざわざ画面が立ち上がるのは
自動で大量取得されないため？

でもオープンソースだからどうにでもなるよね
103 名前：名無しさん＠お腹いっぱい。 mailto:sage [2015/12/09(水) 01:25:13.97 0.net]: >>99
それ、初回だけだよ
ライセンス同意とメールアドレスの入力の内容は保存されるので
他のドメインで取得する場合でも、確認画面などは一切立ち上がらずコマンドのみでいける
104 名前：名無しさん＠お腹いっぱい。 mailto:sage [2015/12/09(水) 01:38:51.57 0.net]: 保存されると書いてあるだろ
105 名前：名無しさん＠お腹いっぱい。 mailto:sage [2015/12/09(水) 01:40:32.68 0.net]: >>97
ああ、なぜそのディレクティブが～ってって事か。
俺もそれは謎に思って調べたら Let's Encrypt のフォーラムでそう記述するところが大半だった。
SSLCACertificateFile の指定が無いと SSL Server Test で Incomplete Chain だかなんだかアラートが出た。
この点、今一理解してないｗ
106 名前：名無しさん＠お腹いっぱい。 mailto:sage [2015/12/09(水) 01:40:37.79 0.net]: それなら尚更あの画面を出す意味がわからない
全部CUIでいいじゃん
--debug とかログとか見ると、あれのために python の追加モジュールとか
色々インストールさせられるみたいなんだけど
普段 python なんか使わないからゴミが増えて邪魔なんだよなぁ
107 名前：名無しさん＠お腹いっぱい。 mailto:sage [2015/12/09(水) 01:42:54.51 0.net]: SSLCACertificateFile じゃなくて SSLCertificateFile が正解だと思うんだが
まだ Apache2.2 使いだから Apache2.4 のことはよくわからない
108 名前：名無しさん＠お腹いっぱい。 mailto:sage [2015/12/09(水) 01:45:13.55 0.net]: あ、ちょい古の 2.2 は SSLCertificateChainFile が正解かな
109 名前：名無しさん＠お腹いっぱい。 mailto:sage [2015/12/09(水) 08:08:46.18 0.net]: >>95
そんな恐ろしいことできるわけない
110 名前：名無しさん＠お腹いっぱい。 mailto:sage [2015/12/09(水) 08:53:41.24 0.net]: >>95
内部向けは内部にCA作ってWindowsのポリシーで信頼させてる
WindowsでActiveDirectoryのみになるけどこれが楽
111 名前：名無しさん＠お腹いっぱい。 mailto:sage [2015/12/09(水) 10:58:03.26 0.net]: >>105
最新の Apache でも同じ。obsolute だけど。
112 名前：名無しさん＠お腹いっぱい。 mailto:sage [2015/12/09(水) 11:15:45.46 0.net]: ./letsencrypt-auto --apache で全自動で作ったやつは

SSLCertificateChainFile /etc/letsencrypt/live/example.com/chain.pem

となってるな、Apacheは 2.4.7
113 名前：名無しさん＠お腹いっぱい。 mailto:sage [2015/12/10(木) 18:05:22.42 0.net]: Value Serverで使いたいんだけど「プライベートキーのパスワード」欄には何を入力すれば良いのでしょうか？
証明書は発行してもらいました
114 名前：名無しさん＠お腹いっぱい。 [2015/12/10(木) 18:55:01.81 0.net]: >>110
Let's Encrypt の秘密鍵は暗号化されてないので、本来は不要

もし、バリューサーバーが空白の暗号キーを受け付けないなら、
openssl のコマンドで、何らかのパスフレーズで秘密鍵を暗号化して、
そのパスフレーズを入力すればおっけー
115 名前：名無しさん＠お腹いっぱい。 mailto:sage [2015/12/10(木) 20:26:22.38 0.net]: パスワード設定しないとできなかったはず
共有レンサバとはいえ秘密鍵を盗める状況じゃ
他が詰んでる気がするんだけどどうなの

あともう直ってるかもしれないけど
俺がやったときはCA証明書がエラーで設定できなかったよ
サポートに言えばやってくれるけど3ヶ月ごとに連絡は面倒だわな
116 名前：名無しさん＠お腹いっぱい。 mailto:sage [2015/12/10(木) 20:32:48.72 0.net]: 110です。
パスワードの入力は必須とありますね。
正常に接続出来た様です。ありがとうございました。
117 名前：名無しさん＠お腹いっぱい。 mailto:sage [2015/12/11(金) 12:31:35.87 0.net]: RapidSSLが来年頭で更新だけど、Lets導入でトラブルのも嫌だし、とりあえずもう1年だけ更新しようかなぁ
すでにサブドメインで何十とサイトがあると導入失敗リスク高いよね多分

まぁテスト環境でも作っていっぺん導入してみるか
118 名前：名無しさん＠お腹いっぱい。 mailto:sage [2015/12/11(金) 17:19:03.62 0.net]: >>114
Rapid は値上げしたから他のにしたら。
119 名前：名無しさん＠お腹いっぱい。 mailto:sage [2015/12/12(土) 00:33:14.50 0.net]: 俺たちの、オレオレ認証局をネットワークでつなげよう！
120 名前：名無しさん＠お腹いっぱい。 mailto:sage [2015/12/12(土) 04:12:10.47 0.net]: >>116
俺だよ俺、俺だけどさ

え、俺って誰だって？　いや俺は俺だよ
メールで添付したルート証明書、インストールしてくれない？
121 名前：名無しさん＠お腹いっぱい。 mailto:sage [2015/12/12(土) 09:32:37.34 0.net]: そんなあなたに究極のオレオレ証明書
www.cacert.org
122 名前：名無しさん＠お腹いっぱい。 mailto:sage [2015/12/13(日) 00:55:30.07 0.net]: そろそろ Public Beta から一週間経つから
5 domain 制限越えられるかなってやったら追加で証明書取れたよ。
123 名前：名無しさん＠お腹いっぱい。 mailto:sage [2015/12/13(日) 01:16:21.23 0.net]: https://community.letsencrypt.org/t/rate-limits-for-lets-encrypt/6769
124 名前：名無しさん＠お腹いっぱい。 mailto:sage [2015/12/14(月) 02:02:14.90 0.net]: 実サーバー１台でたくさんドメイン持ってると単純にcronで定期更新ってわけにはいかないなぁ
５ドメインずつ分けて週一で取得or更新しにいくドメイン管理スケジューラみたいなのが無いと
ややこしいことになりそうだ

週に５ドメインで、60日に一度更新が推奨されてるからざっくり最大40ドメインが限界か
125 名前：名無しさん＠お腹いっぱい。 mailto:sage [2015/12/14(月) 03:01:54.79 0.net]: cron で毎日証明書の期限をチェック。
期限が 30～40 日前程度になった証明書は更新させてしまう。
って言うような単純なスクリプトを書いて回してるよ。

Too many うんたらで週制限掛かっても、cron で毎日勝手にリトライすることになるから
制限が外れ次第順次更新いけるはず。
更新周期は 60 日に一度とかなっているけど、実際にはもっと速く更新は出来るからなー。
126 名前：名無しさん＠お腹いっぱい。 mailto:sage [2015/12/14(月) 21:44:41.53 0.net]: ちょっとシェルスクリプトのテストしてたら
更新しすぎでエラーになってしまった

もうちょっと緩和してくれんかな

1IPあたりの制限とか、1アカウントあたりの制限とか、色々
127 名前：名無しさん＠お腹いっぱい。 mailto:sage [2015/12/14(月) 21:46:04.70 0.net]: テスト用のAPI Endpointがないのがイケてない
128 名前：名無しさん＠お腹いっぱい。 mailto:sage [2015/12/14(月) 22:16:53.59 0.net]: 善意の有志で翻訳してくれてるからあまり言いたくないけど日本語サイトの人

クライアントの使い方を翻訳してくれるのはいいんだけど --standalone モードで
一度 httpd を落として 80番を落とさないといけないように書いてあるけど
これってやっぱ導入のハードル上げてると思うのよね

本家英語の使い方には --webroot モードで無停止でやる方法も併記されてて
この方法を知ってればもっと早く導入してたしさ

どっちにしろ総合的に色々煩雑な印象がして
無料の StartSSL でいいやってなってしまうわ
129 名前：名無しさん＠お腹いっぱい。 mailto:sage [2015/12/14(月) 22:31:10.50 0.net]: でもstartsslって対応してないブラウザ多いんじゃなかったっけ
130 名前：名無しさん＠お腹いっぱい。 mailto:sage [2015/12/15(火) 01:15:10.82 0.net]: おまえはなにをいっているんだ？
131 名前：名無しさん＠お腹いっぱい。 mailto:sage [2015/12/15(火) 02:22:13.01 0.net]: >>126
いつの話をしてるんだ？
2009年には主要3ブラウザで使えるようになってるぞ。
132 名前：名無しさん＠お腹いっぱい。 mailto:sage [2015/12/15(火) 09:49:11.00 0.net]: >>125
> 一度 httpd を落として 80番を落とさないといけないように書いてあるけど
> これってやっぱ導入のハードル上げてると思うのよね
>
> 本家英語の使い方には --webroot モードで無停止でやる方法も併記されてて
> この方法を知ってればもっと早く導入してたしさ

まったくだ。

そいでもって
>>123
> ちょっとシェルスクリプトのテストしてたら
> 更新しすぎでエラーになってしまった

とすっかり同じ状態。こまったもんだ。
133 名前：名無しさん＠お腹いっぱい。 mailto:sage [2015/12/15(火) 11:07:53.90 0.net]: だからベータテスト中だってばよ
134 名前：名無しさん＠お腹いっぱい。 mailto:sage [2015/12/15(火) 11:15:32.43 0.net]: 証明書再読み込みのためにHTTPDの再起動は必要だろ

人によるのだろうが、自分の場合は今までオレオレ証明書だったSTG環境やバックエンド用ドメインなので、
IP制限やBasic認証が掛かっているために設定を変更しなければならない
それならstandaloneの方が便利だし楽
135 名前：名無しさん＠お腹いっぱい。 mailto:sage [2015/12/15(火) 13:23:53.78 0.net]: 90日は短いな。
136 名前：名無しさん＠お腹いっぱい。 mailto:sage [2015/12/15(火) 13:40:59.50 0.net]: postfixやdovecotのca鍵設定する場所にはfullchain指定しておけばいいんですかね？
一応それでgoogleとの暗号化通信はsmtpsもpop3sでfetchも成功したけど正しい設定か不安
137 名前：名無しさん＠お腹いっぱい。 mailto:sage [2015/12/15(火) 16:40:56.77 0.net]: Apache2.4 でどうなってるか知らんけど 2.2 なら apache2ctl -k graceful で gracefully restart すれば
サービスとしては無停止で再読み込みできる
httpd stop -> letsクライアント起動 -> httpd start より100倍マシ

nginx も reload で無停止再読み込みいけるんじゃなかったっけ？
138 名前：名無しさん＠お腹いっぱい。 mailto:sage [2015/12/15(火) 16:41:16.97 0.net]: >>133
それでよいと思うよ。openssl s_client -connect で大丈夫ならＯＫ．
ここは中間証明書は親切だね。
ｃｏｍｏｄｏなんか３ｔもファイル出してきてどれが中間ファイルだかわからなくて苦戦したよ。
結局3つを指定の順番でマージしろって。ならマージしたファイルよこせっての。
139 名前：名無しさん＠お腹いっぱい。 mailto:sage [2015/12/15(火) 17:31:11.78 0.net]: >>133
正しい設定かと言われるとたぶんNO
暗号化通信成功してるから結果オーライというならYES
140 名前：名無しさん＠お腹いっぱい。 mailto:sage [2015/12/15(火) 19:21:01.52 0.net]: そう言えば MTA に使うのも楽だよな。
httpd 側でデフォルトサーバーを用意して、mx のホスト名を httpd に定義しなければ
デフォルトサーバーに回るから、そのまま --webroot で更新行ける。
141 名前：名無しさん＠お腹いっぱい。 mailto:sage [2015/12/15(火) 20:30:30.46 0.net]: MTAはオレオレでいいから
142 名前：名無しさん＠お腹いっぱい。 mailto:sage [2015/12/15(火) 20:38:02.89 0.net]: オレオレで良いならそのままにしておけば良いわけで、食い付くほどの事でもないだろｗ
143 名前：名無しさん＠お腹いっぱい。 mailto:sage [2015/12/15(火) 20:48:18.29 0.net]: なーんか
postfix やら dovecot とかにレッツのサーバー証明書を設定したりする人現れてるし
無駄無駄無駄無駄～って叫びたかっただけ

あ、イントラネットとかセキュアな通信が必須な相手で事前に合意した２者間とかはまた別だけどね
144 名前：名無しさん＠お腹いっぱい。 mailto:sage [2015/12/15(火) 21:32:34.01 0.net]: 実際に必要かどうか言われると、オレオレで良いとも思うけど
そこは “面白そうだから“ という正当な理由で Postfix や Dovecot にも Let's の証明書つかってるよ!
145 名前：名無しさん＠お腹いっぱい。 mailto:sage [2015/12/15(火) 21:41:15.42 0.net]: gmailからのメール転送に必須なんだよな＞サーバ証明書
146 名前：名無しさん＠お腹いっぱい。 mailto:sage [2015/12/15(火) 23:38:10.88 0.net]: へーそうなんだ
じゃ無駄じゃないね
147 名前：名無しさん＠お腹いっぱい。 mailto:sage [2015/12/17(木) 01:57:29.79 0.net]: いやー
考えてみれば当たり前の話なんだが
SubjectAltName にドメイン羅列するためにいっぱい -d を指定したら、
指定したドメイン１個１個に対してチェックのために接続してくるんだね

プライマリMX とセカンダリMX の証明書を１個にまとめようとしたら
let's Encrypt の居ないセカンダリMX の 80 番ポートにチェックしに来てエラーになって
しまった
148 名前：名無しさん＠お腹いっぱい。 [2015/12/17(木) 15:35:19.97 0.net]: -d っていくつ書いてもいいの？
-d でトップドメインが違うのでも良いの JP と gtld がごちゃ混ぜ
149 名前：名無しさん＠お腹いっぱい。 [2015/12/18(金) 19:11:19.16 0.net]: >>125 >>129
今見たら解説が更新されててhttpd停止不要なやり方も併記されたみたいだよ
https://letsencrypt.jp/usage/

>>144
証明書取得時には当然全部に接続チェックが入る
ただ、ブラウザは SAN の関係ないドメインへの接続はしないので、SAN に100～200のドメインを列挙
150 名前：しても、 一般ユーザーのページの表示が遅くなったりはしない（証明書の容量が増えるのは誤差範囲） >>145 いくつ書いてもおｋ TLD が違っても良いけど、-d を複数書くとサブジェクトの代替名（SAN : Subject Alternative Name）が使われた1枚の証明書になるから、 SNI に対応していないブラウザ、例えば Windows XP とか Android 2系とかもサポートしたいなら注意が必要（Windows Vista以降はSNI対応） 詳しくは　https://letsencrypt.jp/docs/using.html#webroot　を参照 []: [ここ壊れてます]
151 名前：名無しさん＠お腹いっぱい。 mailto:sage [2015/12/18(金) 19:26:25.57 0.net]: >>146
おう
ありがとう日本語の中の人
152 名前：名無しさん＠お腹いっぱい。 mailto:sage [2015/12/18(金) 19:38:36.50 0.net]: レン鯖でボタンひとつで設定できるようにしてくれよ。
153 名前：名無しさん＠お腹いっぱい。 mailto:sage [2015/12/18(金) 20:28:30.35 0.net]: もう今の段階から XP なんか古い OS はぶった切って良いだろｗ
154 名前：146 mailto:sage [2015/12/18(金) 20:56:42.30 0.net]: >>146 の書き込み内容の SAN と SNI についての部分が著しく間違っていたので訂正

SNI は1つのサーバーで複数の証明書を使う技術
つまり Virtual Host ごとに違う証明書をクライアントに放出するので、1つのIPアドレスのサーバで複数の証明書を分けられる

SNI対応ブラウザは、PCからなら Windows XP は不可だけど、Windows Vista 以上なら対応している
https://ja.wikipedia.org/wiki/Server_Name_Indication#.E5.AF.BE.E5.BF.9C.E3.82.BD.E3.83.95.E3.83.88

スマホがネックで、Android 2 系が対応していない。Android のうち、まだ 5～10％のシェアがあるので困りもの

一方、SANs は 1枚の証明書に複数の SAN を書くことで1枚の証明書を複数のドメインに対応させるもの
Let's Encrypt で -d に複数ドメイン書くとこっちになる（証明書を別々に発行して SNI を使うことも可能）

こっちは、たぶん Windows XP にも対応しているので、SANs使った方がサポートOSは多くなる

ただSANs については Android 2系が対応しているかどうかの情報は、ググっても曖昧に書かれた個人ブログぐらいしか見つからなかった
SNI と混同している人もいそうなので、確かなソースが欲しいが、なかなか見つからない
そして自分で検証しようにも Android 2がないからできない
155 名前：名無しさん＠お腹いっぱい。 mailto:sage [2015/12/18(金) 21:24:23.35 0.net]: 自分の理解がおかしかったのかと、愕然となったぞw
156 名前：名無しさん＠お腹いっぱい。 mailto:sage [2015/12/19(土) 00:03:17.00 0.net]: >>150
これもちょっと誤解を招くレスだなぁ
https で VirtualHost するための技術・手段という意味では近いとも言えるが
どっちを使ったほうがいいとかそういうもんじゃないんだが
説明するのも面倒だ
157 名前：名無しさん＠お腹いっぱい。 mailto:sage [2015/12/19(土) 00:33:45.06 0.net]: >>152
> どっちを使ったほうがいいとかそういうもんじゃないんだが

概念的には全く別物だけど、「1つのIPアドレスしかない1台のサーバで、複数の HTTPS なサイトを運営したい」という一般的な要件なら
下記の (1) SNI でも (2) SANs でも、同じ結果が得られるわけで、どっちでも良いのでは？

(1) SNI で example.com にアクセスしているブラウザには example.com 専用の証明書A、
　　　　　example.jp にアクセスしているブラウザには example.jp 専用の証明書Bを送り付ける

(2) example.com にアクセスしているブラウザにも
　　example.jp にアクセスしているブラウザにも
　　同様に SANs を使って複数ドメイン（example.com と example.jp の2つ）に対応した証明書Cを送り付ける

管理上のメリット・デメリットとしては、ブラウザの対応状況を除くと、
(1) だと、サイトの数だけ別々の証明書を取得して管理しなければならない。それぞれで有効期限などを管理するのが面倒。
(2) だと、サイトが増えるたびに、証明書を発行しなおさなければならない。失敗すると他のサイトにも影響が出る。
といった感じだと思われ

勿論、「概念的には別物」なので、SNI でサイトごとに SANs で複数ドメインに対応した別々の証明書を送るなんて併用も可能
www の有り無しと同一サブドメインのだけ SANs で1つの証明書でまとめて、あとは SNI で分けるなんて併用も一般的
つまり (1) と (2) を併用することもできるってことね

まぁ、なんらかの事業者が顧客のサイトを代理で運営している（もしくはレンタルサーバ業務をやっている）とかの場合には
他の顧客のドメイン名がSANsに入った証明書を使うというのはどうかと思うから (1) のSNI 一択になるけどね
158 名前：名無しさん＠お腹いっぱい。 mailto:sage [2015/12/19(土) 02:12:03.32 0.net]: >>153
> まぁ、なんらかの事業者が顧客のサイトを代理で運営している（もしくはレンタルサーバ業務をやっている）とかの場合には
> 他の顧客のドメイン名がSANsに入った証明書を使うというのはどうかと思うから (1) のSNI 一択になるけどね

と、思うじゃん？
でも身近なCDNでは(ry
159 名前：名無しさん＠お腹いっぱい。 [2015/12/19(土) 16:38:28.15 0.net]: 今話題の CloudFlare のことですね

uzulla.hateblo.jp/entry/2015/02/25/033133
cdn-ak.f.st-hatena.com/images/fotolife/u/uzulla/20150225/20150225032705.png

他人のドメイン名がだぁ～～～っと入った証明書って気持ち悪いな
てか、これって秘密鍵が万が一漏えいしたら羅列されたドメイン名全部の偽サイトの作成ができちゃうんだから危険だよね
CloudFlare退会したとしても、そのSANsを消した証明書を作り直したりもしないだろうし

こういうのはやめるべきだと思う
160 名前：名無しさん＠お腹いっぱい。 [2015/12/19(土) 16:47:58.69 0.net]: レンタル鯖関係について語り合うならおすすめ。
よかったら、「blngs」で検索してみて！
161 名前：名無しさん＠お腹いっぱい。 mailto:sage [2015/12/19(土) 17:10:21.91 0.net]: >>156
SNSの宣伝ですか
今時、独自のSNS展開するなんていうのはセンスが無いからやめた方が良いよ
既存のSNS内でコミュ作ればいいだけでしょ
そんなのではアクセス稼げない　時代遅れだしセンスが無い

そして、この過疎版で宣伝して宣伝効果があると考えるのが痛い
「板」全体で1日数レスあるかないかのような掲示板で宣伝して何になるの？
この「板」全体のPVも数百/dayぐらいしか無いと思うよ？

悪い事言わないから、お前さんはネットビジネスのセンスが全くないんで、早く諦めた方がいい
時間が無駄になるだけなんで、サーバ運営、Web製作、Webプログラミングのうちなにかができるんだったら
それを生かした雇われの仕事探した方がいいよ
162 名前：名無しさん＠お腹いっぱい。 mailto:sage [2015/12/19(土) 17:18:14.41 0.net]: 「口コミ」で宣伝すると１件いくらで報酬もらえるんでしょ
163 名前：名無しさん＠お腹いっぱい。 mailto:sage [2015/12/19(土) 21:05:15.93 0.net]: ネットで「口コミ」とかいう表現するのやめて欲しいわ　> ぐるなびとか価格.comとかもだけど

「口コミ」はその場にいる人に対してしか聞いて貰えないんだから「書き込み」と書くべきだ

「可視化」を「見える化」と言ったり「コミットする」だの「アボイドする」だの横文字連発した上で
「君もビジネス用語ぐらい使えるようになりなさい」と説教してくる上司と同じぐらいうざい
164 名前：名無しさん＠お腹いっぱい。 mailto:sage [2015/12/19(土) 21:15:28.46 0.net]: スレチはもっとうざいけどな
165 名前：名無しさん＠お腹いっぱい。 [2015/12/19(土) 21:35:43.28 0.net]: ごめん
ここ Let's note のスレだったのね
すまそ
166 名前：名無しさん＠お腹いっぱい。 mailto:sage [2015/12/19(土) 23:07:02.36 0.net]: 昔 CF-Y4 っていうパームレスト部分がパカっと開いて光学ドライブが出てくる奴持ってたわー
っておい
167 名前：名無しさん＠お腹いっぱい。 [2015/12/20(日) 20:05:21.93 0.net]: >>161-162
ワロタ
最近のLet'snoteの光学ドライブ普通になって特色なくなっちゃったよな……
168 名前：名無しさん＠お腹いっぱい。 [2015/12/23(水) 01:09:45.46 0.net]: Let's Encrypt マジスゲーや
色々面倒だと思ってたらコマンド数行打つだけで終わった

前ベリサリンで証明書取るときにはCSRの発行とかなんとかでつまずいて
（opensslのバージョン古くて鍵がちが
169 名前：かったりとかで） 何度も何度も何度も電話して2週間ぐらいかかったけどLet'sだと1時間足らずだった []: [ここ壊れてます]
170 名前：名無しさん＠お腹いっぱい。 mailto:sage [2015/12/23(水) 23:26:46.54 0.net]: まじ凄いのは分かるんだけど、余りに簡単過ぎて
証明書発行のプロセスに関する知識の無い人が凄い増えそうだ。
まぁ俺も勉強中で Let's Encrypt きたから途中で投げちゃったけどなｗｗ
171 名前：名無しさん＠お腹いっぱい。 mailto:sage [2015/12/24(木) 01:25:23.84 0.net]: レンタルサーバーでは使えないの？
172 名前：名無しさん＠お腹いっぱい。 mailto:sage [2015/12/24(木) 08:01:25.64 0.net]: >>166
お前さんにゃ無理かも知れぬ
173 名前：名無しさん＠お腹いっぱい。 mailto:sage [2015/12/24(木) 10:13:10.48 0.net]: Pythonが動かせる鯖ならあるいは
174 名前：名無しさん＠お腹いっぱい。 mailto:sage [2015/12/24(木) 20:07:03.26 0.net]: 悪魔バスター★スター・バタフライ
livedoor.2.blogimg.jp/tunes2/imgs/3/2/32c50c49.jpg
　悪魔バスター★スター・バタフライ
　livedoor.2.blogimg.jp/tunes2/imgs/3/2/32c50c49.jpg
　　悪魔バスター★スター・バタフライ
　　　livedoor.2.blogimg.jp/tunes2/imgs/3/2/32c50c49.jpg
　　　　悪魔バスター★スター・バタフライ
　　　　　livedoor.2.blogimg.jp/tunes2/imgs/3/2/32c50c49.jpg 👀
Rock54: Caution(BBR-MD5:0be15ced7fbdb9fdb4d0ce1929c1b82f)
175 名前：名無しさん＠お腹いっぱい。 mailto:sage [2015/12/24(木) 22:57:47.13 0.net]: >>166
ＶＰＳレンタルサーバーで使っていますよ。
httpもpopも色々なドメインが1の種類のファイルで済むので楽だね。
176 名前：名無しさん＠お腹いっぱい。 mailto:sage [2015/12/25(金) 12:08:40.38 0.net]: さくらのレンタルサーバで試してみようと思って調べてみましたが、結構面倒くさそうですね
https://msnr.net/2015/12/letsencrypt.html

[ 続きを読む ] / [ 携帯版 ]

read.cgi ver5.27 [feat.BBS2 +1.6] / e.0.2 (02/09/03) / eucaly.net products.
担当:undef