◎正当な理由による書き込みの削除について: 生島英之 とみられる方へ:【全ブラウザ対応】 無料SSL/TLS Let's Encrypt [転載禁止]©2ch.net YouTube動画>1本 ->画像>7枚
動画、画像抽出 ||
この掲示板へ
類似スレ
掲示板一覧 人気スレ 動画人気順
このスレへの固定リンク: http://5chb.net/r/hosting/1448874075/ ヒント: http ://xxxx.5chb .net/xxxx のようにb を入れるだけでここでスレ保存、閲覧できます。
2015年12月3日 に 公開ベータ(Public Beta)が開始される予定の Let's Encrypt のスレです。
これは、いわゆる無料の SSL/TLS 証明書なわけですが、ブラウザ Mozilla Firefox を作っているモジラ財団とか、
ネットワーク機器大手のシスコとか、ネットワークインフラ大手のAkamaiとかが出資している大規模なプロジェクトなので、
途中で有料化したり、サービス停止になったりする心配もありません。
さらに、全ブラウザにルート認証局として入っているアメリカの最大手CA IdenTrust の傘下の証明書という扱い(クロスルート)になったので、
クローズベータをやっている現時点でも、全ブラウザに対応しているという神証明書です。
はっきりいって、IdenTrust の証明書をけっているブラウザなんて考えられないので、ジオトラストとかのドメイン認証証明書と同格以上の証明書が
無料で手に入ることになります。
明々後日からは、専用クライアントをダウンロードして、コマンドを実行するだけで、VPS など root 権限があるサーバとドメインがあれば証明書が入手可能なので、
期待しておきましょう。
もう、SSL/TLS の証明書にお金をかける時代はおわったのです(ただし、実在証明を含むEV証明書を除く)
【Let's Encrypt 公式サイト】(英語)
https://letsencrypt.org/ 【Let's Encrypt 公式Twitter】(英語による最新情報)
https://twitter.com/letsencrypt 【Let's Encrypt 総合ポータル】(日本語)
https://letsencrypt.jp/ 【Let's Encrypt 導入方法】(日本語)
https://letsencrypt.jp/usage/ 【Let's Encrypt 最新情報】
Let's Encrypt のローンチスケジュールは延期されてきましたが、
2015年12月3日 に Let's Encrypt 公開ベータプログラム(Public Beta Program)が開始される予定です。
公開ベータプログラム開始後は、独自ドメインとWebサーバがあれば、誰でも簡単に Let's Encrypt の SSL/TLS 証明書を取得することができます。
【対応ブラウザとOS】
Let's Encrypt の「SSL/TLSサーバ証明書」は、アメリカ合衆国大手認証局(CA)である IdenTrust 社のルート証明書から
チェーンできるクロスルート (クロスサート) 証明書です。IdenTrust 社の証明書によって、
中間証明書「Let's Encrypt Authority X1」および「Let's Encrypt Authority X2」に対するクロス署名が行われています。
そのため、Let's Encrypt 発行の証明書は、大手認証局(CA)が有償で販売している証明書と同様に、ほとんどのWebブラウザやOSが標準で対応しています。
・Microsoft Internet Explorer (Windows)
・Google Chrome (Windows、Mac OS X、Linux、Android、iOS)
・Mozilla Firefox (Windows、Mac OS X、Linux、Android、iOS)
・Apple Safari (Mac OS X、iOS) など
(
https://letsencrypt.jp/ より引用)
〜〜〜 共有サーバ (VALUE SERVER とか COREサーバーとか、さくらのレンタルサーバ) での使い方 〜
root権限のあるサーバならば、
https://letsencrypt.jp/usage/ (日本語)にある手順の通りに、
クライアントをダウンロードしてコマンドをうつだけで導入可能
しかし、SNI 対応のレンタルサーバ(VALUE SERVER とか COREサーバーとか、さくらのレンタルサーバ)とかに居れる場合、
root権限必須の専用クライアントが動作しないため、証明書の発行作業を仮想環境でやる必要がある
なので、ローカルの Windows パソコンとかで VirtualBox などの仮想環境構築ツールに CentOS などのOSをインストールして
そこで Let's Encrypt のクライアントを動かす必要あり
自動認証ではなく、手動認証のオプションを指定することで、サーバのドキュメントルートに、Let's Encryptクライアントが指示した
JSON ファイルを設置することで、ドメイン所有者の認証プロセスが完了するので、レンタルサーバでも SNI 対応なら使える模様
手動認証のオプションコマンドについては、下記ドキュメントを参照
【Let’s Encrypt クライアントのドキュメント】(英語)
https://letsencrypt.readthedocs.org/en/latest/ 専用サーバ、VPS などのroot有りのサーバならコマンド一発で使えるけど、
共有サーバだと Linux アプリ(root)を実行できる環境がないと、多少面倒です
SSL無料になったらベリサリンとかセコムトラストとかどうなっちゃうの???
これは個人や団体を証明する手段じゃないから潰れないよ
VeriSignとかよりRapidSSLとかの格安系がやばいだろうな
Let's Encrypt はオレオレ証明書じゃなくて
あと3日で俺のサイトもフルSSLにできるとか、スゲーわくわくするわ
大手企業のサイト運営している気分になれそう
興奮して夜も眠れなさそうだ
だって、プライバシーマークの協会だって、HTTPなんだぜ?
http://privacymark.jp/ それなのに個人がSSL使えるとか、すごくね?
暗号化の手段として必要だから、正規サイトの証明はいらないんで
>>10 90日間固定
90日な理由は
https://letsencrypt.jp/blog/2015-11-09.html に書かれてる
Let's Encrypt は、
$ ./letsencrypt-auto certonly -a standalone \
-d example.com -d www.example.com \
--server
https://acme-v01.api.letsencrypt.org/directory --agree-dev-preview
みたいなコマンド一発で証明書を取得・更新できるので、2ヶ月に一回ぐらいコマンドを手動で実行するか、cron で回してください、ってことらしい
>>11 なるほど。自動化できるんなら運用で躓くことは少なそうだな。
コマンド一発と言っても80番ポート止めなきゃダメなんでしょ?
>>13 初心者向けモード(オプション無し)だとポート80のweb鯖を止める必要あるけど、
コマンドラインオプションで apacheとか既に動いてるweb鯖のdocument root 指定すれば止めなくてすむ
(そのdocument root 以下に認証用ファイルを設置して認証してくれる)
ただ、証明書はメモリに読み込まれてるだろうから
service httpd restert はいるだろうけど、
ダウンタイムは1〜2秒だろう
>>13 漏れはクローズベータの初期からやってるけど
httpd stop → 証明書更新 → httpd start で1秒足らずだよ
でも漏れは小心者で万が一httpdの起動に失敗したら怖いので月1ぐらいで手動でやるわw
同じ理由でyum update とか、geo ip の更新とかも手動でやってるから
日常鯖メンテのプロセスに1分以内の作業が加わるだけだから
手動でも特に気にならん
サーバーって放置で運営するもんでもないし
数年前に年何万も払って証明書買ってたのが馬鹿みたいだ
>>14 なるほど、認証用ファイル設置も自動でやってくれるのか
再起動はlogrotate時に任せても良いけど、起動しなかったら夜中に起こされるな・・・
>>15 自動化出来るところは自動化したいよ
10や20なら手動でもいいけど・・・
>>17 なるほど
10や20を超える大量の鯖管理してたら
確かに自動化が重要やな
しかし、HTTPS化したら
o(^-^)oワクワクテカテカ
>>22 www無しで取ると、www付きが Subject Alternative Names(サブジェクトの別名)に入るけど、
それ以外はワイルドカードもサブジェクトの代替も無理だったと思う
サブドメインでも取れるし、常識的な範囲なら枚数制限もないから
サブドメインごとに証明書とって、SNIで振り分ければOK
レンタルサーバでも簡単に使えるように
> 2015年12月3日 に 公開ベータ(Public Beta)が開始される予定の
アメリカとの時差って何時間だっけ?
>>29 今は git の時代だからね
ディストリに依存せずにコマンド1つでパッケージを取得できる素晴らしいシステムですから
いつの間にかApacheじゃなくてnginxが主流になったりとか
可哀想なおじさん
>>31 に誰か一言アドバイスをどうぞ
↓
ご隠居さん、若いものの邪魔しちゃいけませんよ。さ、あっち行きましょうね。
てか静的HTMLならApacheでも1日100万Hitでも月1000円足らずのさくらのVPS1Gで捌けるのに、
apacheでいいんじゃない?
>>35-36 だよね
会社でちょっとしたWebサービスを公開するときなんかに
若い社員に今時Apacheなんて時代遅れだからnginxにしろと言われるけど
まだまだApacheでいけるよね
若い社員になんと言われても「特に必要がある場合を除き、実績のある枯れたソフトウェアを使うのが望ましい」とApacheを押し通すことにする
※ Apache / nginx の論争で誤解を招きそうなので 一応書いておくと
でも、lighttpd には対応してないんでしょう?手動でやればすむことだけど。
>>39 lighttpd って /usr/local/www/data に拡張子無しのファイル置いたら text/plain のMIMEヘッダで外部からアクセス可能になるよね?
なら、下記のコマンドで証明書の取得までは一発でいけるはず(lighttpd を起動したままでOK)
./letsencrypt-auto certonly -a webroot --webroot-path /usr/local/www/data \
-d example.com -d www.example.com \
--server
https://acme-v01.api.letsencrypt.org/directory --agree-dev-preview
たぶん、上記で起動したままでいけるはずだけど、もし lighttpd が IIS みたいに拡張子無しのファイルには外部からアクセスできない仕様だとすると、
一回停止させてから
https://letsencrypt.jp/usage/ の手順でやる必要がある(その場合ダウンタイム有り)
あと、/usr/local/etc/lighttpd の書き換えは自動で行われないから手動でやらないといけないわけだけど、
http://l-w-i.net/t/lighttpd/ssl_001.txt によると、
「証明書はPEM形式の必要があるが、秘密鍵(.key)と証明書(.crt)を別々に所有している場合は以下の手順で両者を結合する。」
とのこと(2007/9/19更新 だから今は違うか)
とまぁこれぐらいの手間かければ好きなWeb鯖で使えるってことだ
>>31 > わざわざ再学習のコストかけてまで変える必要ないよね
こんな事言ってる奴は爺じゃなくても向いてないと思う
cloudflareはnginxリバースプロクシとして
https://letsencrypt.jp/usage/ を読んだ限りでは更新時に同意求める画面が開くようだから cron で自動化ができるのかよくわからん。
できるなら月1回の更新になるけど更新しすぎとか警告来るかな
>>47 そのページの下の方に利用規約への同意は保存されると書かれてる
さっそくやってみたけど。
>>49 今は、クローズベータだから、クローズベータで承認されたドメインでしか使えないの。
パブリックベータになったら、そのエラー出なくなるよ
パブリックベータ開始は、アメリカ時間の今日中だから、もうしばらくお待ちを
Let's Encrypt Status
http://letsencrypt.status.io/ > Public Beta begins at 6 PM GMT on 3 December.
日本時間だと明日の午前3時だな。
>>54 全WebサイトのSSL(TLS)化を目指しているプロジェクトなんだから https のリンクにしてあげないと可哀想です
https://letsencrypt.status.io/ >>55 おっと! フォーラムの公式ポストでもHTTPSでリンクされてた…。
WEBサーバとは別のメールサーバも暗号化するにはどうすればいい?
>>59 Postfix とか、Dovecot とか最近のメール鯖はちゃんと暗号化の
メカニズムを内蔵してる。証明書はウェブと同じものが使える。
>>60 あー、そうなんだけど、
WEBサーバ無しの(外部からポート80接続させない)メールサーバだけでは
証明書の自動処理できないでしょって話。
外部から接続できるWEBサーバで自動処理を動かして証明書ファイルを受け取るわけでしょ?
それをメールサーバの所定のディレクトリに配置するには自分で仕組みを作らないとってこと。
それともメールサーバだけで完結する何かいい方法あります?
ubuntuの方は恐ろしく簡単に入ったな、、、
おはよー
https://letsencrypt.jp/usage/ の解説のとおりにやってみたら
5分足らずであっさり証明書取得できたわ
あまりにも簡単で拍子抜けたわ
>>61 letsencryptのスクリプトで内蔵httpd立ち上げてるみたいだから行けるんじゃないの
>>48 うまく出来ました。
cron 用のスクリプトで動作できましたので月1回動作で登録します
期間は 12月3日から3月2日まで。
>>66 つまりhttpアクセス禁止してるサーバじゃ無理
そんなの開ければいいじゃん
>>69 ごめん勘違いしてた
一応他のポートでも行けるようにする議論はあるみたい
80以外のポート指定できないのかな?
おい、おまいら
スラドでも記事になったようだぞ
【サーバー証明書を無料発行する「Let's Encrypt」がパブリックベータに移行】
http://security.srad.jp/story/15/12/05/0454205/ SNI 用にいくつかもらいたいのだけど
./letsencrypt-auto certonly -a standalone \
-d letsencrypt.jp -d www.letsencrypt.jp \
--server
https://acme-v01.api.letsencrypt.org/directory をその分ドメインだけ変えて繰り返せばよいのかな。
-d example.com をその数だけ並べればいいよ
だったらそんな初歩的な質問するまえにやってるはずだが
>>77 は?
SANsの証明書を使いまわせばいいだけだろ
SAN のやつを SNI でホスト毎に同じの指定すりゃいいじゃんか。
startsslで結構梃子摺ったのに
CSR すら自分でやる必要も無く全自動だから、たいして知識がなくとも
最大手のアットマークITでも取り上げられた模様
http://www.atmarkit.co.jp/ait/articles/1512/07/news072.html これは Let's Encrypt がどんどん普及していくかもしれない
自分のサブドメイン分作ろうと思ったら発行上限に達して作れなくなった模様ww
>パブリックβ期間中は 7日間で5証明書/ドメイン
BlueOnyxコンパネが対応した。
>>88 >>89 の通り 5 個だった。
話変わるけど、
<VirtualHost *:443>
Define vhost hoge.example.com
ServerName ${vhost}
SSLEngine on
SSLCertificateFile /etc/letsencrypt/live/${vhost}/cert.pem
SSLCertificateKeyFile /etc/letsencrypt/live/${vhost}/privkey.pem
SSLCACertificateFile /etc/letsencrypt/live/${vhost}/fullchain.pem
...
...
こう書けば証明書の記述はコピペで行けるから楽だな。
letsencrypt-auto の証明書配置好きだわw
gmailからpopsでのフェッチアクセスも認証通りますか?
今 httpd.conf を grep したら VirtualHost が 122 個もあった
>>91 >SSLCACertificateFile /etc/letsencrypt/live/${vhost}/fullchain.pem
これ間違ってない?
内部向けはオレオレで認証局作ってクライアントに信頼させときゃいいっしょ。 証明書はワイルドカード 1 つでw
>>94 そこは fullchain.pem か chain.pem どっちでもいいけどそうした方が結果としては良い。
最悪無くとも暗号化経路は確保されるけど SSL Server Test のスコア落ちるから嫌だw
>>96 いんや、そっちじゃなくて
SSLCA〜
クライアント証明書を認証するためのサーバー側のCA証明書ストアを記述するディレクティブじゃない?
って話
Let's は今のところワイルドカードに対応する予定は無いってFAQにあるし
ライセンス同意とメールアドレス入力のためにわざわざ画面が立ち上がるのは
>>99 それ、初回だけだよ
ライセンス同意とメールアドレスの入力の内容は保存されるので
他のドメインで取得する場合でも、確認画面などは一切立ち上がらずコマンドのみでいける
>>97 ああ、なぜそのディレクティブが〜ってって事か。
俺もそれは謎に思って調べたら Let's Encrypt のフォーラムでそう記述するところが大半だった。
SSLCACertificateFile の指定が無いと SSL Server Test で Incomplete Chain だかなんだかアラートが出た。
この点、今一理解してないw
それなら尚更あの画面を出す意味がわからない
SSLCACertificateFile じゃなくて SSLCertificateFile が正解だと思うんだが
あ、ちょい古の 2.2 は SSLCertificateChainFile が正解かな
>>95 内部向けは内部にCA作ってWindowsのポリシーで信頼させてる
WindowsでActiveDirectoryのみになるけどこれが楽
>>105 最新の Apache でも同じ。obsolute だけど。
./letsencrypt-auto --apache で全自動で作ったやつは
Value Serverで使いたいんだけど「プライベートキーのパスワード」欄には何を入力すれば良いのでしょうか?
>>110 Let's Encrypt の秘密鍵は暗号化されてないので、本来は不要
もし、バリューサーバーが空白の暗号キーを受け付けないなら、
openssl のコマンドで、何らかのパスフレーズで秘密鍵を暗号化して、
そのパスフレーズを入力すればおっけー
パスワード設定しないとできなかったはず
110です。
RapidSSLが来年頭で更新だけど、Lets導入でトラブルのも嫌だし、とりあえずもう1年だけ更新しようかなぁ
>>114 Rapid は値上げしたから他のにしたら。
俺たちの、オレオレ認証局をネットワークでつなげよう!
>>116 俺だよ俺、俺だけどさ
え、俺って誰だって? いや俺は俺だよ
メールで添付したルート証明書、インストールしてくれない?
そろそろ Public Beta から一週間経つから
実サーバー1台でたくさんドメイン持ってると単純にcronで定期更新ってわけにはいかないなぁ
cron で毎日証明書の期限をチェック。
ちょっとシェルスクリプトのテストしてたら
テスト用のAPI Endpointがないのがイケてない
善意の有志で翻訳してくれてるからあまり言いたくないけど日本語サイトの人
でもstartsslって対応してないブラウザ多いんじゃなかったっけ
>>126 いつの話をしてるんだ?
2009年には主要3ブラウザで使えるようになってるぞ。
>>125 > 一度 httpd を落として 80番を落とさないといけないように書いてあるけど
> これってやっぱ導入のハードル上げてると思うのよね
>
> 本家英語の使い方には --webroot モードで無停止でやる方法も併記されてて
> この方法を知ってればもっと早く導入してたしさ
まったくだ。
そいでもって
>>123 > ちょっとシェルスクリプトのテストしてたら
> 更新しすぎでエラーになってしまった
とすっかり同じ状態。こまったもんだ。
証明書再読み込みのためにHTTPDの再起動は必要だろ
postfixやdovecotのca鍵設定する場所にはfullchain指定しておけばいいんですかね?
Apache2.4 でどうなってるか知らんけど 2.2 なら apache2ctl -k graceful で gracefully restart すれば
>>133 それでよいと思うよ。openssl s_client -connect で大丈夫ならOK.
ここは中間証明書は親切だね。
comodoなんか3tもファイル出してきてどれが中間ファイルだかわからなくて苦戦したよ。
結局3つを指定の順番でマージしろって。ならマージしたファイルよこせっての。
>>133 正しい設定かと言われるとたぶんNO
暗号化通信成功してるから結果オーライというならYES
そう言えば MTA に使うのも楽だよな。
オレオレで良いならそのままにしておけば良いわけで、食い付くほどの事でもないだろw
なーんか
実際に必要かどうか言われると、オレオレで良いとも思うけど
gmailからのメール転送に必須なんだよな>サーバ証明書
いやー
-d っていくつ書いてもいいの?
>>125 >>129 今見たら解説が更新されててhttpd停止不要なやり方も併記されたみたいだよ
https://letsencrypt.jp/usage/ >>144 証明書取得時には当然全部に接続チェックが入る
ただ、ブラウザは SAN の関係ないドメインへの接続はしないので、SAN に100〜200のドメインを列挙しても、
一般ユーザーのページの表示が遅くなったりはしない(証明書の容量が増えるのは誤差範囲)
>>145 いくつ書いてもおk
TLD が違っても良いけど、-d を複数書くとサブジェクトの代替名(SAN : Subject Alternative Name)が使われた1枚の証明書になるから、
SNI に対応していないブラウザ、例えば Windows XP とか Android 2系とかもサポートしたいなら注意が必要(Windows Vista以降はSNI対応)
詳しくは
https://letsencrypt.jp/docs/using.html#webroot を参照
レン鯖でボタンひとつで設定できるようにしてくれよ。
もう今の段階から XP なんか古い OS はぶった切って良いだろw
>>146 の書き込み内容の SAN と SNI についての部分が著しく間違っていたので訂正
SNI は1つのサーバーで複数の証明書を使う技術
つまり Virtual Host ごとに違う証明書をクライアントに放出するので、1つのIPアドレスのサーバで複数の証明書を分けられる
SNI対応ブラウザは、PCからなら Windows XP は不可だけど、Windows Vista 以上なら対応している
https://ja.wikipedia.org/wiki/Server_Name_Indication#.E5.AF.BE.E5.BF.9C.E3.82.BD.E3.83.95.E3.83.88 スマホがネックで、Android 2 系が対応していない。Android のうち、まだ 5〜10%のシェアがあるので困りもの
一方、SANs は 1枚の証明書に複数の SAN を書くことで1枚の証明書を複数のドメインに対応させるもの
Let's Encrypt で -d に複数ドメイン書くとこっちになる(証明書を別々に発行して SNI を使うことも可能)
こっちは、たぶん Windows XP にも対応しているので、SANs使った方がサポートOSは多くなる
ただSANs については Android 2系が対応しているかどうかの情報は、ググっても曖昧に書かれた個人ブログぐらいしか見つからなかった
SNI と混同している人もいそうなので、確かなソースが欲しいが、なかなか見つからない
そして自分で検証しようにも Android 2がないからできない
>>150 これもちょっと誤解を招くレスだなぁ
https で VirtualHost するための技術・手段という意味では近いとも言えるが
どっちを使ったほうがいいとかそういうもんじゃないんだが
説明するのも面倒だ
>>152 >>153 > まぁ、なんらかの事業者が顧客のサイトを代理で運営している(もしくはレンタルサーバ業務をやっている)とかの場合には
> 他の顧客のドメイン名がSANsに入った証明書を使うというのはどうかと思うから (1) のSNI 一択になるけどね
と、思うじゃん?
でも身近なCDNでは(ry
今話題の CloudFlare のことですね
http://uzulla.hateblo.jp/entry/2015/02/25/033133 1本 ->画像>7枚 ' border=no />
他人のドメイン名がだぁ〜〜〜っと入った証明書って気持ち悪いな
てか、これって秘密鍵が万が一漏えいしたら羅列されたドメイン名全部の偽サイトの作成ができちゃうんだから危険だよね
CloudFlare退会したとしても、そのSANsを消した証明書を作り直したりもしないだろうし
こういうのはやめるべきだと思う
レンタル鯖関係について語り合うならおすすめ。
>>156 SNSの宣伝ですか
今時、独自のSNS展開するなんていうのはセンスが無いからやめた方が良いよ
既存のSNS内でコミュ作ればいいだけでしょ
そんなのではアクセス稼げない 時代遅れだしセンスが無い
そして、この過疎版で宣伝して宣伝効果があると考えるのが痛い
「板」全体で1日数レスあるかないかのような掲示板で宣伝して何になるの?
この「板」全体のPVも数百/dayぐらいしか無いと思うよ?
悪い事言わないから、お前さんはネットビジネスのセンスが全くないんで、早く諦めた方がいい
時間が無駄になるだけなんで、サーバ運営、Web製作、Webプログラミングのうちなにかができるんだったら
それを生かした雇われの仕事探した方がいいよ
「口コミ」で宣伝すると1件いくらで報酬もらえるんでしょ
ネットで「口コミ」とかいう表現するのやめて欲しいわ > ぐるなびとか価格.comとかもだけど
ごめん
昔 CF-Y4 っていうパームレスト部分がパカっと開いて光学ドライブが出てくる奴持ってたわー
>>161-162 ワロタ
最近のLet'snoteの光学ドライブ普通になって特色なくなっちゃったよな……
Let's Encrypt マジスゲーや
まじ凄いのは分かるんだけど、余りに簡単過ぎて
悪魔バスター★スター・バタフライ 👀 >>166 VPSレンタルサーバーで使っていますよ。
httpもpopも色々なドメインが1の種類のファイルで済むので楽だね。
さくらのレンタルサーバで試してみようと思って調べてみましたが、結構面倒くさそうですね
https://msnr.net/2015/12/letsencrypt.html 時刻まで気にするってのはあまりないんだけどさ、こう気軽に発行できてじっくりながめることができて気づいたんだけど、
おまえさんの使ってるどこぞの共用サーバは独自SSLが使えると仕様にあるのかい?
>>176 本当に知らんのか?
http://www.sakura. ne.jp/news/sakurainfo/newsentry.php?id=1018
https://help.sakura. ad.jp/app/answers/detail/a_id/2326/~/ssl%E3%82%92%E5%88%9D%E3%82%81%E3%81%A6%E8%A8%AD%E5%AE%9A%E3%81%99%E3%82%8B
つーか、お前
>>171 のリンク先見てないだろ?
👀 リンク踏めとかウィルス製作者がよく言うセリフだな
伊藤正典さん?
Registrant Name: MASANORI ITO
Registrant Organization: MSNR.NET
Registrant Email:
[email protected] Created Date: Sunday, December 16th, 2001
Updated Date: Sunday, November 17th, 2013
Expires Date: Friday, December 16th, 2016
Admin Name: MASANORI ITO
Admin Organization: MSNR.NET
Admin Email:
[email protected] 知識をひけらかそうとしたら、無知を露呈させちゃって顔真っ赤になったんでしょ
>>171 >>177 さくらのレンタルサーバーでも、Let's Encryptを使えるということですが、
でも、Let's Encryptって、動的に短期間で更新処理を行ってroot権限で再配置する必要があったんじゃなかったんですか?
>>186 自己レス
>>171 のリンクを読みました。
更新処理用のマシン(root)を別途用意してますね。
でも、証明書のアップロードは手動なんですか。
90日ごとに手動でこの操作が必要なの?
いやまあポート80、、という1024以下のポート使うならroot必須だろう
あと証明書の同期は手動でも自動でも好きにしたらいいじゃん
>>189 ポート80で受けるならその時点ではrootが必要なのは当たり前、という話
わざわざrootて書いてるからさ
>>190 証明書の同期?crontab?
そして、RSYNCで?、FTP?、SCP?
疑問
1、証明書関係のファイルのコピー(同期)って、
さくらのレンタルサーバーでできるの?
やったことがないから知らないが、証明書って特定のディレクトリに収める必要があって、
そこの書き込みにはroot権限が要るんじゃない?
2、さくらのレンタルサーバーで、同期の手段って、どっちの方向へアクセスできる?
さくらレンタルサーバー → 取得専用自分マシン
取得専用自分マシン → さくらレンタルサーバー
>>191 >ポート80で受ける
?postで証明書ファイルを受けるの?それは怖いことだ。
ドメインが有効かを向こうが80でアクセスしてくるだろ
サクラの共有よくしらんけど、VirtualHost使ってんじゃないの?
ヘルプ見れば解決するやろ
複数のサーバーの証明書を1台の親玉サーバーで一元管理(取得・更新・配布)したい場合
>>202 rsyncで、マスターマシン内の証明書を、他のマシンと同期するとかは?
放置する阿呆がいるからこまめに面倒見るようにと1年更新じゃないのに
もし証明書が中途半端になってるとアウトだから自動更新はしたくないけどな。
リバースプロキシサーバをたてて、そこでまとめてSSL化すればいい
ブラウザで取得できるらしい。
https://sslnow.ml/ 誰か試してみて
TLS 1.0、AES 256 / 256 ビット暗号 (高); RSA / 2048 ビット交換
sha1RSA
CN = avast! Web/Mail Shield Root
O = avast! Web/Mail Shield
OU = generated by avast antivirus for SSL/TLS scanning
https://my.softbank.jp/msb/d/top TLS 1.0、RC4 / 128 ビット暗号 (高); RSA / 2048 ビット交換
TLS 1.0、Triple DES / 168 ビット暗号 (高); RSA / 2048 ビット交換
TLS 1.0、AES 128 / 128 ビット暗号 (高); RSA / 2048 ビット交換
TLS 1.0、AES 256 / 256 ビット暗号 (高); RSA / 2048 ビット交換
https://www.virustotal.com/en/file/7b6af39264f866465b0d68e0a57ba08bba6c28cb2b1f47e9f7b5767c017680be/analysis さくらのレンタルサーバ上で使う方法は、
"All ISRG keys are currently RSA keys. We are planning to generate ECDSA keys in early 2016."
https://letsencrypt.org/certificates/ より
ECDSAが無料で体験できるのが待ち遠しいなぁ
RSAとECDSAのDual署名はopensslが対応しているのでapache他多数でも使えるハズ
ssl/tslでは、どのタイミングで、設定されたドメイン名が使われるんですか?
>>214 そりゃ、アクセスされた時でしょ。
証明書に書いてあるドメイン名とアクセスしてるドメイン名が一致してますよって証明書だよ。
>>215 ありがとうございます。
クライアント側が、
サーバ証明書に記載されているサーバのドメイン名と、自分がアクセスしている先のドメイン名とを
照合しているってことかな。
なんか緩いなあと感じるが、
サーバ証明書は、第三者機関からデジタル署名を受けているんだよね。
でもそれって、含まれている公開鍵だけじゃなかったっけ。
その署名された公開鍵にも、サーバのドメイン名って含まれているのかな。
それなら、冒頭の、クライアント側でのドメイン名の照合には意味があるね。
先生!! これ letsencrypt-auto に任せず手動で出来るもんなのでしょうか
すまん自己解決しました
うむ。gcc はともかく、python のライブラリやそれが依存するライブラリが色々入るのはあまり歓迎しない。
>>216 >クライアント側が、
>サーバ証明書に記載されているサーバのドメイン名と、自分がアクセスしている先のドメイン名とを
>照合しているってことかな。
YES.
もちろんその証明書の正当性有効性自体も。
>サーバ証明書は、第三者機関からデジタル署名を受けているんだよね。
YES.
>でもそれって、含まれている公開鍵だけじゃなかったっけ。
NO.
しかし、説明どおりにやって cron 登録までいくと
ところで80番開けてないと更新できないの?
Let'sEncryptのIPだけ別マシンにルーティングすればいいか
>>228 最初にweb鯖止めないで公式蔵動かして繋いできたそれっぽいリモホのIP使えばええんやろ
>>224 cron の周期はどれくらい?
毎週?
>>229 最近のアンチウィルスソフトはSSL通信の監視も出来るけど
そのためにオレオレ証明書を入れてクライアントを騙したりするし
SSL通信の内容がアンチウィルスソフトメーカーに筒抜けになる気がして
機能OFFにしてるんだよなぁ
Let's Encryptの登場で今後不正サイトがSSL/TLS化されるって言われてるし、
監視しないと心配になってきたな
証明書が悪用されたと発覚しても revoke しないポリシーってどうなんだ。
まあ期限を短くしてくのが効果的だろうね
>>234 証明書発行機関はインターネットの警察ではない
DV証明書はそのドメインと暗号化通信していることを保証するだけでそのサイトの善悪までは知らん
というのはエンジニアとしてはものすごく正しいことを言っているのだが
実際にインターネットを利用して被害にあうエンドユーザーには通じない
最終的にLet'sの証明書は信用できない、Let'sはウィルス、マルウェア被害を助長する悪の組織、
みたいにならなければいいけど
もうなりつつあるんじゃないかなぁ
例えば無料DV証明書でも
例えば無料のHPでサブドメインが割り当てられるなんてのはよくあるやつだろ
責任の所在がどこにあるかは別にして
この Web サイトのセキュリティ証明書には問題があります。
http://nakedsecurity.sophos.com/2013/05/27/anatomy-of-a-change-google-announces-it-will-double-its-ssl-key-sizes/ この Web サイトで提供されているセキュリティ証明書にはエラーがあるため、
信頼しないでください。
セキュリティ証明書の問題によって、詐欺や、お使いのコンピューターから
サーバーに送信される情報を盗み取る意図が示唆されている場合があります。
>>242 まあむこうの考える理想としてそういうことをやってはいけないのだろう
現状を変えたいのだと
今のままじゃブラウザで不正証明書の警告が出ないオレオレ証明書と同じじゃないか
同じだよ?
正しい証明書であることとサイトの信頼性はまったくべつのはなしだ
だが消費者は納得しない
緑になるのはEVだしかなり最近の話だな
>>249 緑に関してはもちろんそうだけどもEVとDVの違いをちゃんと理解して使ってる奴がどのくらいいるのかとね
「このWebサイトは認証されています。このサイトとの通信は安全です」
>>251 だったら、RapidSSL とかグローバルサインとか含めて、DV証明書全部ブロックしたら?
DV証明書っていうのはそういうもんだからね
言っとくけど、フィッシング詐欺やらウイルス配布やらに悪用されているDV証明書なんて山ほどあるから
Let's Encrypt を糞会社のトレンドマイクロが叩いただけで、それ以外の既存の大手CAのDV証明書だってフィッシングサイトなどに悪用されてる
サイトを信頼したいなら、その法的に実在している法人や団体が運営していることを証明している
アドレスバーが緑色になるEV証明書だけ信頼していればいいでしょ
文句いってるトレンドマイクロの方が明らかにおかしなセキュリティ会社なんだけどね
トレンドマイクロの「パスワードマネージャ」が、localhostでNode.jsを使ってHTTPサーバーを実行していて、
全世界から任意のコードを実行できて、記録されたパスワードも盗用可能という致命的な脆弱性があるという糞会社だからセキュリティを語る資格はない
てか、パスワードマネージャに HTTPD が入ってるとか、脆弱性以前にバックドアとしか言いようがない糞設計だよね
ウイルス対策ソフト自体も誤検出放置で信頼性皆無だし
http://it.srad.jp/story/16/01/14/0853225/ こういうことが続いてLet'sの証明書が信用失ってブロックされたら困るよねーって話だし
なんかここではDV証明書の議論になってるけど
証明書で証明できるものは、公開鍵の正当性だけ
で、その公開鍵証明書にはサーバー用、クライアント用、S/MIME用、アプリ署名用とかいろいろあって
>>257 サーバー用公開鍵証明書、
クライアント用公開鍵証明書、
S/MIME用公開鍵証明書、
アプリ署名用公開鍵証明書
という正式な名称使った方が誤解ない
イヤなら金払ってもっと上の証明書を使うなりすればいいじゃない。
>>262 今時大手CAもDV証明書売ってるし、フィッシングサイトが HTTPSに対応しているなんてのは今時当たり前(大手CAのDV証明書利用)であって、いちいちニュースにもならない。
ニュースになったとしても、○○銀行のフィッシング詐欺サイトがどうのこうのと注意喚起されるだけで、どこの証明書が使われたなんてのは記事にならない(実際どうでもいいし)。
ところが Let's Encrypt の証明書が使われたときだけ騒ぐというのは嫌がらせとしか思えない
大手CAと違って広告費払ってくれない非営利団体運営だから、叩きやすいんだろうね
一方、DVやってるジオトラストは、シマンテック・ベリサイン系列だから気軽に叩く訳にはいかんだろうし
最初の発行時だけ手動の操作による認証が必要にすればいいんじゃないのかな?
>>264 そんなことはジオトラストとかの大手DVもやってなくて機械的に取れるんだけど
だいたい、手動による認証ってなんか意味あるの?
証明書取得時だけ普通のサイトっぽくして、証明書取得後にフィッシングサイトに書き換えられたら終わりじゃん
もうちょっと考えてから書き込んだら?
/;;;;;;;;;;;;;;;;:.
手動による認証ってなんだ?
https://support.microsoft.com/ja-jp/kb/931850 この Web サイトのセキュリティ証明書には問題があります。
https://www.knaw.nl/nl sha384WithRSAEncryption
TLS 1.0、AES 256 / 256 ビット暗号 (高); RSA / 4096 ビット交換
オレオレ証明書
Program Files\CSR\CSR Harmony Wireless Software Stack
cert_install.bat
@ECHO OFF
cd .
call certmgr.exe /add HarmonyTest.cer /s /r localMachine root
call certmgr.exe /add HarmonyNewTest.cer /s /r localMachine root
Harmony(Test).cer
HarmonyNew(TEST).cer
bluetooth
bluetooth追加後、証明書が書き込まれる。
https://www.ssllabs.com/index.html TLS 1.0、Triple DES / 168 ビット暗号 (高); RSA / 2048 ビット交換
kb3081320
WEPOS および POSReady 2009 のセキュリティ更新プログラム (KB3081320)
schannel.dll
https://my.softbank.jp/msb/d/top TLS 1.0、RC4 / 128 ビット暗号 (高); RSA / 2048 ビット交換
このページは表示できません
https://media.defcon.org/ sha512RSA
DigiCert SHA2 High Assurance Server CA
https://trinlink.tmfhs.org/EpicCareLink/common/epic_login.asp TLS 1.0、AES 256 / 256 ビット暗号 (高); RSA / 2048 ビット交換
σ < マイクロソフトの営業よ
./letsencrypt-auto certonly --webroot -w /var/www/http/ -d example.com -w /var/www2/http/ -d hoge.com --agree-tos
SCLは6系からだっけ?
サブドメインが違うのを何個か作ったら制限でアウトになった。
python は 2.6 だと「古くてもうメンテされてないよ」って警告出るだけで
domain shadowingって具体的にどういう手法なの?
要するに
ちゃうねん
>>284 > ad.yahoo.co.jpを作って
これどうやるの?
>>286 自分がドメイン乗っ取りやフィッシングなどの犯罪行為の方法をkwsk質問してる自覚ある?
>>281 http://security.srad.jp/comments.pl?sid=676026& ;cid=2947587 に書かれている
レジストラの垢をフィッシング詐欺その他で乗っ取って、DNSのAレコードを書き換える攻撃のこと
>>283 そういうこと
>>284 > ad.yahoo.co.jpを作ってそれを自分の鯖に向けて証明書を取得
その ad というサブドメインを yahoo.co.jp に追加するために、ヤフー株式会社が所持しているレジストラアカウントを乗っ取るのが
domain shadowing という攻撃方法
単なるレジストラアカウントの乗っ取りで合って、別に目新しい攻撃方法ではないけど
・メインのAレコード(@ や www)を書き換えないので、ドメイン所有者が攻撃に気が付きにくい
・ブラウザやセキュリティソフトは長年使われていた正規サイトのサブドメインのため、ヒューリスティック判定で詐欺サイトとして自動検出しない
ってだけ
その不正につくったサブドメインにLet's Encryptの証明書が使われたと大騒ぎしているのがトレンドマイクロだけど
色々ブーメランなことになったので、トレンドマイクロはそのLet's Enbcrypt批判の記事を修正した
なるほどレジストラのアカウント乗っ取るなんて大がかりなことやるなら
お名前みたいなDNSサービスもやってるところはそうだけど
DNSサーバを乗っ取るって・・・
>>293 普通速攻気付かれて修正されておわりだよね。
DNSサーバ乗っ取られるような会社なら
キャッシュ毒とかのことかな
要するにサブドメインでその上の認証がとれるってことでしょ
理解できなかっただけでしょほっとけよ
>>293 だーかーらー
そーいう派手な乗っ取りをすると
>>294 の言うように気付かれやすいから
こっそりサブドメインを作って A レコードで別サイトに誘導するってのが
domain shadowing っていうのさ
これ以上反論したいならセキュリティ専門家とでも議論してくれ
>>300 んなもん分かってる
お前がいきなり
> 別にレジストラじゃなくてもDNSサーバー乗っ取ればいいわけで
> それ自体は昔からある手法
まるでアカウント乗っ取るよりサーバ乗っ取る方が簡単みたいな事言い出したから
/;;;;;;;;;;;;;;;;:.
また2ちゃんねるでオレ様情強アピールかよ。
別に間違えたって良いと思うけど、逆ギレしちゃうのだけは止めた方がいいw
他の発行元はサブドメイン用DV証明書の発行にも非サブドメインのドメイン所有権というか使用権を確認してるのに
途中で送っちゃった
そもそも暗号化するってだけで確認も何も無かろう。
そもそもオレオレ証明書でド派手な警告出るようなしくみになってるのが
>>310 OVで始まった歴史的経緯があるからね
そこをすっ飛ばしたら議論にならない
本当だよ。あれを誤解してる奴にどれだけ説明した事か。
>>312 >>314 オレオレ証明書は、フィンガープリントの確認をしない限り、暗号化という意味でも安全ではないから
激しい警告を出すのは当然なんだが
例えば、安全でないアクセスポイント(クラッカーが運営)で無線LANを使っている場合、
オレオレ証明書のサイトを偽のオレオレ証明書に書き換え、www.example.com のサーバーへの接続を
クラッカーが運営するサーバへの接続(オレオレ証明書)に経路を書き換えることが可能
Let's Encrypt では二経路を改ざんしない限り、そういった悪用はできない。
証明書発行時にDNSのIP見てるので、
末端ユーザー ⇔ 無線LANアクセスポイント ⇔ ISP の経路だけではなく、
Let's Encrypt 証明書発行サーバ ⇔ DNSサーバ の経路も書き換えない限り、そういった不正ができなくなる
>>316 オリジナルのDNSサーバに毒入れできたら、Let's の証明書は取得できちゃうけど、それは困難
Let's の証明書取得時には、一般のユーザーが使うような毒入れ可能なDNSキャッシュサーバではなく
権限サーバに直接つないで照会かけてるだろうし
>>319 PKIの基礎学べば分かると思うけど、ユーザー(ブラウザ)が暗号化に使う公開鍵が
期待する通信相手のものであることが明らかでない限り、その暗号化自体が何の意味も持たない
つまり、ドメインの所有者・正規使用者の確認というプロセスを省略して単に暗号化だけにした場合(オレオレ証明書の場合)
その暗号化という行為自体が技術的に無意味になるのよ
何故かというと、単に暗号化するだけなら、通信を傍受・改ざんするクラッカーによって、正規の通信相手の公開鍵がクラッカーの公開鍵にすり替えられていたら
クラッカーが通信内容を傍受・改ざんできてしまう
Let's Encrypt のDV証明書は、ドメインの正規利用者の公開鍵であることを認証しているので
example.com というドメインを信用するならば、ブラウザのアドレスバーが
https://example.com/ で始まっていることとと
ブラウザが警告を発しないことを確認するだけで、そのドメインの正規利用者と安全に通信できる
ってことで、「暗号化と所有者確認は切り分け」は、技術的に無意味(公開鍵のすり替えに対抗できない)のでやる意味なし
(公開鍵のフィンガープリントを電話とか郵送とか安全な方法で受け渡せば公開鍵のすり替えはできなくなるが)
Let's がやってるDNSベースでの認証は、安全な通信のために必要な最低限度の行為なので削ることはできない
なげーから読んでねーけど、
だったらオレオレCA作って、
今日1カ月ぶりに更新したらできない
は?
試しにやってみたらそういうふうに言ってきたけど勝手にやってくれたみたいで
勝手にやってくれるって便利だとおもうけど、反面あぶねーからこええよw
依存関係の解消ってどのインストーラーもこんな感じでは
Let'snote のバッテリーのリコール対象が増えたぞ Let'snote 持ってる人は要確認だ!
http://askpc.panasonic.co.jp/info/160128.html CF-S8/S9/S10シリーズ、またはCF-N8/N9/N10シリーズ (新たな対象機種)
かなり古い機種も含まれているので、これで数年前のバッテリーが新品に蘇るぞ
パナソニックは神対応だな
……ところで、なんでこんな板にLet'snoteスレがあるんだ?
めんどいって、自動にする為のしょりがめんどいのか、自動処理出来ないから毎回めんどいのか。
こんな程度でめんどいと言っているようではおまえはうんたらかんたらって言いたいだけ
今朝にセットしてたcron自動更新うまくいってた
リトライさせるのは簡単では。
そもそもケチつけるべきはここではなくCFだと思うんですが
>>341 は、Let's Encrypt に対して風評被害を与えるような糞レス
まず、第一に、そのサイトの証明書を確認してみたが、サブジェクトの代替名が
DNS Name=ssl366616.cloudflaressl.com
DNS Name=*.2ch.net
DNS Name=2ch.net
となっている COMODO の DV証明書。
もう一度いうと、「COMODO」 の DV証明書なので、Let's Encrypt は無関係。
ついでに、その証明書はきちんと検証できるので、全く問題が無い。
ちなみに、その証明書自体は問題ないけど、2chはあちこちセキュリティガバガバなので全く信用できない。
例えば、jump.2ch.net は、
http://www.example.com/test.cgi?a=123& ;b=456#InPageLinkTest
というリンクすらまともに処理できない
一応XSSは修正されたけど、エスケープ漏れに対して変なところで処理した結果、& を & に変換する処理が二重化されて二重エスケープでリンクが機能しなくなったり
ページ内リンクの # を処理できなかったりと、ガバガバ
そういうレベルのサイトなので、●のクレジットカード情報や個人情報漏洩したりとか、有料会員のパスワードがXSSやCSRFで漏洩したりとか、
レベルの低い問題を過去におこしまくっている
うわ、書き込み自体も変に文字列置換されて意図に反する内容になった
まーたスクリプトのテストしてたら「お前たくさん発行しすぎ」ってエラーになった
発行しすぎ! ってエラーが出ることを正常系としてみりゃいいんでね?
警告が出るだけじゃなくて実際に発行を拒否されるのを正常系にしてどうする
>>351 スクリプトの動作云々でそこまで求めるなら一週間またないとな。
更新処理のみに絞れば発行しすぎだろってエラーまで行けば制限外れれば更新は出来る。
気になるならログを見れば良いだけだし。
更新済みなのにこんなメールが来たんやけど?
"Let's Encrypt certificate expiration notice"
Hello,
Your certificate (or certificates) for the names listed below will expire in 19 days (on 03 Mar 16 04:05 +0000). Please make sure to renew your certificate before then, or visitors to your website will encounter errors.
www.example.com
For any questions or support, please visit
https://community.letsencrypt.org/. Unfortunately, we can't provide support by email.
>>354 俺にも来たけど、サブドメイン足す前の物は間もなく切れるからだった。
3ヶ月って短いな。
Internet Explorer はこの Web サイトのセキュリティ証明書の問題を検出しました
http://www.symantec.com/security_response/writeup.jsp?docid=2010-021223-0550-99 大晦日に解散ライブを行い、フィナーレで照明を落とし
バイクに乗って森が登場して、キムタコに蹴りを入れて終了。
ゲーム 平安京エイリアン
>>356 は、Let's Encrypt に全く関係無いカキコ
荒らしなのでスルーよろしく
更新忘れないように、有効期限が短い証明書更新してないとリマインダーメール来るんだね
.
>>362 > inoue1952w★gmail.com
> 迷惑メール対策のため@部分を★にしてあります。
> 実際に送信する際には★を@マークに変えてください。
はぁ?
お前の書き込み自体が迷惑メールだろw
>フリーター、ニート、高齢ニート、コミュニケーション障害をお持ちの方、引きこもりの方、中年失業者、長期無職等、歓迎!
>>367 取れてないよ
公式見てみ
https://letsencrypt.org/ 「Get Started (Public Beta)」とある
パブリックβテスト中だ
くだらない質問で恐縮ですが、証明書取得時の80へのアクセスについて、アクセス元のアドレス帯とか公開されていたりしますか
webroot指定でやった時は66.133.109.36からアクセスされた
>>372 がoutbound1.letsencrypt.orgで、outbound2も存在しているようなので、その2つを開けて様子を見てみます。
ありがとうございました。
Let's Encryptをつかって署名された証明書を作成して、
>>374 ssl-dumpの場合、信頼されたCA証明書で動的にSSL証明書が発行されないとダメだし、LetsEncryptではCA証明書が払い出されるわけでは無いから無理じゃね。
>>375 レスありがとうございます。
ssl-bumpだと動的に作成した証明書を「自分でその都度、署名して自己証明書を新たに作成」しているってことですか。
ssl-bumpの設定段階には、さきにオレオレ証明書を作成することになっています。
そして、おっしゃるとおり、動作中は接続先サーバのドメインに応じて矛盾しない証明書を動的に作成するらしいです。
だとしたら、どうして、最初にオレオレ証明書を準備したんでしょうか。
自己証明の代わりに、Let's Encryptがその都度、署名してくれればいいんだけどなあ。
そういうスクリプトが提供されているのではないのか。
その「オレオレ証明書」がCA証明書で、サーバ証明書を発行するのに使われる
>>377 ちょっと、おれおれ証明書と、おれおれ認証局とを混同したように書いてしてしまっていた。
おれおれ証明書は、おれおれ認証局によって署名されたものという認識で合うかな。
ところで、squidの組織がルートの通った認証局を構築してくれればいいのかな?
googleあたりがそういうのをやってくれないかな?
とりあえずスレチになってきたので、続きはメモ帳に書いて保存せずに終了しとけ
>>378 そんな証明書出すCAは瞬く間にCA証明書がブラウザから削除される
さようなら
ここで証明書もらって手元のサイトSSL化してみたら
ガラケーはちょっと古いとSHA2にすら対応できんから、もう見捨てるしかあるまいて
Let's Encryptの証明書はSHA-256なので古いガラケーだとエラーになる
>>382 >ここで証明書もらって
これって、正しく言ったら、
自分で作成した公開鍵と自分情報に、ここで署名してもらって、証明書を作成してもらった。
ここで電子署名されるのは、公開鍵+秘密鍵のハッシュ値?
それとも、公開鍵+秘密鍵のハッシュ値+自分情報?
>>385 > ここで電子署名されるのは、公開鍵+秘密鍵のハッシュ値?
> それとも、公開鍵+秘密鍵のハッシュ値+自分情報?
両方不正解
認証局に送信されて電子署名されるのは公開鍵とCSRだけで、秘密鍵も秘密鍵のハッシュも認証局には送信されない
https://letsencrypt.jp/faq/#SecretKey 電子署名にはCAの秘密鍵が使われる(お前の公開鍵などをCAの秘密鍵で暗号化するのが署名)ので、電子署名作業はLet's Encryptのサーバでやる
電子署名後のデータ(お前が作成した公開鍵をCAの秘密鍵で暗号化したデータ)を
ユーザーのブラウザがCAの「公開鍵」で復号できたら正しい署名だとみなされる
何故ならば、CAの秘密鍵で暗号化したデータは対応するCAの公開鍵でしか復号できないわけで
CAの公開鍵で複合できたということはCAの秘密鍵で暗号化されたということになる = 正規のCAによるデジタル署名ということになる
ガラケーはもうほとんど使い物にならなくなってるから無視していいだろ
>>388 何の問題もないっしょ
1日1レスあるかどうか分からんような過疎スレなんだから
そうやって初心者排除していると、ただでさえ居ない人が更にいなくなって
便所の落書きどころか、廃墟の建物の壁の落書きになってしまうw
さあ、暗号化しよう!っていうスレなんだから
そういう人は、横着せずにちゃんと勉強しようね
Wikiでも作りますかね?
>>389 どうでもいいけどこのスレの勢いは3.8だ
証明書周りは「オレオレ認証局」とか「自己認証局」でググって色んなサイトを熟読すれば
SSLのことよーわからんけど
Let's Encrypt で証明書を取得したドメインに対して
>>386 >認証局に送信されて電子署名されるのは公開鍵とCSRだけで、秘密鍵も秘密鍵のハッシュも認証局には送信されない
レスありがとう。
秘密鍵のハッシュもいっしょに、oreore認証局に渡されるって記事を、
WEBの記事で見たんだよなあ。ずっとさがしているけど、その記事が見つからない・・・
>認証局に送信されて電子署名されるのは公開鍵とCSRだけで、秘密鍵も秘密鍵のハッシュも認証局には送信されない
>>399 > CSR (署名要求証明書)
まぁ、解釈の仕方で技術的な話ではないけど、CSR は Certificate Signing Request つまり署名要求なわけで、
「この公開鍵に署名してくださいねー」と認証局に送るための署名要求、つまり手紙のようなもの
で、認証局がやるのは、公開鍵に署名してその公開鍵がそのドメインに属することを証明することなんだから、
「認証局に送られて署名されるのは『公開鍵』」という説明が分かりやすくて合理的なのでは?
CSRは署名してください、っていう手紙に過ぎない
そりゃCSRに署名だったらCN以外もCSR通りに署名してくれるだろw
>>400 CSR (署名要求証明書) ってかいた括弧の中がおかしかった。これは訂正。
言っていることは分かるし伝わる。結果として署名された公開鍵がくるわけだしね。否定する所も無い。
つまり、考え方、合理性の求め方が人それぞれ色々あるんだなと感じた。
もっとも俺がおかしいだけなのかも知れないがw
>>399 CSR(含む公開鍵)が認証局に送られるけど、署名されるのは公開鍵だけっしょ
例えば、Let's EncryptのCAに下記のCSRを送ったとする
コモンネーム: 2cher-no-oresama.jp
組織名: 2cher Co LTE
部門名: BBS Service
市区町村名: Tubo-City
都道府県名: Osaka
国別番号: JP
公開鍵: 公開鍵情報グダグダと長文で列挙
すると、Let'sのCAはCSRの組織名・部門名・市区町村名・都道府県名・国別番号を全部無視(削除)して証明書を発行する
何故ならば、単なるDV証明書でドメイン名しか認証できないのでコモンネーム以外は無視・削除する(ジオトラストとかのDV証明書も同様)
ってことで、CAが署名するのはサーバの公開鍵だけだ
もしCSR全体を署名するとするならば、CSRの記載事項(組織名とか部門名)を認証局が改ざんできないことになるけど、
実際には認証局が勝手に変更したり認証していない項目を削除したりする
CSR に署名って言うは俺の言葉足らずだったので訂正及び謝罪はしておく。
CSR に含まれる「公開鍵」に対し、DV 認証且つマルチドメイン対応だから CN 及び SAN の値以外を削除して署名する。
ということで。
大元に
>>399 で俺が書いた引用部分
>認証局に送信されて電子署名されるのは公開鍵とCSRだけで
この部分への違和感は「署名されるのは公開鍵と CSR だけ」にあって、公開鍵は CSR に含まれるから
送信されるのは CSR だけでそこに含まれる公開鍵にのみ署名される
という事になる。
もうわかったから何度も同じこと繰り返し書かなくていいよ
>>405 が怖いから、もう5日もレス無しじゃないか……
誰でもみんな最初は初心者なんだから、多めに見てあげてください
基本的なことですみませんが証明書の透明性について、
よく分かってないので質問させてください。
Google ChromeのURLの隣の鍵マークをクリックして接続タブをクリックすると、
「証明書の透明性に関する情報はサーバーから提供されませんでした。」
と表示されるんですが、解決策をぐぐるとApacheの場合はmod_ssl_ct、
nginxの場合はnginx-ctを組み込む解決策が出てくるんですが、
これは通常webサーバーのほうで対応する問題なんでしょうか?
http://news.valuessl.net/?p=1418 こういう有料のところのを見てみると証明書発行側で対応しているように見えるのですが。
それはDV証明書以外なら出る
>>409 OV証明書やEV証明書なら出ないということですかね?
ということは、webサーバー側でモジュール組み込んだりして
対応しているのは本来の解決法ではないんですね。
>>408 SCTのdelivery方法は3種類ある
1) CAが証明書にSCTを埋め込む(X.509v3 extension)
これならweb serverに特に何か設定する必要はない。有料証明書のCT対応は基本これ
だがLEは証明書にSCTを埋め込んでない(し、そうする予定はないと明言)
2) web serverのTLS extension
つまりmod_ssl_ctやnginx-ct
なおLEはCT Log serverにsubmitはしてるから、ct-submitは必要ない
3) OCSP stapling
CAが対応しないとNGで、LEはいずれ対応するかも知れないが現状まだ
>>409 色々間違いすぎで知識が古い
>>411 分かりやすく説明ありがとうございました。
説明のおかげで解決策に納得できました。
現状では2)でしか対応できないということですね。
>>411 こういうのってどこで覚えるのか、素直に教えてほしい
TLSサーバからクライアントにSCTを渡す方法は規格上は3つある
>>415 貴重な情報サンクス
このスレにも神(本物のエンジニア)が居たようだ。。。
Let's Encrypt の話じゃないが、無料SSLの StartSSL にドメイン認証不備の脆弱性があったようだ
http://blog.tokumaru.org/2016/03/startssl.html 証明書取得時のWebフォームで、認証用メールアドレスのパラメーター(下記のDOM)を書き換えることで、
任意のメールアドレスでの認証が可能だったとのこと。
<input name=
(2chの不具合で投稿が途中で切れたので続き)
<input name="ValidateEmails" type="radio" value="
[email protected] ">
こういうWebアプリケーション製作の入門書にも載っているような低レベルな脆弱性があるとか、StartSSL は信用できん
やっぱ90日ごとの更新が面倒でも Let's Encryptの方がいいね
Let's Encrypt が面倒なのは最初だけ。
>>418 クライアントから送られてくるデータを信用してはいけないと、
教科書に書いてありますね。
>>421 残業だらけで寝不足になってくるとセキュアなコーディングなんて心がける余裕はなくなってくるんだよ
時間が無いと、オブジェクト指向どころか、関数にすべきところをコピペして一部編集してコーディング、
ググって適当にでてきたコードをよく読まずに無理やりつなぎあわせて、エラーが出た場所だけとりあえず修正して間に合わせ
とにかく急いで完成させるようになるの
勿論、プロなのでできる限り穴がないようにするが、ところどころ抜けるのはやむを得ない
睡眠不足で過労死するよりはマシだろう
一番のWebアプリケーションの脆弱性対策は、教育ではなく労働環境の改善だと思う
セキュアなコーディングのやり方をプログラマーが知らないのではなく、それに気を配る時間がないというのが現実
その点、非営利で趣味でやっているようなオープンソースのフリーソフトってのは
βなのにトラブルとか全然なくてスレが盛り上がらない模様
仕込んでた自動更新スクリプトが無事勝手に更新して反映してくれていた事を確認出来たのでもう放置ですわ。
これ、期限の何日前になったらメール送られてくるのかねー
>>429 なるほど
やっぱり隔月で更新でちょうどいい感じなのね
ありがと
Windows10 + xamppで導入してみようと思ってletsencrypt.exeを落としてきて実行したんですが、
>>396 同じ事が起こった
一つ上のドメインにはアクセス来ないのに、
存在してないサブドメインに対するアクセスがあるね
とりあえず418返してるけど
>>433 Windows以外の環境で証明書作る
わざわざやりづらいWinでやる必要はない
ステータスコード 418 I'm a teapot のページ探してみたらあった
https://www.google.com/teapot てっきり無効なステータスコードとしてエラーになるかと思ったら、
RFCで定義されたステータスコードだけあって、ちゃんと主要ブラウザでエラーにならず問題なく閲覧できるんだね
てか大半のブラウザは不明なステータスコードとしてスルーしているだけだと思う
2月の初めごろに証明書とった香具師、そろそろ更新の時期だから忘れずに更新しような!
ふつうに注意喚起のメール飛んでくるから、そういうのいらんです
2回目の取得は自動スクリプトがちゃんと動いてるかどうかの確認に使うのがいい
俺なんかスクリプトの記述を数文字間違えて、4日で更新しちまった事があるぜぃ
[拡散希望!]
参考になりそうなURL送っておきます
電磁波による拷問と性犯罪
http://denjiha.main.jp/higai/archives/category/%E6%9C%AA%E5%88%86%E9%A1%9E 公共問題市民調査委員会
http://masaru-kunimoto.com/ この方たちは集団訴訟の会を立ち上げてマスコミに記事にしてもらう事を目的に集団訴訟を被害者でしようという試みを持っている方達です
訴訟は50人集めてしようという事なのですが50人で訴訟をすると記事に書けるそうです
記事には原発問題を取り上げてテク犯被害を受ける様になった大沼安史さんらが取り上げて下さるそうです
大沼安史さんがテク犯に遭っているという記事
http://ameblo.jp/hilooooooooooooo/entry-11526674165.html 大沼安史の個人新聞
http://onuma.cocolog-nifty.com/blog1/4/index.html この方たちは電話相談等も受け付けている様で電話番号を載せている方達は電話かけ放題の契約をしていますのでこちらから電話して本人にかけ直してくれと頼むとかけ直してくれます
音声送信被害等を受けている「電磁波による拷問と性犯罪」の記事の水上さんは年金暮らしなので時間には余裕があるそうで宗教等に付随する集団ストーカー等の被害内容の話も聞いて下さいます
もう一人の電磁波犯罪には遭っていない国本さんという方は電磁波犯罪をしっかり理解されている方で年金暮らしの方なので長電話も大丈夫です
大沼さんはこちらのページからメールを受け付けておられる様です
http://onuma.cocolog-nifty.com/about.html 電話をかけたい場合は人によってはメールで電話番号を訊くと教えてくれると思います
この文章を見られた方は全文コピーをしてできるだけ多くの知り合いの被害者の方等にメールを送るなり被害者ブログに書き込むなりしていただければ大変有難いです
もし大勢の方に送る事が出来なければまだこの文章に触れていない知り合いの被害者に少しでも全文コピーで送っていただけるとその方が次の何人かの方に繋いで頂ける場合があり結果として大勢の方に見て頂く事が出来るはずです
ご協力よろしくお願い致します
👀 Windowsで"sudo" is not availableってエラーが出るんだけど
sudoいらんだろうけど、その後ろのコマンドは何を動かそうとしてんの?
Windowsでやったことないけど、↓これ使ったら
https://github.com/Lone-Coder/letsencrypt-win-simple/releases あーあとSolarisの人はOpenCSWでいける
☆ 総務省の、『憲法改正国民投票法』、でググってみてください。☆
公式のスクリプトって毎日更新されるね
日本語ドメイン登録しようとしたらエラー出るんだけど、どうすればいいの?
OCSP stampingしたいときはどれを指定すればええんじゃ?
自分専用だーってセキュリティをガチガチにやりすぎると、
完走出来ないってそれって設定ぽしゃってるんじゃなくて?w
どうなんだろ
Let's Encrypt の話じゃないけど、apacheの設定もっと簡単に出来るようにならないかなぁ
SSLProtocol all -SSLv2 -SSLv3
まあ、暗号化スイート列挙したりすると、
うちはsslの設定部分だけをどこかに書いておいてconfからそれをincludeしてる
書くところミスったんかな?
俺のメアドもあったな
we'veじゃなくてw・・・
なかなかやばいな
今までlet's encryptからメール来たことないんだけど…
俺のもぎりぎり入ってるんだなあ
手違い自体はまずいだろうが……。
手違いじゃなくてバグだってさ
ここから漏れるとは想定してなかったわ。
>>491 期限過ぎても仕様書が上がってこなかったせいで、程なくして企画ごとなくなったからへーきへーき
>>463 うちはA+だなあ
HSTSを有効にしなければAが限界
>>496 httpとhttpsで違うものが表示されるようにしてたらHSTSで酷い目にあったことならある。
今では反省してる
期限切れ直前のドメインにアホみたいに長い時間指定したら嫌がらせできそうだな
別のサイトが使った時にhttpで繋いでくれなくなる
捨てるようなドメインにアクセスしてるヤツなんていない
アフィサイトとかが失効したドメイン買い漁ってるじゃん
>>503 そうそうそう言うこと
良さげなドメインゲット!→接続来ない(;´Д`)
ただ単にHSTS設定しても失効する前にアクセスしたブラウザにしか効果ない
preload は全てのサブドメインを HTTPS にするのが面倒くさいから放置してる俺。
HSTSにしちゃうと、部分的にHTTPなページ作れなくなるじゃん?
いつでもやめられるでしょ
スラドでも記事になった模様
【Let's Encrypt、ほかのユーザーのメールアドレスを記載したメールをユーザーに送信】
http://security.srad.jp/story/16/06/16/0626258/ まぁメールアドレスをミスで漏えいさせたぐらいでたたくまくるのもかわいそうな気がする
>>511 はスパム行為 (Let's Encryptに無関係なサイト)
クリックせずにスルーよろ
>>511 「東京ディズニーリゾートの音楽情報サイト|Tokyo Disney Resort PARK BGM Lists」
明らかに全く無関係
>>512 ただ単にクリックせず〜って言われると本当に関係ないのか逆に気になっちゃうじゃないかw
エックスサーバー、レンタルサーバー全プランで「Let's Encrypt」の無料SSL証明書が利用可能に
http://internet.watch.impress.co.jp/docs/news/1008164.html > 今回の機能追加により、利用者はサーバー設定画面の
> 「SSL設定」から手軽にLet's Encryptの証明書を申請し、
> 発行および設定までを完了させることができる。
レンタルサーバー会社で初めてってわけではないみたいだが、
SSL対応の流れは止められないだろうし、管理者権限のない
レンタルサーバーでも導入できる環境が増えていくかな。
Let's Encryptは互換性の観点からいうとダメ過ぎる
3DS相手にするコンテンツ載っけてるヤツなんてごくごくごく一部だけだろw
>>516 それがだな、ゲーム系扱ってるせいか3DSからも結構アクセスしてくる
Let's Encrypt導入して4日後New 3DSで閲覧したら「証明書が見つかりませんでした」とエラー
吐いたから調べたらそもそも対応してなかったと聞いて、SSL化は断念したわ
>>517 あれ?理解してもらえなかった
お前みたいなヤツは世の中的には極少数だ
だから、一般人は気にせず導入して良い
確かに RapidSSL の方が IdenTrust より対応環境多い気がする
あと、ゲーム系サイト運営なら
>>517 の判断は正解
3DSのゲーム攻略系サイトで、3DSのブラウザからアクセスできないとかは、ユーザビリティからして論外だろう
何よりもターゲットとなる環境でアクセスできる証明書を選ぶことが最重要
任天堂の糞ブラウザに合わせるしかない
ゲーム系サイト見ないから単に疑問なだけなんだけど、
スマフォとか持てなかったりする子供が、って前置きじゃないの?
全端末対応のサイトなんてのもないでしょう
>>525 ゲーム系で3DS切り捨ては有り得ない選択
(Google アナルティクスアクセス解析結果)
Chrome … 30%
Safari … 25%
IE … 10%
Android 標準ブラウザ … 8%
Nintendo 3DS Browser … 6%
Nintendo Browser … 6%
Firefox … 5%
Edge … 4%
Playstation Vita Browser … 2%
Safari (in-app) … 2%
任天堂系のブラウザが 1割以上を占めてるんだけど、これ切り捨てろと?
流石にそれは頭悪いと思う
アフィで儲かってるんだから、有料のちゃんとした証明書買え。
>>527 そうですね
対応状況調べたりとか悩んだりとか格安業者探すのに無駄な時間を使うのもバカバカしいので、
明確に3DS対応している ジオトラスト クイックSSL プレミアムを3年分買いました
78,200円しましたが1カ月あたりにするとせいぜい2000円程度、AdSense+アフィ収入は月70万ぐらいあるのでこれぐらい痛くも痒くもないです
技術系ブログはこう
買ったのはいいけど、メールで来た説明が専門用語書き並べてよくわからない
調べてみたらうちも今月は一件もないな
>>531 これはひどいw
こんなヤツがSSL買う時代なんだね・・・
てかこいつはなんでSSLを導入しようとしてんだ?
GoogleのSEO対策のためだけか?
>>532 サイトによってそこまでブラウザが違うのか!
> サポートに電話して聞かなきゃいけないほど無能だって自覚があるならそんなことやらなきゃいいのに・・・
そんなにいうほど無能?
そりゃ、お前らみたいなパソコンオタクには勝てないだろうけど、文系の中ではパソコンできる方だよ
これでも専用サーバへのapache+php+mySQL+ワードプレスの構築は、Mysqlのインストール時にエラー出て鯖屋に遠隔でやってもらったのを除けば自分でできたんだよ
ただviはコピペが難しくて行数調べて 5yy みたいにうってpで貼り付けなきゃいけないんだけど
そのとき上書きされたり1行ずれたりしてなかなかうまくいかないしし、中間証明書の階層がどうとかと言われてもどっちが上からわからない
ジオトラ○トは、証明書の統合が必要なら最初からくっつけたのを送ってくれればいいし、コマンド1つで導入できるアプリとかを用意してほしかった
>>533 うん
IT系コンサルやってる知人に聞いた話ではPCからの検索だと順位への影響は1%程度だけど
スマホからの検索だともっと影響するらしい(Googleは広告強制注入したりする悪質なフリーWi-Fiスポットだらけの海外が基準でSSL推進らしい)
SSLだとA8のアフィ貼れなくなるけど、収入の大半がAdSense,Amazonアフィ,月極広告だからデメリットは少ないと考えた
リピーターよりも検索経由のアクセスの方が圧倒的に広告クリック率も広告クリック単価も高いしね
まあ導入しようとする意欲があるのはいいことだ
>>534 viが難しいなら他のを使えばいいのですよ
Linux慣れてないならコンソール複数開いてnanoがいいんじゃないの?
うちはktai.example.comみたいなドメインにガラケー用ページを全部まとめて置いて3DSも(対応するとしたら)そこにおく方向で考えてる
>>538 ガラケーからのアクセスはどんなジャンルのサイトだろうと1%未満っしょ?
もう対応しなくていいと思う
あと3DSはどちらかと言えばスマホサイトに近いつくりで問題なく表示できるので
ガラケー向けよりスマホ向けコンテンツ(普通のレスポンシブデザイン)を配信するのが合理的
え、IdenTrust非対応のシステムなんて今どきあったのか…
>>540 実際、IdenTrustな環境なんてのは、3DS ・ Android 2 ・ Blackberry OS 10以下、ぐらいしか存在しない
XPのSP2以下で非対応なのはSHA-256非対応が原因だから別問題
https://community.letsencrypt.org/t/which-browsers-and-operating-systems-support-lets-encrypt/4394 Known not to work (based on
https://groups.google.com/a/letsencrypt.org/d/msg/client-dev/I-iFKihZ4Vo/kyw2EuaNlB0J1.4k )
Blackberry OS 10, 7, & 6
Android 2.3.5 (HTC Wildfire S, Stock Browser)
Nintendo 3DS
Windows XP-pre SP3 - cannot handle SHA256 signed certificates
非対応が抜けた
DSのときのWEP暗号強要に続いてSSLでも問題を起こす任天堂
ゴキブリが湧いてきたなww
PSは新しい機種のくせに古いプロトコルバージョンしか対応しない欠陥品じゃんw
>>520 DSiはWEPじゃねーよww
少しでも叩ける要素があるとゴキちゃん湧いてくるからなwwwwwwwww
>>544 実質的にWEP強制だよ
【DSiのWPA対応がまるで意味を成していない件】
http://blog.goo.ne.jp/impreza98/e/b17140b653c27ac61366a134ab6c9262 うごくメモとブラウザのみの目的でDSiをWi-Fiに接続する人がどんだけいんの?
ゲームをネット接続しようとするとエラーが出るのでWEPにせざるを得なかった
いや、これは重要な問題だよ
インターネットブラウザー 対応している認証局(CA)
https://www.nintendo.co.jp/3ds/hardware/internetbrowser/list_pem_3ds.html 任天堂はルートCAの一覧をWeb上で公開していることだけは評価できるな
しかしIdenTrustは北米ではシェア結構あるのに、どうしてるんだろうか
大人は3DSのブラウザに期待していないし子供は何が原因だか判別できないからクレーム少なくてスルーなのか?
Let's encryptを使ってAPIを公開した場合に、Javaからアクセスすると認証に失敗して接続できないというのも地味に不便
>>553 だから「地味に」不便
相手側にやらせなきゃいけないしね……
ちなみにLet's Encryptを否定したり責めたりしているわけじゃないからね(わかるだろうけど念のため
javaのcaに入ってないせいでLINEのapi鯖からletsencの鯖へのコールバックができなくて
ゲーム機なんて切りの一択でしょ
一般的には無視する一手だろう
サイトの内容によって客層・年齢層が違いアクセスの傾向なんて千差万別。
>>562 ゲーム系じゃなくてもIE6ユーザーより3DSからのアクセスの方が圧倒的に多いんだけどね……
UserAgentだけ見るとIE6のアクセス結構あるけど、実態は単なるボット(メールアドレス収集とか掲示板にスパム投稿するボットとか)であることが多い
その証拠に、Apacheの生ログでは結構あるIE6のアクセスが、JavaScriptによるアクセス解析だと皆無になる
実際に仮想マシンにIE6入れて使ってみればわかるけど、GoogleやYahooを含めて大半のサイトがまともに表示されないから使い続けている人なんて現実的に存在するわけがない
勿論、ツイッターやフェイスブックもまともに動作せず
YahooもGoogleもフェイスブックもツイッターも見れないブラウザじゃあ実用上意味使い物にならないでしょ?
上記のサイトは3DSなら見れるので、IE6対応よりも3DS対応が優先なのは明らか
ガラケー用サイトを作って古いIEやスマホ用に対応できないゲーム機などはそこに飛ばす
以前IE6のUAでtwitter開いたらモバイル向けに飛ばされてたな
参考までに15名限定セミナーらしいです
SSLサーバー証明書の重要性と適切な証明書の選び方について
http://pub.sakura.ad.jp/event/160708/ >>566 さくらのセミナーはお菓子のおみやげくれたりクラウドクーポンくれるからお得感あるよな?
「SSL初心者向けセミナー」
ってのは
>>531 よりも更にレベルの低い人がターゲットだからな
root権限があるサーバの管理はもちろん、レンタルサーバすら自分で使ったことのない経営・営業関係の人が対象
このスレにいるような人は、間違いなく行っても退屈するだけだからやめた方が良い
たぶん、「アドレスバー緑だと安心感がありますね〜 やっぱ EV がいいですよ〜」とか言われるだけだろうな
なんでDV証明書プレゼントじゃないの?w
いつの間にかnginxとStrongSwanがLet's Encryptになっとった。
証明書販売会社の電話サポートと
>>536 >>537 を参考に、なんとか自力で SSLの設定ができました!
導入までにかかった時間は、普段のサイト更新をやりながらの作業でしたが1日3時間×日曜日から木曜日までの5日間=15時間 + 電話かけて質問したりする時間 でした
>>536 >>537 さん、ありがとう
後で知ったのですが、認証局のサポートセンターではなく、専用サーバ業者の方に電話すれば、たいていのサーバ屋さんで1時間当たり1万円ぐらいでコンソール作業を代行してくれたようです
私の場合、自力で導入するのに15時間かかりましたが、プロなら1時間以内で通常インストールできるので1万円で証明書導入が可能だそうです
有効期限が3年の業者だったら、1万円払ってインストールしてもらえば3年使えるのでお得なので、最初から自力でやろうとせずにサーバ屋さんに依頼した方が手間がかからずよかったかもしれません
サーバ管理のプロではない一般人の場合、
・証明書は3年の業者から買う
・サーバ屋さんにコンソール代行でインストールしてもらう
というのが良さそうです
そもそもこういうレベルで設定されたサーバーが安心なのか?って意見は無いのか?
>>579 SSLの方がグーグルで上位表示されやすいんですよ
これはグーグルが公式で発表していることなので間違いありません
>>579 証明書がほしいのではなくhttpsやh2やりたい場合が多いでしょ
特にこんなサービスではね
きちんとした証明書がほしいならEV一択だわ
無料で証明書取れるのは良いけど、最低限勉強しとけ話しだな。
先月30日までにIPv6完全対応化するってアナウンスしてたのが8月31日まで延期に
その他、日本語ドメインのサポートは8月31日までが11月30日まで、ECDSA中韓証明書サポートも年度末まで延期
https://letsencrypt.org/upcoming-features/ サボってるんじゃね?
このままドロンとか
お前がそう思うならそうなんだろうな
Let's Encrypt Subscriber Agreement updateされるそうかんだが
Let’s EncryptのSSL証明書で、安全なウェブサイトを公開
http://knowledge.sakura.ad.jp/knowledge/5573/ Web鯖導入、ポート開放、証明書生成・参照、自動更新および
設定のバックアップまでの流れ。
エンジニア向けで10〜20分の作業を想定しているので難易度は
低くはないだろうが、うまくはまれば15時間+αの苦労を
せずに済むはず。
>>587 わざわざそんな手間暇かけて自分でやるとか、社会人からすると考えられん
そういう作業を自分でやるやつって、パソコン買うときも完成品買わずにBTOとか自作とかやるんだろうな
さくらなら、たった2万で「apache」や「Microsoft IIS」の
・SSL通信の利用に関するmod_sslのインストール
・CSR/秘密鍵の生成、
・証明書のインストール
を全部やってくれる
https://ssl.sakura.ad.jp/setup.html 勉強時間まで考えると外注に出した方が合理的だ
>>590 他にSSLのスレ無いんだしちょっとぐらいのすれ違いはやむを得ないんじゃね
この過疎板でSSL総合スレとか別スレ立てても殆どレスが付かず板汚しになるだけだしw
SSLやりたいけど、サーバーの知識ほとんど無いからなーって人結構ここにいるんだね
俺も大昔は自宅ローカルにapache+php+mysql環境作ってたけどここ数年はレンタルサーバOnlyでターミナルの叩き方とか忘れたw
アフィ野郎まだいるのかよ
>>591 >他にSSLのスレ無いんだしちょっとぐらいのすれ違いはやむを得ないんじゃね
自宅鯖板にあるからそっちでやれ
>>596 自作鯖板で専用サーバとかVPSにSSL入れる話とか、スレ違いではなくても板違いだろw
スレ違いも板違いも団栗の背比べだよ
アフォは専鯖借りてサポートに聞け
>>599 お前はツクモとかドスパラとかの社員か?
何百台作ったらそんな早くなるんだ?
自作PCとかスレチ
httpd()
1時間かかるとかいったい何をやってるんだ? 理解に苦しむ
きっとyumのアップデートで50分くらい掛かるんだろう
>>606 確かにうちの鯖はCentOS入れてyum updateしたら1時間じゃ足りない・・・
意外な盲点だった
更新スクリプトなんで標準環境で動かないようなpython使ってるんだろう
>>609 サードパーティ製のがいくらでもあるでしょ
yumで一時間て、お前らどんなサーバー使ってんの?自宅でダイヤルアップって時代じゃねーだろ
カーネルのカスタムまでやり始めるとビルドが1時間じゃ終わんねえな
>>613 メモリ256MBって……
今時スマホですら3GBが当たり前だぞ?
サーバならCPUはXeon、メモリは最低32GB(普通は64GB)積むのが常識だろ
極限までデータベースをチューニングするよりも、DBとクエリキャッシュを丸ごと物理メモリに入れる設計の方が
開発人件費も節約できて合理的だわ
>>614 常識ってなんだろうな
スレチだからさっさと帰れよ
>>614 > 今時スマホですら3GBが当たり前だぞ?
一部のハイエンド機以外は2GBが一般的だしローエンド機では1GBもちょくちょくある
> サーバならCPUはXeon、メモリは最低32GB(普通は64GB)積むのが常識だろ
let's encrypt使う層とそんな化け物マシン使う業務層とはあんまかぶらないと思う
個人層の多いさくらVPSやconohaの1GBプラン同等が普及帯だと思うんですが
ラズパイや古いPCで自宅鯖もあるでしょうに
(釣られた?)
まあラズパイでもアップデートに1時間もかからんしメモリー256MBはさすがに卒業しないときつそう
>>615 > 常識ってなんだろうな
俺は社内でSEとして自社サーバの管理やってるし、転職3回もしたから広く業界全体のことを知っている
換言すると業界の「常識」を知っているのよ
そのうえで、ここ最近でメモリ32GB未満のサーバなんて見たことも無いので、メモリ32GB以上が常識だと書いているわけ
1本 ->画像>7枚 ' border=no />
>>617 はいはいそうですか
誰が業界なんて言ったんですかね
>>616 > let's encrypt使う層とそんな化け物マシン使う業務層とはあんまかぶらないと思う
> 個人層の多いさくらVPSやconohaの1GBプラン同等が普及帯だと思うんですが
なるほど、個人で使っている人もいるのか
弊社の場合、本システムの開発段階や、バックエンド鯖に導入してシステムの通信に使う証明書として使ってたから
個人が使う用途というのは想定してなかったわスマン
逆にあのスペックを企業が使ってるわけ無いでしょ
>>617 自称業界人はすっこんでろって話です
今時物理サーバなんて流行らない
IIJですら専用サーバサービス終了するってよ
わざわざ2chまで来て自分自慢しちゃう時点で自称が天皇だろうとニートだろうと同じだわ
メモリ256MでLet'sのpythonクライアントが動かないと文句つけるとか、ただのクレーマーだろ
>>624 ん?俺は文句なんぞ言ってないぞ
こんな環境もあるって話をしただけでその話だした本人ではないし
勉強のために個人で使ってます
>>622 専鯖ユーザはラック借りるほどの規模じゃないんだからクラウドに巻き取るのもアリ
物理鯖が流行らないとまで言い切るのはおつむが足りない
>>627 一般人ごときが「アリ」だっておw
儲からない(流行らない)からサービス終了するんだよ
物理サーバはどんどん減ってる
現実を知らずに妄想も甚だしいわw
let's encryptでCSR使うのってどんな時が考えられるんだろうか。
物理鯖減ってるかなぁ。
うちも両方使うことの方が多いな
>>629 ?
秘密鍵は自分の側で作ってるだろ。CSRを送って署名されて返ってくる。
ぜんぶスクリプトがやってくれるが。
>>634 やっぱり今の所それぐらいですかね〜。
ありがとうございました。
少なくとも公式蔵じゃだめだったな
わかりきってたけど一応やってみた
ここは優しいスレであることを願って助けを求めに来ました。
質問スレを見つけることができず、ここへ投下させていただきました。ダメならすいません。
いくつかのデータセンターの専用サーバー(Debian/CentOS)には導入できたのですが、自宅サーバーで導入できず悩んでます。
他の質問サイトに投稿したのですが、回答がつかず、見かねた人が声をかけてくれたのですが現在お手上げ状態です。
ドメイン認証なので動的IPでも行けると思ってますが、固定IP必須ならその時点でアウトです。
●トラブル内容:自動でこけてるのでmanualでやっています。
# ./letsencrypt-auto certonly --manual --manual-public-ip-logging-ok -d #MyDomain# --server HTTPS://acme-v01.api.letsencrypt.org/directory
とりま、これで新規認証?を作りました。キーファイルを書き込めと出るので、ドキュメントルートに移動して
# printf "%s" sWwMGNwLSim# Keys here #TNWLCDSq67TvE > .well-known/acme-challenge/sWwMGN#Filename Here#Bi5yJhdTI
としました。その後、VPNで外部の環境からや、4G環境のスマートフォンなどから
#
http://#MyDomain#/.well-known/acme-challenge/sWwMGN#Filename Here#Bi5yJhdTI
letsencryptで指示されているここへアクセスし、問題なく
中身である「sWwMGNwLSim# Keys here #TNWLCDSq67TvE」が表示されていることを複数の環境で確認しました。
しかしエラーで接続ができないといわれてしまいました。
「Failed authorization procedure. #MyDomain# (http-01): urn:acme:error:connection :: The server could not connect to the client to verify the domain :: Could not connect to」
しかし、ルーターのファイヤーウォール記録にも、これへのリクエストと思われる記録はなく、(ファイヤーウォール切っても変わらず)
またサーバー側のアクセス記録、エラー記録にもこのファイルにも、アクセスしようとした記録がありませんでした。
このサーバーのIPは動的ですが記録上半年以上変わっていないので、DNSが反映されていないとも考えにくいなというところです。
何か思い当たる原因有りませんでしょうか。よろしくお願いします。
https://letsencrypt.org/getting-started/ 熟読しましょう
自宅鯖のOSくらい書きましょう
インストール
CentOSの場合
https://certbot.eff.org/#centosrhel7-other Debianの場合
https://certbot.eff.org/#debianjessie-other 証明書の取得
動いてるウェブサーバー止めて80と443が開いてることを確認したら
#certbot certonly --standalone -d example.com -d www.example.com
あとstackoverflowに書いてる数々のくだらない質問は無意味だしわけわからんのでさっさと消しときなさい
>>643 すいません、それで解決できればおそらく悩んでないです・・・ほんとすいません。
VPS(CentOS/Debian)や専用サーバー(WindowsServer/Debian/CentOS)で、同じドメインのサブドメインをいくつか登録していますが、そちらは何も問題なくLetsencryptのSSLを使えています。
なので違いは動的IPであり、ルーターを介している事、ぐらいかと思うのですが、ルーターにもサーバーにもアクセス記録は無く、
このドメインのDNS情報が正しく伝わっていないのではないか、と思うのが正直なところですが、他の監視サービスは問題なく監視されていて、それらのログは残っています。
OSはDebianです。
動的IPでも関係ない
>>646 ルーターの設定をもう一度再確認してみます。
元々はGeoTrustのSSL証明書でSSL(443)でも平文(80)でもアクセスできる環境でして、
特にトラブルなく動いているためポート開放等も問題ないはずなのですが。。
原因不明すぎて悩みます。とりまもう一度ルーターの設定見直します。
>>648 すいません、煽りたいのは分かりますが、真剣に謎で困ってます。
Type: connection
Detail: Could not connect to
http://mydomain.com/.well-known/acme-challenge/#KEY FILE#
と言われるが、外部接続テストサービスを使っても、私所有の他サーバーからcurlなどしても正常に開くことができるのです。
しかし、certbotは上記エラーを返すため、原因が分からない状況なのです。
例示にそんなドメインを使う時点でRFCも読んでない常識無しだってわかるし
そもそもなんでマニュアルでやらず自動でコケるところを直して自動でやったほうが
>>650 色々すいません、確かにそのドメインは相応しくなかったです
1本 ->画像>7枚 ' border=no /> (外部サーバーではOKの様子備考)
とりあえずあまり一人で占有するのもよくないので一旦引こうと思います。
似たような事があれば経験されている方の俺もあった談が出てきてもおかしくないのですが、
出てこないという事は私の環境の問題で、何が悪いか見つけられていないだけ、のようなので、私宛の書き込みがなければROMります。
私宛になにか書かれていればすいません、書き込みます。
解決した際にはその油脂だけ投下しにきます。色々と申し訳ないです。
>>651 何故だめなのかトレース踏まえ手動にしたところ今に至ります。
自動も手動でも同じエラーが出て「Detail: Could not connect to (URL)」となるので
そのURLに外部サービス含めていろんな手段でアクセスを試みますが、どれも200 OKなので詰んでる状況ですね。
スマホや外部からはサーバーにアクセスできてるのにLEからはアクセスできてない(LEからのアクセスはログにも残ってない)ってことか
この板で質問者を認識しやすくするために臨時トリつけようとかぐらい思わんのかね
誰が質問者かとか判別できるでしょそんなに問題がたくさん出てきてるわけじゃないんだし
動的IPってことだから同じダイナミックDNS使ってる人が証明書取りまくってて
中から外に送ってるIPアドレスがプライベートなんだろ
そこは中身化石だから気にしなくていい
そこは中身化石だから気にしなくていい
ssl化すると
>>665 ここのssl入れると何がいいのさ?
も少し教えてくれよ。
自分で調べて
EV-SSLって、実際どうなのかね。
>>660 シーマンのチェッカー、問題点が多すぎて迷惑なゴミチェッカーだから使わない方がいい
1つや2つじゃなくて、書ききれないぐらい問題があるゴミチェッカーで信頼性も低い
脆弱な暗号スイートの判定とかもおかしすぎる
悪いこと言わないから
https://www.ssllabs.com/ssltest/ 使え
あの会社のサービス自体IP返してくれるやつ以外まともに使えない
EV証明書が個人や個人事業主でも取れるようにしてくれ
それができないからこそEVSSLの価値が出る
エセ左翼の目的は、わざと突っ込みどころが多い主張をすることで自分たちへ注意を向けさせ、
取れるもんなら取ってみたくはあるが
個人でも政治に絡むもののみ(国会・市町村議会議員、政治団体など)でいいんじゃね?
>>676 EVの審査はマニュアル通りに行われるから、取れるんじゃない?
それにEV証明書の目的は実在の組織とWebサイトの運営者を明確に関連付けることだから問題無し
EVだとブラウザのアドレスバーに組織名・団体名が表示されるんだから
EV証明書は個人でも国会議員や候補者だけは認めてほしい
国会や地方議会議員とそれらの候補者ってのは重い責任負ってるんだから
Let's Encryptの証明書使ったサイトをHSTS preloadに登録しようとしたら、
https://hogehoge.com uses an incomplete or invalid certificate chain. Check out your site at
https://www.ssllabs.com/ssltest/ オレオレ証明書使うなww 嘘と思うならssltestしてこい
と怒られたんだけど(´・ω・`)
やっぱ互換性糞杉
>>683 https://hogehoge.com は不正な証明書を使ってるってどのブラウザでも表示されるぞ。
hogehoge.comってのは、ここに実ドメイン書きたくないから書いた例で、たまたまそのドメインがあっただけじゃね?
じゃけん例示はexample.comを使いましょうね〜
hogehoge.comを例だと思わない奴がここに居るのか?
誰もいないだろう
そういうこと言ってるやつは質問者で遊んでるだけ
>>687 は良う分からんが
例だと思わない奴は居ないだろうが、例に使っちゃう奴もそうそう居ない。
なんだ? hogehoge 憶えたての新人さんか?
>>685 は初心者だったのか。
そもそも
>>683 実際どうなのよ?
ちょっと検証していてつまずいてるのでご教示下さい。
Let's Encryptで格安系SSLがヤバイとか言うけど、無くならないだろ
格安系SSLでもよっぽどいい加減な業者じゃなければ会員登録時に個人情報を求められるし、
支払が必要≒支払者の銀行口座・クレジット番号で明細に残る
提出用CSRにもチェック入る業者もある。内容が少しでも違ってたら発行しませんとかよくある。
格安系SSLでも悪用するには大きなハードルがある。
Let's Encryptはどうか?
発行枚数実質無制限、仲介業者なし、個人情報の提供なし、CSR不要(ファイル認証かDNS認証のみ)、
そもそも無料なため本人確認のしようがない。etc...
+Torを使えば悪用し放題じゃね?
既に悪用されたケースがちらほらある。
http://security.srad.jp/story/16/01/10/1837213/ そのうち、Googlebotも証明書の種類で判定して、このサイトはそれ使ってるからダメだってなりそうな気もする。
>>697 その前にOpenSSLバージョンアップしろよ
>>698 > 格安系SSLでもよっぽどいい加減な業者じゃなければ会員登録時に個人情報を求められるし、
> 支払が必要≒支払者の銀行口座・クレジット番号で明細に残る
何言ってるんだか
その個人情報は全部出鱈目でも取得可能
「よっぽどいい加減な業者」がどこかは知らんけど、さくらのSSLのラピッドSSLすら実質匿名で取れるのを知らんのか
支払いも10万円以下なら、ATMから口座持ってなくても銀行振り込みできるし、振り込み名義は「ヤマダタロウ」とかいい加減に入力すれば弾かれない
何言ってんだお前
>>698 認識が間違ってるわ
ドメイン認証の証明書は有料だろうが本人確認がない時点でLet'sEncryptと同じだよ
ドメイン認証は間違いなく消えてなくなる方向だよ
だろうなぁ。
http://thehackernews.com/2016/01/free-ssl-certificate-malware.html For a long time, malware authors purchased stolen SSL certificates
from the underground market and deployed them in their malvertising campaigns.
Fortunately, these certificates are eventually caught up and invalidate
by their legitimate owners.
However, with the launch of Let's Encrypt free SSL certificates,
malware authors don't even have to pay for SSL certificates anymore,
and can request one for free instead.
従来、ウイルス作者は不正な方法でSSL証明書を購入し、トロイの木馬付き広告を配布したがいずれも所有者によって無効化されている。
しかし、Let's Encryptのサービス開始でウイルスの作者はSSL証明書に金払う必要なくなり、更に自由に発行できるようになった。
犯罪者御用達SSL証明書、Let's Encryptwwwww
こんな糞サービスやめた方がいい。絶対w
>>702 有料証明書だと金銭的にやり難いだろ?w
http://thehackernews.com/2016/01/free-ssl-certificate-malware.html For a long time, malware authors purchased stolen SSL certificates
from the underground market and deployed them in their malvertising campaigns.
Fortunately, these certificates are eventually caught up and invalidate
by their legitimate owners.
However, with the launch of Let's Encrypt free SSL certificates,
malware authors don't even have to pay for SSL certificates anymore,
and can request one for free instead.
従来、ウイルス作者は不正な方法でSSL証明書を購入し、トロイの木馬付き広告を配布したがいずれも所有者によって無効化されている。
しかし、Let's Encryptのサービス開始でウイルスの作者はSSL証明書に金払う必要なくなり、更に自由に発行できるようになった。
犯罪者御用達SSL証明書、Let's Encryptwwwww
こんな糞サービスやめた方がいい。絶対w
>>702 有料証明書だと金銭的にやり難いだろ?
よっぽど儲からなくて困ってるんだろうな。
広告とかで出てくるSSLでセキュリティ対策できますみたいなのってなんなんだろな
・シールなし(藁)
・日本語ドメイン非対応(藁)
・たったの90日(藁)
・不正証明書作り放題(糞藁)
・不正利用されても無効化不可能(禿藁)
・ルート証明書はI'den Trustという無名認証局(禿藁)
・大手認証局が参入しないのは100%不正利用されるから(禿藁)
・犯罪の温床(寺藁)
・犯罪者御用達証明書(与太藁)
>>707 無料だからじゃなくて犯罪に利用されても無効化できない、
脆弱性だらけ、数十秒で作成可能とか
もはや外部攻撃された認証局と同じwwww
>>710 犯罪に利用されても、と言われてもなぁ。
そもそも認証じゃなくて、その名の通り、Encryptがメインだから。
そういう意味では認証局ですら無いだろ。
大手認証局がこう言う事しないのは、文字通り認証局だからだろ。
そら推せば良いだけなのに。
だから売れる物も売ることが出来ねえんだよなぁ、ボンクラって。
臭い名前からして前も政治コピペ貼って荒らしてた奴と同じだろ
>>705-706 StartSSLでも同じようにできることなんだが、何言ってるんだこいつは
質問させてください。
取りあえずそのddnsやめてfreenom+cloudflareでラクチン管理&apiで自動化し放題にしようぜ
ドメインの例示に hogehoge 使う奴は総じて無能。
しかも
すみません、私の確認違いで別のスレにマルチしてしまっていました。
まず取得しようとした環境と操作内容は?
http://qiita.com/TsutomuNakamura/items/4166423699061e38d296 上記のサイトを参考に、順当に操作をつづけ
最後に
sudo certbot-auto certonly --webroot -w /var/www/html/owncloud -d hogehoge.mydsn.jp --email メールアドレス
のコマンドを打ちました。
環境としては、Windows2012R2のhyper-vで
・apacheでのリバースプロキシサーバー
・その配下に、apacheのwebサーバーを動かしています。
このwebサーバーをSSL化したいのです。
ちなみに、715さんがレスくれたように一旦、ルーターのポート80と443をwebサーバーに向けて、上記の操作を行ったのですが、
結果は同じでした。
またmydsn.jpってDDNSはあまりよろしくないんでしょうか?
何かご存じでしたら教えて頂けませんでしょうか。
>>freenom+cloudflareでラクチン管理&apiで自動化
ってちょっと調べてみたのですが、cloudflareがSSLを発行してくれると言うことはわかりましたがapiで管理と言う部分が
わかりません。
もう少し突っ込んでお話聞かせて頂ければ幸いです。
連レス失礼します。
その
http://hogehoge.mydsn.jp/ にアクセスして
/var/www/html/owncloud/ の index読みに行ってる?
ログに残ると思うけど
apiとかはやりたきゃってことよ
>>721 なあいい加減
mydsn.jp
に疑問を抱かないのか?
目見えてる?
そこはサンプルのためにあえて存在しない例でも書いてるのかと
新参&質問です
だからもう書いだだろそれ
>>724 みたいにすればいい
>>729 発行しない理由も明示され、あなたがそこに貼っているとおりなんだが…
DDNSで使えないのではない
1ドメインにつき発行する数に制限があり、mydns.jpはすでに上限に達しているということ
別途ドメインとって、それをDDNSで運用すればいいだけ
>>729 ベータの頃は、7日間に5回取得したらそれ以上取れなくなる制限あったけど
その上限未だあるんじゃないの
何回も取りなおしてない?
まあ数日経てばとれると思うよ
Issuer: CN=Let's Encrypt Authority X3 The certificate is not issued by a trusted authority.
>>734 クライアントからアクセス時にそのエラーが出るってこと?
それはサーバソフトでの中間証明書の設定ミス以外考えられない
Let's Encrypt Authority X3 は IdenTrust からチェーンされてるはずだから、
「IdenTrust が信用できない」というエラーが出るならともかく「Let's Encrypt Authority X3 が信用できない」
なんていうエラーは出ないはず
まともな環境なら普通に全部ストアに入ってるはずだがな
そうなのですか、おかしいな
>>737 chain.pem を読み込ませているなら問題ないっぽいね
中間証明書を読み込ませないと、クライアントによってはエラーが出たりでなかったり不安定になるが
>>739 Bになりました
特に致命的な問題はなさそうに見えますが
評価というより上の証明書あたりのところね
・Chrome49+chainあり:OK
Windowsの証明書ストア(+キャッシュ)の影響を受けてるだけじゃね?
openssl s_client -connect
更新のたびに、ファイルが作られていくけど古いのって自動的には消えないの
消されたら困るじゃんよ
SANに登録できるドメインの数の上限は何個だろう
なーんかまたスクリプトの更新頻度が上がってるな
検証され信頼できる運営者情報はありません
オレオレよりよっぽどマシ、スマホにCA証明書追加しなくても使えるからな
暗号化したいだけなんだよ
Letsencryptが普及しようが格安SSLはまだまだ需要はある。
法人がほしいのはサポートだからな
>>759 私の職場ではローカルアドレスのサーバーがあってこれのSSL証明書はブラウザで警告でなきゃ何でもとい。
Letsは公開サーバー建てないと取れないから1000円程度の格安使っているよ。
普通に適当なドメイン使って外部公開してる鯖でssl証明書手に入れてそいつをローカルの鯖にコピーしてきてhostsなり社内のDNSなりでドメインその鯖に向ければいいじゃん
完全なローカル環境でのサーバ運用ってアップデートとかしないの?
>>762 社内にミラー鯖立てててそっから更新するんじゃね
テスト環境だけと本番と同じようにSSLで通信させたいとか色々あるだろ
ミラー鯖あるならそこで証明書更新出来るんじゃねーの?
>>760 社内向けのドメインなら格安で取れば簡単か。
なるほど!
2016/10/31、
yahoo検索が常時SSL(常時HTTPS)となった模様
1本 ->画像>7枚 ' border=no />
ファイル認証でhttpの鯖とhttpsの鯖が異なるとき、htttpsにリダイレクトしても取りに来てくれたよ。
メジャースポンサー見てたら、英語圏以外では中華系しかない件
>>776 >>778 開発版インストールでできました。
ありがとう!
1本 ->画像>7枚 ' border=no />
今年の11月からNEVERまとめが常時SSL(常時https)化
https://matome.na-ver.jp/odai/2147927345093318201 「Neverまとめ」が常時SSL化(WebサイトのHTTPS化)に対応へ - NAVER まとめ
サイト全体がHTTPSに! 常時SSL化のメリットとデメリット | コラム | Web制作 株式会社ワンゴジュウゴ WAN55 (東京・千代田区)
https://www.wan55.co.jp/column/detail/id=390 http://hayabusa3.2ch.net/test/read.cgi/news/1434201149?v=pc Wikipedia「政府の検閲に対抗しデフォルトをHTTPSにする・・・特に中国、貴様だ」 [転載禁止]©2ch.net
1 : ネックハンギングツリー(家)@転載は禁止:2015/06/13(土) 22:12:29.34 ID:+n0FFgyp0 ?PLT(12345) ポイント特典
WikipediaなどWikimedia FoundationのサイトがデフォルトでHTTPSを採用…政府機関による検閲などを抑止へ
http://jp.techcrunch.com/2015/06/13/20150612the-wikimedia-foundation-turns-on-https-by-default-across-all-sites-including-wikipedia/ Wikipediaなどの重要なwikiプロジェクトをホストしているWikimedia Foundationが今朝(米国時間6/12)、
今後はすべてのサイトのトラフィックをHTTPSにより暗号化する、と発表した。同団体によると、
これにより各国の政府などがユーザトラフィックをモニタすることが困難になり、
またISPがWikipediaなどの記事を検閲することも難しくなる。
同団体は2013年に、サイトのアカウントを持つログインユーザのトラフィックに関してはHTTPSを実装したが、
そのとき、中国やイランなどトラフィックのHTTPS化が難しい国に関しては、
ログインユーザに対しても従来どおりのアクセスを認めた。
しかし今日のWikimedia Foundation(WF)の報告では、同団体はHTTP Strict Transport Security(HSTS)を
使用して、トラフィックをHTTPS破りから保護する、と言っている。
(略)
今日WFが発表した談話によると、"中国ではここ数週間、中国語WikipediaはHTTPとHTTPSの両方で、
多くのユーザにとってアクセス不能になっている。しかし、香港や台湾など一部の、
アクセスできているユーザにとっては、HTTPSがセキュリティの向上に資すると思われる。
また、中国でも英語版Wikipediaにはアクセスできるので、英語版の利用に関しては、
ユーザはHTTPSのセキュリティ効果に浴することができる"、ということだ。
(略)
パフォーマンスの低下
SolarisのOpenCSWで最新だとletsencrypt途中でコケてたのが治った、、よかった
個人:Let's Encrypt(0円)
個人+高い互換性:RapidSSLとコモド(1.5千円)かFujiSSL
法人・団体:RapidSSL・ジオトラストクイックSSLプレミアム・OV証明書全般
法人(金融取引・通販以外):EV証明書全般
法人(金融取引・通販等):シマンテックEV証明書
こんな感じかなぁ
クイックSSLベーシックなるものはRapidSSLは値段は5倍以上する上、機能面では全く同じでメリット皆無
https://www.ssl-store.jp/geotrust-quick-ssl-basic/ SSL証明書によって検索結果が優遇されることってあるなら話は別だけど
>>788-789 今に限っては古いブラウザから閲覧できなくなるのと、HTTP接続のは読み込めないくらいじゃね。
SHA-1しか対応しないかSSL3.0まで対応するブラウザは全滅(特に2kとかサポート切れのOSはほぼ全滅)
そのうちTLS1.0も使用禁止になって、ガラケー全滅するかもしれない
パフォーマンスの低下もAES-NIやECDSAのお陰で殆ど感じないし、HTTP/2を使えばむしろ速いほう。
昔ながらのアクセスランキングサイトにgetパラメータが渡らなくなっちゃったくらいやね
今はそんなの自前で解析するだろ
昔ながらのアクセスランキングサイトって、アクセス解析じゃなくてWebリングみたいなものの事じゃない?
明日切れちゃう&自動化してないので、手動で./certbot-auto renewしてみたんだけど
>>794 確かにHTTPS→HTTPではRefererが送られないけど、今時アクセスランキングのようなAPIがHTTPS非対応ってほとんどなくない?
だって、そのランキングシステムがHTTPSなサイトでまともに機能しないわけで、そんな状況放置するのは普通じゃない
一応、htmlに
<meta name=
ほんと2chって投稿が途中で切れたりバグがらけのゴミコードだな
コマンドインジェクション対策だったりするんじゃないの
逆の言い方するとさ、
ブログランキングで対応している所はにほんブログ村のみ
httpsサイトは検索エンジンからの流入キーワード全部取れるようにしてほすい…サーチコンソールだけじゃ分からん
>>801 たまたま検索結果画面のHTTPS化とタイミングが重なったから誤解している人多いけど、
Google検索のRefererがとれなくなったのは、Google側がプライバシーにかかわるキーワードをサイト側に送らないように対策したから
技術的には検索結果をクリックした際に、特殊なスクリプトを含むリダイレクタを経由するようにして、そのリダイレクタのURLしか取得できないように対策した
キーワードはGoogle Search Console からとるしかなく、数の極端に少ないキーワードや個人情報を含む恐れのあるキーワードは取得できないようになっている
Google検索結果のリンクから飛ぶときにHTTPSでないクッションを経由するのが嫌で、Don't track me Google入れてる。
https://github.com/analogic/lescript このスクリプト使ってるんだけどちゃんとtoken見に来てくれない
ブラウザでアクセスすれば普通に見えるがアクセスログに自分とGoogleのBot以外出ておらずアクセス制限なんかもしてない
何か原因思い当たるのありますか?
それと他にphpだけで認証できるようなのありませんか?
中間証明書入れないと、Androidブラウザだけ信用してくれないんだな
ディスコンのサポ切れブラウザで信用してくれないと申されましても
最近のAndroidのブラウザはChromeだぞ
この年末に証明書の更新をやって、中間証明書は有効期限内だから入れ替えなくていいかなって。
>>811 https://letsencrypt.jp/faq/#Browser の
> 過去に使用されていた中間証明書「Let's Encrypt Authority X1」と、予備の中間証明書「Let's Encrypt Authority X2」は Windows XP との互換性がありませんでした。
> 2016年03月25日以降は、Windows XP との互換性が高い中間証明書「Let's Encrypt Authority X3」、および予備の中間証明書「Let's Encrypt Authority X4」が使用されています。
あたりが影響してるんじゃない?
2016年3月25日に中間証明書が変わったらしいので、3月25日以降に取得した証明書は、それより古い中間証明書だとエラーになるかもしれん
中間証明書はブラウザによっては勝手にキャッシュする(証明書ストアに勝手に入る?)から、自分がエラーでなくても他の人がエラー出たりと検証が困難
なので、
https://www.ssllabs.com/ssltest/ でエラーが出ないか確認した方が良い
>>812 ありがとう。XP云々との関連は分かんないけど、時期的には同じ感じなので何か関係あるのかな。
検証するにも環境に限りがあるから、そういうサイトも活用する方がいいね。
自分はSymantec Encryptなんちゃらいう検証サイトで見てみたわ。
>>812 sslabs.comでエラー無いんだけど、スマホでクロムで警告画面でて使えねーという
ひとが複数出ちゃう。
さてどうしたものか
結構前からX3一緒に渡して運用してるけどそんなことになった試しは一度もないなぁ
日本国民のために命をかけて悪と戦っている警察の方に
警察では池田先生から仏法の教えを受けた警官が日々身命を惜しまず働いている。
>>816-818 内容はともかく、ここは Let's Encrypt のスレなんで、無関係な政治や宗教の主張はやめてくれないかな?
他にSSL/TLSのスレはないんで、他の認証局の話題ぐらいならいいけど、流石に政治はスレチすぎる
表現の自由が保証されているとか思ってるかもしれないけど、無関係なスレッドでの主張は反感を買って逆効果になるだけだよ
IPアドレスとか関係なしの個人特定から仏罰とやらの執行、
昔からニュー速とかから定期的にタチ悪いコピペ貼られてたじゃん
板とか関係なく電波入ってるコピペは貼られるだろ
今、話題のグルメンピックの騒動でそのHP見てみたらLet's Encrypt使っててワロタ
Let's Encrypt使ってる商用サイトは詐欺と思えでおk?
https://www.gourmetmpic.com 昔からドメインとか証明書に関してはいろいろ言われてるけどね
>>826 全然おkじゃねーよ
もっと勉強してこい
>>826 むしろDV証明に何万も出しているサイトの方が情弱で怪しいのでないか
>>826 そういうところを見て「怪しいな」って思う人はそもそも相手にしてないから大丈夫
Let's Encrypt はSSL/TLSの証明書であって運営内容とは関係なよな
あるよ?
>>834 その認識が正しくないから袋叩きにあっているんだと自覚しようか
http://echo.2ch.net//test/read.cgi/esite/1485225798/?v=pc http://echo.2ch.net//test/read.cgi/esite/1485225798/3-n?v=pc 【アットウィキ/atwiki】@wikiについて語る Part 17 [無断転載禁止]©2ch.net
3 : 名無しさん@お腹いっぱい。2017/01/25(水) 02:08:31.60
https://atwiki.jp/news/116 いつも@WIKIをご利用いただき誠にありがとうございます。
@WIKIサポートです。
以前より、https対応につきましては、お知らせさせていただいてますが、
@WIKIはhttps化を完了し、現在、http/httpsいずれも接続が可能になっております。
この度、さらなるセキュリティ強化対策として、
2017年1月30日午前10時を持ちまして
常時SSL化 (httpsのみによる接続) を適用させていただきます。
〜〜〜〜〜〜〜〜〜〜中略〜〜〜〜〜〜〜〜〜〜
なお、本件実施に伴い、現行のhttpsに非対応である一部の古いバージョンのブラウザやサポート終了のOS、
フィーチャーフォン(いわゆるガラケー)等につきましては、ご利用いただくことができなくなります。
大変恐縮ではございますが、現行のスマートフォン・OS・ブラウザ等をご利用いただくようお願い致します。
>>834 信用のためならDVじゃなくEVにしとけよ
http://ameblo.jp/staff/entry-12247397187.html アメーバブログの常時SSL化に伴う仕様変更について ...
ameblo.jp › staff › entry-12247397187
14 時間前 - 常時SSL化以降、ご利用可能なプラグインについて ... のハッシュタグ入力とテーマ設定の変更について · 【おしらせ】PCの最新版エディタにて一部改善のお知らせ · 【おしらせ】絵文字を追加いたしました。
let's encrypt 使い始めました。
webroot で、証明書ゲットして、apache, postfix, dovecot にインストール。うまく動いている模様。
あとは自動更新なんだけど、cron に
certbot renew --quiet --post-hook "service apache24 reload ; service postfix reload ; service dovecot reload"
で、いいのかな?
いちおう、--dry-run と --force-renewal でテストしたらうまくいっているみたいですが、
よく分かんないのが証明書の取得回数制限。
https://letsencrypt.org/docs/rate-limits/ 1.1週間に20ドメインまで
2.1週間にサブドメインは100まで
3.同じドメインの更新は1週間に5回まで
4.あと、ひとつのIP からは証明書500枚まで。
5.保留中(これよく分からない)のは300枚まで
6.制限がかかった時は、1週間たつと解除される。
私は4つのドメインをSANを使ってひとつの証明書にまとめてます。
私の理解では例えば毎週日曜日に --force-renewal 使って更新しても制限にひっかからないと
思うんですが合ってますか?(勿論、決してお薦めでは無いだろうけど)
教えて下さい、エロい人
毎週強制更新する必要はどこにもないのだから根本から考え直せ
--force-renewal って通常更新に使っちゃいけないのかなぁ?
certbot になる以前は自前でスクリプト書いて、証明書の有効期限一ヶ月前にならないと
>>845 renewならローカルに保存されている証明書の有効期限が30日を切っていない限り
サーバには一切アクセスしないのです。
30日前って、更新しろメールが来るタイミングではないの?
renewじゃなく強制更新してる人は一体なにが目的なの?
すみません
取得可能だけどなんでそんなことする必要あるの。
1つの証明書に複数ドメインが入ってるか、その複数の中でも先頭のドメインじゃない場合に自己署名証明書扱いされることがあるからじゃね?
おいらの renew の cron 遍歴。certbot を使い、webroot で認証してる。
cronでスクリプトを毎日動かすようにしてスクリプト側でどっかのファイルに書くなりして日付数えればいいじゃん
てか更新切れの案内メール届くか不安なんだけど
自宅で運用してるとcronで回す場合に色んな原因で失敗が有り得るのが怖いから
強制更新ばかりするスパマーの証明書は無効化するようにしないといけないな
楽しそうだなみんな
その程度なら無料のでいいだろ
なんでサーバーにわざわざ負荷を掛けるのかわからないな。
無料だから何してもいい、という考えじゃないかな?
cronなどでcertbot実行時に--force-renewalつけてる迷惑な方々
cron で certbot renew を毎日動かしてるんだけど、
つまりお前さんが喋り続けるとログが増えないとか
linuxでもBSDでもログをローテーションする機能あるだろう
>>871 certbot使ってない?
certbotがでローテーションはやるが古い世代の削除をやらないだけ。
>>872 そうなんですよね。みなさん、ログのお掃除してます?
1日1回ぐらいしか書き出されないログを掃除する必要なんて全くないんだが……
必要ないログ貯めてどうするw
>>875 なんか「必要のないメール貯めてどうする。要らないメールは見たら消せば良い」と言ってる老害みたいだな
俺のGmailアカウントは1度もメール消したことないし、今チェックしたら34万通貯まってたが、これから一生メールを削除することはないだろう
過去のメールやログは、何かに役立つときが来るかもしれないから念のため取っておくというのが今主流の考え方だと思う
ローテートで保持数指定出来るんだから、必要な分以外は無いのが普通だろ
実際のとこ気にする必要があるかって言われたら無いよね
>>877 ログを安易に消しちゃう方がサーバ管理者に向いてないよ
例えば、正常に動いているように見えて実は不具合が発生していたことに気が付いた場合(ログにもエラーが記録されていない)ようなとき、
過去にも同様の問題が発生していたのかどうかの情報が役に経つこともある
ログ全検索で、5年ぐらい前にも同じエラーが発生していたことが分かり、そっちのログがヒントになって問題が解決したこともある
「ログにもエラーが記録されていない」というのはエラーログだけ随時チェックしていても気が付かないけど
certbotが吐くログに1年前がどうとかってアホかと
Let's Encryptで数年前のログが必要になると?
>>882 > 証明書の期間が3ヶ月なんだからそれ以上は残しても無駄
いや、証明書の期間過ぎてもログは使い道あるだろ
例えば、Certbotって仕様が色々複雑でSANのエリア拡張がどれにかかるのかとか
サブドメイン列挙したときにどれがメインのドメイン名でどれがSAN扱いなのかとか
色々よくわからない点あるじゃん
過去のログとっとくと、昔ああいうコマンド打った時こういう証明書が発行されたな、とか色々わかって便利
「無駄」がどうのと言い出すのなら、1日数十キロバイト程度のログをどうするのかをいちいち考える時間が一番無駄
気にせず放置してログはそのまま保存しとけばいいだけ
ログが万が一漏えいしたときのリスクとか的外れなことは言い出すなよw
root権限でしかアクセスできないログが漏えいする時には、もっと重要な秘密鍵もとっくに漏えいしてるわw
どうでもいいけどrootでしか弄れないログをどうこうするスクリプト書くのはコマンドミスったとき致命傷になるぞ
>過去のログとっとくと、昔ああいうコマンド打った時こういう証明書が発行されたな、とか色々わかって便利
過去のログなんて見る事自体ないつーの
証明書の更新に失敗してたとして、当日分はわかるが過去ログまで見るか?
わけあってIPアドレス表記の証明書が欲しい…
有料のところでコモンネームがグローバルIPのSSL証明書とればいいんじゃね。
必要なら自分でフォークして作ればいいじゃないよ
python2.4とか骨董品OS使用で踏み台メーカーにしか見えない
しょうがねーなー
>>896 今月でサポート終了だよね>CentOS5
>>899 踏み台にされたときの言い訳も用意した方が良いよ
俺のせいじゃないって
kernelは2.6でかなり完成されてて、
FTPサーバーに入れたんだけど
そもそもなぜSFTPではなくFTPSに行こうとするのかが目が見えてるのかなと思わされるくらい
>>907 じゃ sftp でも良いからあらかじめ証明書をダウンロードなどしないで本当に相手なのか確認できる方法があるの。
・SFTP じゃなくて FTPS (File Transfer Protocol over SSL/TLS) を使ってる?
>>909 それを言ったらhttpsでもIPでアドレスでつなげばオレオレで良いって話じゃないか。
安全性の話ならipアドレスが信用できないなら証明書があろうとあまり意味ないし
そもそもSSLってのはパケットやURIの暗号化もあるけど、DNSやドメインが乗っ取られたとしても検知して証明書に記載された正しいIPホストへの接続を保障するものであってIPアドレスそのものに付けても意味ないだろ
DNS乗っ取り前提だとLet's Encryptの証明性はゴミ以下だぞ
>>915 その通りだな
証明書を新規取得時に、下記の3つを全て確認してくるEV証明書こそまともな証明書だよ
・登記全部事項証明書(登記簿謄本)の原本の確認
・帝国データバンクの情報の確認
・タウンページ記載の電話番号への架電
Let's Encrypt をはじめとした各種DV証明書はほんとゴミ
認証作業が機械化されている DV証明書で金をとる糞業者は滅びるべき
DVは「平文」で通信されるDNSとか、「平文」のHTTPに認証用ファイルを乗せるとかを担保にしているので、
信頼性が全くない
>>916 ゴミというかそれらを省いてるからでしょ。
どれを使うかはホストした人が選べばいいだけ。
Symantec発行のSSL/TLS証明書、Google Chromeで段階的な期限短縮案
http://internet.watch.impress.co.jp/docs/news/1051510.html https://security.srad.jp/story/17/03/26/064241/ 「Chrome 64で279日以内の証明書しか受け入れないようにするとの提案を行った」模様
GeoTrust、Thawte、Verisign、Equifax も Symantec
使っている人が多い RapidSSL も GeoTrust なので、Symantec発行の証明書扱い
Google Chrome だと、大手認証局の証明書の有効期間も約9か月までに制限されそうなので、
自動更新が容易な Let's Encrypt の方が有利になるな
有償の証明書よりも利便性が高まるという皮肉な事態
Let'sEncryptはある意味Googleの身内みたいなもんだし
自宅鯖にこれ入れて泥タブで見ると「証明書が見つかりません」とか出てだめなんだけど、
「キャンセル」押してしばらく放っておいたら見れるようになった。
ダメなのはその端末で最初に表示するときだから、キャッシュはないはずなんだよね
真面目に解決する気があるならそれなりの書き込みをしろよ
単にサーバー証明書と秘密鍵だけ指定して、中間証明書(chain)指定し忘れてるとかいうオチかと。
921はIISなのですが、証明書の発行とインストール(letsencrypt-win-simple.V1.9.3で自動)
毎日 cron で動いている certbot が下記のエラー。
ワイルドカードの証明書が発行できるようになるっぽい
まじか
でもどうやって申請者の正当性を確かめるんだろう
hoge.tdlが承認できれば*.hoge.tdlもおkじゃ無いのか?
*.example.comが登録できるだけで
>>941 少なくともSSLのワイルドカードの扱いはそういうものです。
有料でやってる所はDVがなくなってOV、EVになるだろうな
>>942 なるほど、じゃあワイルドカードキターって人はそこまで多くなさそう
このRFCだった。
https://tools.ietf.org/html/rfc6125#page-27 6.4.3. Checking of Wildcard Certificates
>>944 え??本当に理解してるか?
サブドメインごとに登録が必要なのがドメインにつき一つでいいんだぞ?
>>946 自分でドメインとってる人は嬉しいだろうけどね
別にddnsのサブドメインでいいやって人には恩恵なさそうな流れだったからね
馬鹿にわざわざ説明してまで使っていただく必要はございませぬ
>>947 > 別にddnsのサブドメインでいいや
ああそんな人がいることを考えてなかった
証明書の有効期限が物凄く短くて
インターネットの権利を守る非営利では一番歴史と実績の多い電子フロンティア財団を信用するか否かってところやな
CSRを送信したら1年か2年分のCRTが戻ってくる
セキュリティリスクは放置されているか否かが割と重要
でもcertbot入れたらcron回してるだけで放置しても更新されるんだよな
固定IPアドレス割り当てのプロバイダのドメイン名の証明書も取得してたのだがエラーで更新できなくなった。
>>959 悪意あるサイトだと判明したらcert revoke できるから
>>961 過疎ってるからまだ大丈夫
来週初めての更新だ
期限前に更新バッチ叩いてもなにも起こらないのツラい。
何も起こらない……?
>> 965
Windowsのバッチ、renewalで動かなくない?
動かないね。 まあメールが来たらこれ打てばいいだけだから、困ってはいないけど。
>>968 それだとIIS側の証明書参照先が更新されないので、手動で切り替えが必要だった
Chromeの仕様変更を期にRapidから乗り換えようと思ったのに…
SSL化したら画像の読み込みが遅くなりました
遅くなったと言うのは具体的にはどの程度
>>972 レスありがとうございます
画像20枚程度1.3MBのページでテスト
httpだと1.5秒、httpsだと3〜4秒くらいの読み込み
夜の回線が混雑する時間帯以外は両方とも1.5秒程度です
chromeのツールだと画像のcontent downloadというところが速度低下の原因のようです
>>972 すいません訂正です
混雑する時間帯は
httpだと2秒、httpsだと3〜4秒くらいの読み込みでした
httpでも多少遅くなりますが、httpsの方が回線の影響を受けやすいようです
申し訳ないです
それは回線というより鯖に詰め込みすぎでCPU負荷かかってるんじゃないの?
>>975 ありがとうございます
サーバーはそれなりのスペックなんで大丈夫だと思います(たぶん)
色々調べたところHTTP/2が原因のようでした
非対応のブラウザだとSSLでも速度低下はみられませんでした
作りが酷いウェブアプリ(結果の返答に長時間かかる処理を非同期ではなく同期でロードさせるとか)
>>977 来年 1 月から Let's Encrypt もワイルドカードの証明書発行するっしょ
ssl通信初心者です
>>979 CA証明書がクライアントPCの信頼されたルート証明機関にあれば、そのCAが発行した証明書で警告が出ない
これが基本
自己署名なら自分のCA証明書をクライアントに入れればいい
Let's Encryptはdomain validationだから閉じたネットワークに使うものではない
したがってスレチ
>>979 IISの鯖に証明機関サービス入れてIISのサーバで署名して
そこのCA証明書を信頼させればいいし
台数多くてActiveDirectry入れてるならポリシーに信頼する項目入れりゃいい
Let's Encrypt利用するなら一時的にでも外向きにドメインとサーバ設定して
証明書貰うのが楽だけど90日ごとにそれやらんとならんよ
IPv4でLet's Encryptの証明書をとって、東西NTTのNGNのIPv6網上で使うことは可能だった。
プライベートIPを指すホスト名用に Let's Encrypt って取得時毎に IP をグローバルにするか
>>983 1. 一時的に外から鯖がドメインでつながるようにして鯖証明書を取得し、取得完了後は切り離す(LE)
2. 俺俺CAを蔵の信頼リストに入れる
どっちか選べって話だろ
んなことしなくてもそのドメインインターネットに繋がってる別の鯖に向けといて証明書取ってそれをコピーしてくるだけでいいじゃん
そんなトリッキーな使い方するなら素直に金払った方がいいと思うよ
オレオレをインストールしまくるより、鯖の証明書移動するほうが楽な気がする。
鯖の証明書ってオレオレのこといってんだとおもってたけど違うのか?
外に繋がってないローカルpcにSSL通信させたいけどこれって無理?第三機関に繋がらないよね?
>>989 密室の中の人がどうやって外の人と手をつなぐかだな
コナン君に聞いてくれ
閉じたローカルネット上のPCとサーバとの間の経路に通信内容を盗聴しようとする何かがいたりするのか?
>>989 外の定義が微妙だけど、俺俺じゃだめなのか?
>>1 長すぎる気がするんだが次スレ立てるとき適当に削っていいよな?
このスレッドは1000を超えました。
5ちゃんねるの運営はプレミアム会員の皆さまに支えられています。
運営にご協力お願いいたします。
───────────────────
《プレミアム会員の主な特典》
★ 5ちゃんねる専用ブラウザからの広告除去
★ 5ちゃんねるの過去ログを取得
★ 書き込み規制の緩和
───────────────────
会員登録には個人情報は一切必要ありません。
月300円から匿名でご購入いただけます。
▼ プレミアム会員登録はこちら ▼
https://premium.5ch.net/ ▼ 浪人ログインはこちら ▼
https://login.5ch.net/login.php
このスレへの固定リンク: http://5chb.net/r/hosting/1448874075/ ヒント: http ://xxxx.5chb .net/xxxx のようにb を入れるだけでここでスレ保存、閲覧できます。TOPへ TOPへ
全掲示板一覧 この掲示板へ 人気スレ |
>50
>100
>200
>300
>500
>1000枚
新着画像 ↓「【全ブラウザ対応】 無料SSL/TLS Let's Encrypt [転載禁止]©2ch.net YouTube動画>1本 ->画像>7枚 」 を見た人も見ています:・【Amazon】4・9村田諒太VSゴロフキン『Prime Video』独占配信 会員は追加料金無しで視聴可能 [鉄チーズ烏★] 【無料&無制限】LiveDrive【Not Windows Live】 無料のSheldon Axler著『Measure, Integration & Real Analysis』を読もう.ルベーグ積分. Twitter画像無断転載で「VIPPER速報」「ガールズVIPまとめ」等が敗訴、まとめブログ13サイトが使用料を支払う 嫌儲も他人事では無い! Epic Gamesで大人気ハクスラゲーム「Torchlight2」が無料配布!!! 元日本代表の吉田麻也、山根視来他出場のMLSカップ決勝(年間王者決定戦)がAppleTVで無料生配信! 【IT/国際】イーロン・マスク、ウクライナの激戦地でネットを遮断して年580億円を要求 無料で広めて遮断&請求の鬼畜コンボ [あずささん★] 無料歌詞探査機 Encke Pathfinder【cassini後継】 SOA】スターオーシャン:アナムネシス Part3216【糞運営】【社員スレ監視】【膜セコンプラ違反スクエニ広報岡山真也「下請けは犬」】【限定闇鍋天井無し課金者大討伐】【ガチャ無料詐求z 【SOA】スターオーシャン:アナムネシス Part3216【糞運営】【社員スレ監視】【暴言コンプラ違反スクエニ広報岡山真也「下請けは犬」】【限定闇鍋天井無し課金者大討伐】【ガチャ無料詐欺】 無料広告無しPHP可★企業のHostingerホスティンガー 【ETC】Ethereum Classic【高速料金のスレじゃないよ】 [無断転載禁止] 【MVNO】 0SIM by So-net【月499MBまで無料】 Part5 【通信】25歳以下は吉野家2杯無料 ソフトバンク2月のSUPER FRIDAY 【MVNO】 0SIM by So-net【月499MBまで無料】Part26 [無断転載禁止] 【忍者なら無料】vipでwarframe【tps-mo-coop】 【乞食速報】Epic GamesでHITMAN無料配布中!!! 【無課金】FINAL FANTASY Record Keeper Lv2515【FFRK】 【無課金】FINAL FANTASY Record keeper Lv1773【FFRK】 【無課金】FINAL FANTASY Record Keeper FFRK Lv1377 【無課金】FINAL FANTASY Record Keeper Lv1569【FFRK】 【無課金】FINAL FANTASY Record Keeper Lv2858【FFRK】【ギガ泥棒糞運営】 【無課金】FINAL FANTASY Record Keeper Lv2980【FFRK】 【無課金】FINAL FANTASY Record Keeper FFRK Lv 169【招待禁止】 【無課金】FINAL FANTASY Record keeper Lv1765【FFRK】 【無課金】FINAL FANTASY Record Keeper Lv2192【FFRK】 PES CLUB MANAGER part85【ウイクラ】 [無断転載禁止] 【無課金】FINAL FANTASY Record Keeper FFRK Lv1332 【無課金】FINAL FANTASY Record Keeper FFRK Lv1213 【HMD】Oculus Quest Part.29【VRStandalone】IP無 LAA】Los Angeles Angels part146【ワッチョイ無】 Warsow Part15 【無料スポーツ系FPS】 【自動歌詞検索】無料歌詞探索衛星 Cassini Part3 【BS1・mlb.tv無料】SEA@LAA【菊池vs大谷】★3 Windows10 Pro/Homeの自動更新の停止ソフトを無料配布開始 【嫌儲Steam部】 Aegis Defendersが無料 【乞食速報】 【無料も】BS放送アニメ総合 Part12【有料も】 【WTF】World Tour Fishing 基本無料釣りゲーム Switch版『paladins』が本日無料配信開始 【PSN】PS+無料ちょうだいPart2 【誰か】 [無断転載禁止] 無料オンラインFPS『サドンアタック』サービス終了 10年の歴史に幕 【乞食速報】人生シミュレーションゲーム『The Sims 4』が無料配布中 【情報共有】Steamのゲーム【無料限定】 [無断転載禁止] 【芸術】ゴッホ美術館、「ノウハウ」を有料で提供 [無断転載禁止] 【無料】Ring of Elysium【バトロワ】 5機目 【 無料で貰える】Swiftdemandを普及させるスレ 02 【アニメ】「鬼滅の刃」第1話がYouTubeで無料公開 【朗報】Ubisoft「『ウォッチドッグス2』を全世界で無料配布! ※ 【就活】UtsuさんチャンネルPart8【有料YouTuber】 「食卓塩」24年ぶり値上げ 原材料高で約35% [無断転載禁止] 【UOエミュ】UO Renaissance【無料】 ShrinkTo5 @ 無料で片面2層→1枚に 【完全無料】オンラインプリント Priea(プリア) 【無料DB】OpenOffice2.0?Base【Accessイラネ】 【Mac・iOS】まだGarageBandで頑張るスレ【無料】 【料理】Instagram生活系総合スレ★28【丁寧な生活】 [無断転載禁止] 【無料】lunachat ルナチャット【ビデチャ】 Switchのドラクエライバルズ、基本無料なのに全く話題にならない 【Gunners】 Arsenal F.C.【part1965】 【SOA】スターオーシャン:アナムネシス Part568 c2ch.net 【PC】Tom Clancy's The Division 総合 Part121 【不正広告】無料ホスティング JOKER-MX【学校鯖?】 No.A082 出会い系【お宝動画保管庫/無料deゴーゴー】広告対策 【無料BSチャンネル】 「Dlife」が2020年3月で放送終了 8年の歴史に幕 【経済】電気・ガス料金、全社が2月値下げ [無断転載禁止] AbemaTV、無料で全然見れなくなる もはやオワコンゴミ [無断転載禁止]
00:31:56 up 38 days, 1:35, 0 users, load average: 35.35, 39.56, 49.69
in 0.080379962921143 sec
@0.080379962921143@0b7 on 022014
1本 ->画像>7枚 ' border=no /> 
1本 ->画像>7枚 ' border=no /> 
1本 ->画像>7枚 ' border=no /> 
1本 ->画像>7枚 ' border=no /> (外部サーバーではOKの様子備考) 
1本 ->画像>7枚 ' border=no /> 
1本 ->画像>7枚 ' border=no /> 
