1. Letsencrypt
Contents
1.1. Ubuntu 2022
Letsencrypt/certbot/manual_mode/wild_card *.qmail.jp
1.2. 警告
https://community.letsencrypt.org/t/2022-01-25-issue-with-tls-alpn-01-validation-method/170450
2022.01.25 Issue with TLS-ALPN-01 Validation Method Incidents jillian Let's Encrypt staff
Questions about Renewing before TLS-ALPN-01 Revocations /jillian
https://community.letsencrypt.org/t/questions-about-renewing-before-tls-alpn-01-revocations/170449
このページも改訂が必要です。
- Let's Encryptの証明書を「入手して設置するまで」を記録しておきます。
証明書を取得する方法の解説もしておきたい。
- 手順だけの説明が多いので、あとで困る。そうならないように、背景も理解することが重要です。
1.3. Let's Encrypt ドキュメント
https://letsencrypt.org/ja/docs/
https://letsencrypt.org/getting-started/
To enable HTTPS on your website, you need to get a certificate (a type of file) from a Certificate Authority (CA). Let’s Encrypt is a CA. In order to get a certificate for your website’s domain from Let’s Encrypt, you have to demonstrate control over the domain. With Let’s Encrypt, you do this using software that uses the ACME protocol which typically runs on your web host.
1.3.1. Google 翻訳
ややぎこちないが、読める。-- ToshinoriMaeno 2021-06-11 01:01:04
WebサイトでHTTPSを有効にするには、認証局(CA)から証明書(ファイルの一種)を取得する必要があります。 Let'sEncryptはCAです。 Let’s Encryptからウェブサイトのドメインの証明書を取得するには、 ドメインの制御を実証する必要があります。 Let’s Encryptでは、通常Webホストで実行されるACMEプロトコルを使用するソフトウェアを使用してこれを行います。
1.4. 2021/6
現状はUbuntu 18.04 LTS 上の nginx サーバーを利用しています。
DNS 権威サーバーも動かしていますが、同じホストである必要はない。-- ToshinoriMaeno 2021-06-09 23:23:34
certbotによる自動更新も動作しています。
- 自動更新で介入が不要になったので、忘れないように記録しておく必要がある。
Let's Encryptの仕事は「証明書の発行」までです。
更新を含めても再発行まで。/certmagic /lego
証明書を「設置/設定」するにはサーバー側とのすり合わせが必要です。
- 利用者の責任ということです。
1.5. 2020-02
Multi-Perspective Validation Improves Domain Validation Security
Feb 19, 2020 • Josh Aas, Daniel McCarney, and Roland Shoemaker
https://letsencrypt.org/2020/02/19/multi-perspective-validation.html
/multi-perspective domain validation
1.6. 認証方式
1.7. client
試したもの /client
/acme.sh /dehydrated /certbot /kusanagi
1.8. 取得と設置
/更新 まで含めて自動化するには制約が多い。
- コンテンツサーバーとキャッシュサーバーを混ぜてしまったBINDを思わせる。
/設置は利用しているwebサーバー環境によります。
私が使っているのはpound proxyなので、そこだけは説明しています。-- ToshinoriMaeno 2019-01-25 01:34:07
https://arxiv.org/abs/1305.0854 Off-Path Hacking: The Illusion of Challenge-Response Authentication
1.9. NEWS
/EDNS /偽証明書 /webサーバー レンタルサーバー/SSL証明書
日本語によるまとめサイト: https://http2.try-and-test.net/letsencrypt_summary.html
- TLS-SNI-01チャレンジによる既存の証明書更新の終了 [2019年2月13日の予定]
- 新たにACMEクライアントをインストールするなら、acme.shがOS依存しないのでオススメです。
https://twitter.com/ken1no/status/1086194747914432512
2018年1月からLet's Encryptは、TLS-SNI-01チャレンジにおいて、新規証明書の取得が停止しており、既存の証明書の更新のみ行えておりましたが、2019年2月13日には、既存の証明書のTLS-SNI-01チャレンジによる更新も終了となります。
1.10. edns-buffer-size
https://twitter.com/beyondDNS/status/1065614544423157760
Let's Encrypt の現実的対応: ”edns-buffer-size: 512 in our Unbound configuration. "
https://community.letsencrypt.org/t/edns-buffer-size-changing-to-512-bytes/77945
1.11. サイト
https://letsencrypt.org/ https://letsencrypt.jp/ (和訳)
Documentation : https://letsencrypt.org/docs/
https://community.letsencrypt.org/t/frequently-asked-questions-faq/26
ワイルドカード証明書 : Wildcard Certificates Coming January 2018 https://letsencrypt.org//2017/07/06/wildcard-certificates-coming-jan-2018.html
A wildcard certificate can secure any number of subdomains of a base domain (e.g. *.example.com).
- This allows administrators to use a single certificate and key pair for a domain and all of its subdomains, which can make HTTPS deployment significantly easier.
ACME v2 対応 https://letsencrypt.jp/docs/acme-v2-wildcards.html
当サイトは、無料 SSL/TLS 証明書発行サービス Let's Encrypt の非公式解説サイトです。
/DV証明書 certbotを使って、更新(/再取得)しました。-- ToshinoriMaeno 2017-05-21 23:08:34
Let's Encrypt は"DV certificate" を発行する
/FAQから
ACMEv2 and Wildcard Launch Delay https://community.letsencrypt.org/t/acmev2-and-wildcard-launch-delay/53654
1.12. サイト移転時の証明書
https://community.letsencrypt.org/t/moving-and-merging-certs-from-server-a-to-b/19015
Moving and merging certs from Server A to B