- 1 名前:名無しさん@お腹いっぱい。 [2015/11/30(月) 18:01:15.69 0.net]
- 2015年12月3日 に 公開ベータ(Public Beta)が開始される予定の Let's Encrypt のスレです。
これは、いわゆる無料の SSL/TLS 証明書なわけですが、ブラウザ Mozilla Firefox を作っているモジラ財団とか、
ネットワーク機器大手のシスコとか、ネットワークインフラ大手のAkamaiとかが出資している大規模なプロジェクトなので、
途中で有料化したり、サービス停止になったりする心配もありません。
さらに、全ブラウザにルート認証局として入っているアメリカの最大手CA IdenTrust の傘下の証明書という扱い(クロスルート)になったので、
クローズベータをやっている現時点でも、全ブラウザに対応しているという神証明書です。
はっきりいって、IdenTrust の証明書をけっているブラウザなんて考えられないので、ジオトラストとかのドメイン認証証明書と同格以上の証明書が
無料で手に入ることになります。
明々後日からは、専用クライアントをダウンロードして、コマンドを実行するだけで、VPS など root 権限があるサーバとドメインがあれば証明書が入手可能なので、
期待しておきましょう。
もう、SSL/TLS の証明書にお金をかける時代はおわったのです(ただし、実在証明を含むEV証明書を除く)
【Let's Encrypt 公式サイト】(英語)
https://letsencrypt.org/
【Let's Encrypt 公式Twitter】(英語による最新情報)
https://twitter.com/letsencrypt
【Let's Encrypt 総合ポータル】(日本語)
https://letsencrypt.jp/
【Let's Encrypt 導入方法】(日本語)
https://letsencrypt.jp/usage/
- 997 名前:名無しさん@お腹いっぱい。 mailto:sage [2017/10/01(日) 20:04:25.02 0.net]
- SSL化したら画像の読み込みが遅くなりました
サーバーはHTTP/2に対応していて、遅くなるのはネット回線が混雑する時間帯だけSSLだとしょうがないものでしょうか?
- 998 名前:名無しさん@お腹いっぱい。 mailto:sage [2017/10/01(日) 21:46:43.22 0.net]
- 遅くなったと言うのは具体的にはどの程度
明確な数値でお願いします
- 999 名前:名無しさん@お腹いっぱい。 mailto:sage [2017/10/01(日) 22:56:49.48 0.net]
- >>972
レスありがとうございます
画像20枚程度1.3MBのページでテスト
httpだと1.5秒、httpsだと3〜4秒くらいの読み込み
夜の回線が混雑する時間帯以外は両方とも1.5秒程度です
chromeのツールだと画像のcontent downloadというところが速度低下の原因のようです
- 1000 名前:名無しさん@お腹いっぱい。 mailto:sage [2017/10/01(日) 23:03:39.58 0.net]
- >>972
すいません訂正です
混雑する時間帯は
httpだと2秒、httpsだと3〜4秒くらいの読み込みでした
httpでも多少遅くなりますが、httpsの方が回線の影響を受けやすいようです
申し訳ないです
- 1001 名前:名無しさん@お腹いっぱい。 mailto:sage [2017/10/01(日) 23:37:08.93 0.net]
- それは回線というより鯖に詰め込みすぎでCPU負荷かかってるんじゃないの?
SSLは一応CPU食うからね
- 1002 名前:名無しさん@お腹いっぱい。 mailto:sage [2017/10/02(月) 00:13:58.48 0.net]
- >>975
ありがとうございます
サーバーはそれなりのスペックなんで大丈夫だと思います(たぶん)
色々調べたところHTTP/2が原因のようでした
非対応のブラウザだとSSLでも速度低下はみられませんでした
- 1003 名前:名無しさん@お腹いっぱい。 [2017/10/02(月) 12:23:01.82 0.net]
- 作りが酷いウェブアプリ(結果の返答
- 1004 名前:に長時間かかる処理を非同期ではなく同期でロードさせるとか)
だとそれに引っ張られて読み込みがロックされてしばらく画面真っ白になることはある。
ワイルドカード証明書使ってると他のサブドメインにも波及するので怖い。
Let's Encrypt では無縁だけど。 [] - [ここ壊れてます]
- 1005 名前:名無しさん@お腹いっぱい。 mailto:sage [2017/10/02(月) 12:56:05.02 0.net]
- >>977
来年 1 月から Let's Encrypt もワイルドカードの証明書発行するっしょ
- 1006 名前:名無しさん@お腹いっぱい。 mailto:sage [2017/10/16(月) 07:10:26.63 0.net]
- ssl通信初心者です
・サーバ側はIISを利用、クライアント側はcURLを利用
・サーバ側で自己署名証明書を作成してFTPにバインドした
・FTPS通信をクライアントPCからやってみたら警告さえ無視したら(証明書の不正に関する)暗号化もできた通信ができている
この警告を無くすために次の手段としてはこのレッツエンクリプトを導入になるのかな?
公的な機関でなくて良いので(閉じたネットワーク上なため)、この警告をなくす方法を知りたいです
そもそもIISに何かしら(pem?cer?pfx)発行させてクライアントpcにファイルを持っていく必要はない??
勉強してた限りだとサーバが発行する証明書が真であると判断するために、
何かしらクライアントpcに取り込まなくてはいけないのかな?と思っていたので
何もクライアントに取り込まずに出来ていて戸惑ってます
- 1007 名前:名無しさん@お腹いっぱい。 mailto:sage [2017/10/16(月) 14:23:36.68 0.net]
- >>979
CA証明書がクライアントPCの信頼されたルート証明機関にあれば、そのCAが発行した証明書で警告が出ない
これが基本
自己署名なら自分のCA証明書をクライアントに入れればいい
Let's Encryptはdomain validationだから閉じたネットワークに使うものではない
したがってスレチ
- 1008 名前:名無しさん@お腹いっぱい。 mailto:sage [2017/10/16(月) 16:27:12.39 0.net]
- >>979
IISの鯖に証明機関サービス入れてIISのサーバで署名して
そこのCA証明書を信頼させればいいし
台数多くてActiveDirectry入れてるならポリシーに信頼する項目入れりゃいい
Let's Encrypt利用するなら一時的にでも外向きにドメインとサーバ設定して
証明書貰うのが楽だけど90日ごとにそれやらんとならんよ
- 1009 名前:名無しさん@お腹いっぱい。 mailto:sage [2017/10/16(月) 16:35:11.10 0.net]
- IPv4でLet's Encryptの証明書をとって、東西NTTのNGNのIPv6網上で使うことは可能だった。
IPv6でインターネット繋がってなくても、東同士、西同士だったら通信できる。
- 1010 名前:名無しさん@お腹いっぱい。 mailto:sage [2017/10/16(月) 16:53:15.92 0.net]
- プライベートIPを指すホスト名用に Let's Encrypt って取得時毎に IP をグローバルにするか
ローカル用にDNS立てないと無理かね。 ワイルドカードの発行が始まれば解決ではあるんだけど
>981 Let's Encrypt って CA証明書用の発行してくれるっけ? オレオレをローカルにばら撒けという話かな?
- 1011 名前:名無しさん@お腹いっぱい。 mailto:sage [2017/10/16(月) 18:19:07.73 0.net]
- >>983
1. 一時的に外から鯖がドメインでつながるようにして鯖証明書を取得し、取得完了後は切り離す(LE)
2. 俺俺CAを蔵の信頼リストに入れる
どっちか選べって話だろ
- 1012 名前:名無しさん@お腹いっぱい。 mailto:sage [2017/10/17(火) 00:40:33.56 0.net]
- んなことしなくてもそのドメインインターネットに繋がってる別の鯖に向けといて証明書取ってそれをコピーしてくるだけでいいじゃん
- 1013 名前:名無しさん@お腹いっぱい。 mailto:sage [2017/10/17(火) 01:12:53.16 0.net]
- そんなトリッキーな使い方するなら素直に金払った方がいいと思うよ
- 1014 名前:名無しさん@お腹いっぱい。 mailto:sage [2017/10/17(火) 06:23:00.96 0.net]
- オレオレをインストールしまくるより、鯖の証明書移動するほうが楽な気がする。
クライアントを触らないでいいからね
- 1015 名前:名無しさん@お腹いっぱい。 mailto:sage [2017/10/17(火) 17:47:41.99 0.net]
- 鯖の証明書ってオレオレのこといってんだとおもってたけど違うのか?
- 1016 名前:名無しさん@お腹いっぱい。 mailto:sage [2017/10/17(火) 17:48:27.27 0.net]
- 外に繋がってないローカルpcにSSL通信させたいけどこれって無理?第三機関に繋がらないよね?
- 1017 名前:名無しさん@お腹いっぱい。 mailto:sage [2017/10/17(火) 20:16:52.81 0.net]
- >>989
密室の中の人がどうやって外の人と手をつなぐかだな
コナン君に聞いてくれ
- 1018 名前:名無しさん@お腹いっぱい。 mailto:sage [2017/10/17(火) 21:59:34.68 0.net]
- 閉じたローカルネット上のPCとサーバとの間の経路に通信内容を盗聴しようとする何かがいたりするのか?
- 1019 名前:名無しさん@お腹いっぱい。 mailto:sage [2017/10/17(火) 22:19:06.41 0.net]
- LAN内だから生で流していいとかあり得んから
- 1020 名前:名無しさん@お腹いっぱい。 mailto:sage [2017/10/17(火) 22:48:49.04 0.net]
- >>989
外の定義が微妙だけど、俺俺じゃだめなのか?
- 1021 名前:名無しさん@お腹いっぱい。 mailto:sage [2017/10/17(火) 23:56:42.95 0.net]
- >>992
これ
- 1022 名前:名無しさん@お腹いっぱい。 mailto:sage [2017/10/18(水) 00:43:32.33 0.net]
- >>1
長すぎる気がするんだが次スレ立てるとき適当に削っていいよな?
- 1023 名前:名無しさん@お腹いっぱい。 mailto:sage [2017/10/18(水) 01:15:30.52 0.net]
- いいんじゃね
- 1024 名前:名無しさん@お腹いっぱい。 mailto:sage [2017/10/18(水) 10:46:25.62 0.net]
- 無料SSL/TLS証明書 Let's Encrypt Part2
mevius.2ch.net/test/read.cgi/hosting/1508291164/
- 1025 名前:名無しさん@お腹いっぱい。 mailto:sage [2017/10/19(木) 04:01:29.96 0.net]
- >>997
スレ立て乙
- 1026 名前:名無しさん@お腹いっぱい。 mailto:sage [2017/10/19(木) 07:31:43.64 0.net]
- 埋め
- 1027 名前:名無しさん@お腹いっぱい。 mailto:sage [2017/10/19(木) 10:53:54.02 0.net]
- 質問いいですか?
- 1028 名前:1001 [Over 1000 Thread.net]
- このスレッドは1000を超えました。
新しいスレッドを立ててください。
life time: 688日 16時間 52分 39秒
- 1029 名前:過去ログ ★ [[過去ログ]]
- ■ このスレッドは過去ログ倉庫に格納されています
|
 |
