Let's Encryptでワイルドカード証明書を取得する
こんにちは。Kobayashiです。 Let’s Encryptでワイルドカード証明書が取得できるようになったと聞いたので試してみました。 今回は以下2つのドメイン名で同じサーバーにアクセスし、ワイルドカード証明書が使用できることを確かめてみようと思います。 サーバー環境 CentOS 7.6.1810 事前に必要な作業(DNS Aレコード設定) site1.ssilab.net site2.ssilab.net [DNS Aレコード設定] site1 IN A 111.111.111.111 site2 IN A 111.111.111.111 certbotをインストール [root@localhost ~]# yum -y install epel-release [root@localhost ~]# yum -y install certbot
無料の SSL 証明書が得られる ZeroSSL を使ってみた
はじめに 皆さんは ZeroSSL を知っていますか?個人でウェブサイトを運営している皆さんであれば、多くの方は Let's Encrypt を利用されていると思います。 https://letsencrypt.org/ja/ もちろん僕も使っています。僕の様なエンジニアの方であれば SSL の仕組みもおおよそ理解もしているし、コマンドラインの実行方法も知っておられるのでウェブサイトの SSL 証明書を取得する事もそれほど難しい事ではないでしょう。 しかしそれほど詳しくない方が certbot の様なコマンドを使って SSL 証明書を発行するのは割と難しい事です。そこでご紹介したいのが ZeroSSL です。 https://zerossl.com/ ZeroSSL とは ZeroSSL もまだあまり名前が知られていないせいか、Google 検索で「ZeroSSL」を検索すると「ZeroS
servertestでA+を獲得するSSLの設定
Blogを開設して早いもので半年が経過しました。当サイトは開設時より全面SSL化をしてきました。開設当初は環境設定も試行錯誤の連続でしたが最近は大分落ち着いてきました。そこで外部のSSL評価を受けてみようと思いたち早速テストを受けたところ評価結果はなんとFでした(ショック!)これはいかんとネットで先人の情報を収集し設定を変更したところなんとかA+を獲得することができました。その顛末と情報収集の際に新たに知り得たnginxのSSL推奨設定を共有します。前提の環境はCentos7.2上のnginx。SSLサーバ証明書はlet’encryptから取得しています。尚、上記前提条件が不明の場合には、当サイト内のnginx導入記事、let’encrypt導入記事を参照ください。 1.初回評価結果とSSL設定 (1)初回評価結果 以下はservertest1回目の評価結果です。…..Fです。 結果を良く
ユーザーガイド - Let's Encrypt 総合ポータル
「Let's Encrypt ユーザーガイド」は、User Guide — Certbot 0.10.0.dev0 documentation の全文を和訳(意訳)した上で、補足説明などを加えたものです。 詳しくは 翻訳記事の出典と留意事項 をご覧ください。 クライアントソフトウェアの名称変更について 「Let's Encrypt クライアント」の名称は、「Certbot クライアント」に変更されました。 それに伴って、letsencrypt-auto が certbot-auto になるなど、ファイル名・ディレクトリ名・コマンド名・URLなども変更されました。 このページの更新履歴 2016年05月07日 letsencrypt-auto を更新して訳注を追加しました(現在は certbot-auto)。 Webroot プラグイン と Standalone プラグイン に詳しい解説を追
Geolocation API removed from unsecured origins in Chrome 50 | Web Updates - Google Developers
Chrome has public intent to deprecate powerful features like geolocation on non-secure origins, and we hope that others will follow. Starting with Chrome 50, Chrome no longer supports obtaining the user's location using the HTML5 Geolocation API from pages delivered by non-secure connections. This means that the page that's making the Geolocation API call must be served from a secure context such
Rapid SSL導入記録
Geo Trust社のRapid SSLを850円という格安で導入した全記録。 SSLは、年額850円で十分だと思う。新サイト "フォトクリッパー" のオープンにあたり、SSLサーバー証明書の導入について調べました。 ”Rapid SSL” は、ベリサイン社に次ぐ大手、米国GeoTrust(ジオトラスト)社の1事業部のサービス。 ほぼ全てのPCブラウザに対応し、95%以上の携帯端末に対応しているということです。SSL , 格安 で探すとすぐに出てきますが大丈夫なのかな? ・・・ やってみたら、すんなり導入できて問題なく稼動中 ・・・ という記録です。 携帯カバー率を99.9%にしようとすれば、ベリサイン社のグローバル・サーバIDを使うしかありませんが、面倒な在籍証明が必要で、さらに年額は¥144,900 !! SSLの携帯カバー率が低いといっても、6年前の古い携帯で使えないだけら
SSHとHTTPSでアクセスできるGitサーバの設計と構築 - GeekFactory
(追記) この記事は公開から時間が経っており、内容が古くなっています。 本稿では、すでにプライベートなWebサーバを運用している人向けにGitサーバの構築方法を説明します。ひと手間をかけるだけでGitサーバを構成できます。Webサーバがない人はGitHubでプライベートリポジトリを作った方が早くて安くて旨いかもしれません。 要件 以下の要件を考えてみます。 SSHでGitリポジトリにアクセスしたい。 HTTPSでGitリポジトリにアクセスしたい。 Webブラウザでリポジトリを閲覧したい。 Gitリポジトリには機密性の高い情報を格納する可能性がある。 具体的には、 git clone git@git.example.com:/something.git とか、 git clone https://myname@git.example.com/something.git とかしたいです。 Gi
.htaccessでSSL(https)必須にする “SSLRequireSSL”
phpMyAdminとか、クリティカルでデリケートなWebアプリケーションを扱うとき、httpで普通に操作するのはちょっと不用心すぎます。 httpは暗号化されてないので、データベースの情報やパスワードがそのままヒラヒラと飛び交ってしまうからです。 そんなときは、.htaccessでお手軽にSSL必須設定にしておきましょう。 .htaccess に SSLRequireSSL と書くだけで、そのディレクトリ以下はSSL必須となり、httpの場合はAccess Forbiddenになります。 httpd.confに記述するなら <Directory "/home/hoge/DocumentRoot"> SSLRequireSSL </Directory> といった感じです。
Redmine(Apache+passenger) での SSL(自己署名) の設定 - hogehoge foobar Blog Style Beta
ローカル環境にインストールしている「Redmine」について「SSLでの接続」が出来ていなかったので、やってみました。 (タイトルが「Redmine」となっていますが、証明書の発行等については通常の「Apache + SSL」でも変わらないので、そのまま使えると思います。) 「Apache + passenger + Redmine」はセットアップ済みの前提です。未セットアップの場合は、過去記事の「CentOSへRedmine1.1.0をインストール、CentOSへRedmine1.1.0をインストール(passenger設定編)」を参考にして下さい。 Redmine で「SSLでの接続」するまでの流れは以下のようになります。 「openssl」と「mod_ssl」のインストール 秘密鍵(RSA)の生成 証明書要求(CSR)の生成 証明書の発行(自己署名) ApacheへのSSLの組み込み
RedmineをSSL(https)のみアクセス可能にする設定方法
Redmineをインストールしてみたが、セキュリティ的にHTTPSでのみアクセス可能としたい。 公式のインストール手順ではHTTPでのアクセスも可能になるようだ。 設定はApacheで/etc/httpd/conf.d/passenger.confを編集して設定する。 ※最下部に <Location /redmine> SSLRequireSSL </Location> を入れる。 /etc/httpd/conf.d/passenger.conf LoadModule passenger_module /usr/local/lib/ruby/gems/1.8/gems/passenger-3.0.11/ext/apache2/mod_passenger.so PassengerRoot /usr/local/lib/ruby/gems/1.8/gems/passenger-3.0.11 P
Webサイト常時SSL化のススメ - @IT
2012/03/28 ログインや入力フォームなどが含まれないページも含め、Webサイト全体のSSL化を検討してほしい――日本ベリサインは3月28日、常時SSL(Always-on SSL)に関する説明会を開催した。 米シマンテック シマンテックトラストサービシズ プロダクトマーケティング シニアディレクターのロブ・グリックマン氏は、「Webサイトのセキュリティはクリティカルな問題になっている」と述べ、主に2つの攻撃シナリオがあると説明した。 1つは、正規のWebサイトが攻撃者に乗っ取られて、アクセスしてきたユーザーにマルウェアを仕込んでしまうケース。もう1つは、通信経路で盗聴した情報によるなりすまし(セッションハイジャック)だ。 特に後者の問題に対する「簡単かつコスト効率に優れた解決策が、常時SSLだ」(グリックマン氏)という。すでに、FacebookやTwitter、Google、Pay
Kung Noi:SSLおれおれ証明書とクライアント認証
自宅サーバで個人用途でわざわざSSL証明書を買えないけど、外部からWebメールやPOP3sとかSMTPsを使いたい。そんなあなたには、これ!おれおれ証明書。そのまま自分で自分を証明する、俺だよ俺証明書です。クライアント認証ってのは、SSLでサーバを証明するのではなくクライアントを証明し認証する使い方。この組み合わせで安全な仕組みができる どこのサイトを見てもCA作ったりしてめんどくさいと思うあなたには、これ最速!!OpenSSLで簡単に証明書を作成する方法。たった2行のコマンドでおれおれ証明書ができちゃいます。 CA認証局 電子証明書の設置場所 どこでもいいので、場所を決めます。 cd /etc/ssl mkdir CA OpenSSLのデフォルト値を変更しておく 同じ様な質問を何回も聞かれるのでデフォルト値を変更しておく。/etc/ssl/openssl.cnf dir = /etc/s
@IT Special PR: あなたのサーバは大丈夫? 携帯電話対応サイト運用者は特に注意
ITセキュリティの世界では、数年前から「暗号の2010年問題」について警鐘が鳴らされてきた。クラウド技術の進展で、誰でも巨大な計算パワーが手に入る時代になりつつある現在、脆弱な暗号技術を使い続けることのリスクは従来以上に大きくなっている。2010年問題にどう対応すればよいのか――。SSLサーバ証明書サービスで有名な日本ベリサインに聞いた。 「暗号の2010年問題」という言葉をご存じでしょうか? インターネットなどで利用されている暗号技術の強度が低下することによって引き起こされる諸問題をいいます。 暗号技術とはごく簡単にいうと、秘密にしたい任意のデータ(平文といいます)を特定の規則で符号変換することで第三者に読めなくする技術です。変換規則がいつも同じだとすぐに解読されてしまうので、同じ暗号方式でも異なる暗号文を生成するために「鍵」というデータが用いられます。鍵は暗号文を平文に戻す(復号といい
SSL リバースプロキシの構築
SquidはSSLを使ったリバースプロキシも構成できるようになっています。 この事は、Webサーバの管理者にとっては喜ばしい事だといえます。 なぜなら、この機能によって1つのサイト証明書を使って複数のWebサーバが同時にSSLによる暗号化の恩恵を受ける事を意味するからです。 SSLリバースプロキシを使った構成はおおよそ以下のような構成になります。 例えば、クライアント(ブラウザ)が HTTPSにて"www2.hogehoge.jp" を呼び出す。 ----- ① 公開DNSにて、上記サイトのアドレスとして Squid のアドレスを返す。 この結果クライアントは SquidとSSLによる接続が開始される。 ----- ② Squid はクライアントが要求したURLを判断して、そのサイトの実体のアドレスを内部DNSにて解決し、実際の "www2.hogehoge.jp" へ通常のHTTPにてリ
HTTPortでファイアーウォール(プロキシ)を超えよう
0.会社からインターネットに接続できないことがある!? 会社にパソコンが設置され、インターネット接続環境がある。支給されたパソコンからブラウザでいろいろなサイトを閲覧することが出来る。 という環境がそろっていながら、特定のファイルをダウンロードできない・メールを送受信できない・FTPソフトが使えない・VNCなどの遠隔ソフトが使えない、など、インターネットに接続できる環境が制限されてはいないだろうか? その原因は「ファイアーウォール」にある。 1.ファイアーウォールとは パソコン側回線(LAN)とインターネット側回線(WAN)が直結している場合、インターネット側からパソコンへの不正侵入やパソコン側からインターネットへの不正侵出が容易になり、セキュリティーに影響することがある。そのため、LANとインターネットの中間に「関所」を設けてそれらをチェックし、危険な場合には通信を遮断する必要がある。こ
SSL自己証明書の作り方
cles::blog 平常心是道 blogs: cles::blog NP_cles() « Bloggerにspam報告してみる :: 二俣川でバーベキュー » 2008/06/14 SSL自己証明書の作り方 ssl 68 2へぇ OpenSSLで自己署名証明書*1の作り方を忘れてしまっていて、ちょっと苦戦したので、忘れないうちにメモ。 openssl genrsa -out server.key 2048 chmod 400 server.key openssl req -new -key server.key -out server.csr -sha1 chmod 400 server.csr openssl x509 -in server.csr -out server.crt -req -signkey server.key -days 365 -sha1 chmod 400
劇安いSSL証明書を取るなどした
http://www.namecheap.com/learn/other-services/ssl-certificates.asp 日本だとVerisignとか、Geotrustとかグローバルサインとかセコムとかオレオレとかが有名なSSL証明書だが、海外だとクソ安い所もある。 自分が知っているなかで安くて手軽なのがここ。 名前がCheapなんてあるだけあって安い、円高とか関係ないくらい安い、年間$12.88である。1223円($1=¥95)。 比較してみよう! RapidSSL Verisign グローバルサイン 価格 1,223 85,050 36,540 係数 1 69.5 29.8 中国産かといわんばかりのすごい価格差、70倍位違う。 あと、画面も使いやすい。これはかなり重要です。 適当な手順 普通の手法でCertificate Requestを作る、ここらへんは適当にがんばれ!
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
SSL - Mono on Linux Doesn't appear to have Certs by Default · Issue #24 · KSP-CKAN/CKAN
lucanian.net