= Letsencrypt = <> <> [[RFC/6125]] == Ubuntu 2022 == [[Letsencrypt/certbot/manual_mode/wild_card]] *.qmail.jp == 警告 == https://community.letsencrypt.org/t/2022-01-25-issue-with-tls-alpn-01-validation-method/170450 {{{ 2022.01.25 Issue with TLS-ALPN-01 Validation Method Incidents jillian Let's Encrypt staff }}} [[/警告]] Questions about Renewing before TLS-ALPN-01 Revocations [[/jillian]] https://community.letsencrypt.org/t/questions-about-renewing-before-tls-alpn-01-revocations/170449 ---- このページも改訂が必要です。 Let's Encryptの証明書を「入手して設置するまで」を記録しておきます。 証明書を取得する方法の解説もしておきたい。 手順だけの説明が多いので、あとで困る。そうならないように、背景も理解することが重要です。 [[/さくら]] == Let's Encrypt ドキュメント == https://letsencrypt.org/ja/docs/ https://letsencrypt.org/getting-started/ {{{ To enable HTTPS on your website, you need to get a certificate (a type of file) from a Certificate Authority (CA). Let’s Encrypt is a CA. In order to get a certificate for your website’s domain from Let’s Encrypt, you have to demonstrate control over the domain. With Let’s Encrypt, you do this using software that uses the ACME protocol which typically runs on your web host. }}} === Google 翻訳 === ややぎこちないが、読める。-- ToshinoriMaeno <> {{{ WebサイトでHTTPSを有効にするには、認証局(CA)から証明書(ファイルの一種)を取得する必要があります。 Let'sEncryptはCAです。 Let’s Encryptからウェブサイトのドメインの証明書を取得するには、 ドメインの制御を実証する必要があります。 Let’s Encryptでは、通常Webホストで実行されるACMEプロトコルを使用するソフトウェアを使用してこれを行います。 }}} == 2021/6 == 現状はUbuntu 18.04 LTS 上の nginx サーバーを利用しています。 DNS 権威サーバーも動かしていますが、同じホストである必要はない。-- ToshinoriMaeno <> certbotによる自動更新も動作しています。 自動更新で介入が不要になったので、忘れないように記録しておく必要がある。 Let's Encryptの仕事は「証明書の発行」までです。  更新を含めても再発行まで。[[/certmagic]] [[/lego]] 証明書を「設置/設定」するにはサーバー側とのすり合わせが必要です。 利用者の責任ということです。 == 2020-02 == Multi-Perspective Validation Improves Domain Validation Security Feb 19, 2020 • Josh Aas, Daniel McCarney, and Roland Shoemaker https://letsencrypt.org/2020/02/19/multi-perspective-validation.html [[/multi-perspective domain validation]] == 認証方式 == [[/ACME]] [[/http-01]] [[/dns-01]] == client == 試したもの [[/client]] [[/acme.sh]] [[/dehydrated]] [[/certbot]]  [[/kusanagi]] == 取得と設置 == 証明書の[[/取得]]と[[/設置]]を分け理解することが重要です。 [[/更新]] まで含めて自動化するには制約が多い。 コンテンツサーバーとキャッシュサーバーを混ぜてしまったBINDを思わせる。 [[/設置]]は利用しているwebサーバー環境によります。  私が使っているのはpound proxyなので、そこだけは説明しています。-- ToshinoriMaeno <> https://arxiv.org/abs/1305.0854 Off-Path Hacking: The Illusion of Challenge-Response Authentication CertificateTransparency == NEWS == [[/WildCardCertificate]] [[/EDNS]] [[/偽証明書]] [[/webサーバー]]  [[レンタルサーバー/SSL証明書]] 日本語によるまとめサイト: https://http2.try-and-test.net/letsencrypt_summary.html TLS-SNI-01チャレンジによる既存の証明書更新の終了 [2019年2月13日の予定] 新たにACMEクライアントをインストールするなら、acme.shがOS依存しないのでオススメです。 https://twitter.com/ken1no/status/1086194747914432512 {{{ 2018年1月からLet's Encryptは、TLS-SNI-01チャレンジにおいて、新規証明書の取得が停止しており、既存の証明書の更新のみ行えておりましたが、2019年2月13日には、既存の証明書のTLS-SNI-01チャレンジによる更新も終了となります。 }}} == edns-buffer-size == https://twitter.com/beyondDNS/status/1065614544423157760 Let's Encrypt の現実的対応: ”edns-buffer-size: 512 in our Unbound configuration. " https://community.letsencrypt.org/t/edns-buffer-size-changing-to-512-bytes/77945 == サイト == https://letsencrypt.org/ https://letsencrypt.jp/ (和訳) Documentation : https://letsencrypt.org/docs/ https://letsencrypt.org/docs/client-options/ https://community.letsencrypt.org/t/frequently-asked-questions-faq/26 ワイルドカード証明書 : Wildcard Certificates Coming January 2018 https://letsencrypt.org//2017/07/06/wildcard-certificates-coming-jan-2018.html A wildcard certificate can secure any number of subdomains of a base domain (e.g. *.example.com). This allows administrators to use a single certificate and key pair for a domain and all of its subdomains, which can make HTTPS deployment significantly easier. ACME v2 対応  https://letsencrypt.jp/docs/acme-v2-wildcards.html https://letsencrypt.jp/ {{{ 当サイトは、無料 SSL/TLS 証明書発行サービス Let's Encrypt の非公式解説サイトです。 }}} ---- [[/DV証明書]] certbotを使って、更新([[/再取得]])しました。-- ToshinoriMaeno <> {{{ Let's Encrypt は"DV certificate" を発行する }}} [[/FAQ]]から ACMEv2 and Wildcard Launch Delay https://community.letsencrypt.org/t/acmev2-and-wildcard-launch-delay/53654 == サイト移転時の証明書 == https://community.letsencrypt.org/t/moving-and-merging-certs-from-server-a-to-b/19015 Moving and merging certs from Server A to B