【認証局】SSLに関するスレ 2枚目【ぼろ儲け】
ビットコインをはじめよう 1000円分のビットコインがもらえます! https://bitflyer.jp/gift/fn0tlipl とにかく一応もらっておくといいです。 ビットコインをはじめよう 1000円分のビットコインがもらえます! https://bitflyer.jp/gift/fn0tlipl とにかく一応もらっておくといいです。 >>422 https://support.servertastic.com/japan-region-pricing/ https://support.servertastic.com/reseller-japan-region-pricing-faq/ 対象: - .jpで終わるドメイン名 - EV (Extended Validation), OV (Organization Validated)のときは日本で登記してる組織 - IPアドレスレンジが日本 RapidSSLでよくて.jp以外のドメイン名つかってて、一時的に海外VPSにAなりMXなり向けられるやつなら回避可能っぽいな RapidSSL ごときに$80 も払うんなら、Let's Enctypt でいいや。 各ブラウザとも、CA証明書のっけてくるだろうし。 来年はCOMODOに戻るかみたいな感想だけど 他に安くておおむね使えるCAというとどこらへんがあるかね。 もうStartSSLでいいんじゃね? 認証局として云々はアレだけど、実用上はほぼ問題無いと言ってもいいだろうし。 Let's Enctyptでもいいよね。 よっぽどの理由が無い限り、無料の証明書を使うって言う流れになるんじゃねーかな? 数十%値上げとかならわからんでも無いけど、日本向けだけ最大約10倍の値上げとか、 正気の沙汰じゃ無いよな。なんか日本のシマンテック内にキチガイがいるんじゃね? そのうち Let's Encryptも日本だけ有料とか言い出したりしてな スレ違いで無ければ&知見がある方がいれば教えてください…。 Symantecや関連会社(ジオトラスト等)のSHA2移行説明ページを見ると、Android 1.5以降が対応してると載っています。 http://www.symantec.com/ja/jp/page.jsp?id=ssl-sha2-transition ただ、他の認証局をサイトを見るとだいたいAndroid 2.3以降で対応と書いてあります。 実際のところがどうかとか、Google側の資料があるか等ご存知の方いらっしゃいますか。 ブラウザでのサポートが終了するのをきっかけに急に盛り上がってきている感じなのかな。 POODLE対応でもサクッとiモードのサポートを切ったコンテンツも多いですよね。 古い実装のウェブサーバやSSLオフロード系での対応が難しいのかな。 何をいまさら騒いでるの?って感じだな。 自宅サーバ管理者なので数年前にSHA-256に移行済みですし。 自宅サーバの板だから殆どが移行してるわな 新しもの好きも多いと思うからw SHA1かつ2017年以降有効な証明書使い続けてるとChrome41から赤い警告になるって話だったのに 南京錠が消えて白いだけ(Chrome40と変わってない)な気がする。 方針変わったのかね。 RapidSSLが4倍近く値上げされたのは分かったが これから取得・更新する証明書だけの話じゃないのん? よく分からんがシマンテック死ねってことでいいの? 代理店から追加のメール来て発行済のは問題無いらしいことがわかった。 次どうするかな もうちょいしたらフロンティアなんたらが無料証明書配りだすだろうけど モバイルは全滅するのかね >>422 ,>>425 の続報 servertasticはJapan Regionちょっと値下げした ttps://twitter.com/servertastic/status/589106531548864513 それでも高い 日本向けSSL証明書販売について ttp://www.rapid-ssl.jp/rapidssl-news/archives/65 1個のドメインに対してSSL証明書を複数買えるの? たとえば、www.baka.comドメインで、ComodoとRapidSSLを2つ、来月から一年間。 上位がぶつからなければ購入できますか? ε ⌒ヘ⌒ヽフ ( ( ・ω・) ブヒ しー し─J 同じ認証局からでも買えるけど…負荷分散のときとか。 >>456 負荷分散用にOUだけ変更して同じCNの証明書購入したのを思い出したが 同じ証明書を複数のサーバでつかえない理由が思い出せない…。 最近は負荷分散装置自身でSSL終端せるほうが主流なのかな。 少し前に見たら、みずほオンラインが有効期限の違う証明書2つ?設定してたな。 SHA-1署名の場合に有効期限みて警告出すChromeの仕様で、 アクセスすると南京錠アイコンが緑になったり黄色になったりしてた。 今は期限短い証明書に入れ替えてるかもしれんが。 >>455 ****.baka.com で分散させるなら、ワイルドカード対応の証明書を買う必要がある。 複数のサーバで同じCNの www.baka.com を使うなら、それぞれに1つずつ証明書を買う必要がある。 もしくは、(ComodoやRapidSSLは未対応だが) マルチプルサーバー対応の証明書であれば最初から複数台のサーバで使える。 baka.comって20年も前から保有されてるのな 購入はできるんですね。 ありがとうございました。 これから、ComodoとRapidSSLとStartSSLの計三個申し込んできます。 ちなみに、分散用ではなくテスト用です。 ヘ⌒ヽフ ( ・ω・) dd / ~つと) 無料のやつとほんのわずかでも有料のやつとで、具体的に違いある? Comodo PositiveSSLってあの値段でECDSA証明書発行してくれるんだな 試しにECDSA 256bitのCSR突っ込んでみたら普通に発行された >>467 中間証明がどうしても分からない。 特に入れなくてもwebは見えるんだけどopenssl s_client -connect ではエラーするt >>468 ブラウザに中間証明書も入っているのでは? GoGetで買ったcomodoをさくらインターネットのレンタルサーバに(SNI証明書)入れてテストしているのですが、AndroidのChromeで警告が出てしまいます エラーメッセージがコピペできなかったのでスクリーンショット貼ります http://i.imgur.com/TNPZomn.jpg 解決方法(サイト閲覧者の手を煩わせることなく、エラーを出さずにSSL接続を提供する方法)を教えてください。 こっちは問題ねーぞ http://imgur.com/zeeKFve.png 2chMate 0.8.7.11 dev/LGE/Nexus 5/5.1.1/LR 機種とか泥のバージョンによるのかもね ページ更新したらダメになったわ VPSの方で設定ミスってるとか? https://help. さくら.ad.jp/app/answers/detail/a_id/2326 ----- インストール可能な証明書 本サービスにおける独自SSL機能はシマンテック・ウェブサイトセキュリティ 、 セコムトラストシステムズ、 GMOグローバルサインが発行するテスト用のサーバ証明書にて 動作を確認しています。 その他の証明書では正常にインストール、及び動作しない場合も ありますのでご注意ください。 ----- なんていうのもあったけど、共用レンサバはCOMODOのCA証明書は自分じゃ入れられないのかな。 >>475 >>476 中間証明書!そういうのもあるのか ちょっとシマンテックのナレッジベースのSO22877読んできます >>477 ここでテストできます。 https://www.ssllabs.com/ssltest/ Do not show the results on the boardsにチェックを入れると 結果が公表されなくなります。 >>478 やってみましたが、総合C判定でした。 弱いDH KeyでB判定 TLS1.2が推奨されているが1.0しか対応してないためC判定 リファレンスブラウザでForward Securityがサポートされていないとのことでした。 http://stackoverflow.com/questions/11340298/certificate-trusted-on-pc-but-not-in-android >ドメイン+中間+ルートを:使用しているものをウェブサーバに応じて、すべての証明書を指定します(ドメイン証明書、中間およびルート) >またはために、1つ(nginxのための例)にそれらを結合する必要があります。SSHターミナルでこれを行う簡単な方法は、次のように入力して、次のとおりです。 > >猫domainfile intermediatefile rootfile > TARGETFILE テキストエディタでただ結合するだけで良さそうなので、後でパソコン起動した時にやってみます。 中間証明書とっかえひっかえしてたら正常になったみたいです。ありがとうございました。 >弱いDH KeyでB判定 これはまだ logjam から日が浅いし 1024bit DH が WEAK だという認識も浸透してないから仕方ないけど >TLS1.2が推奨されているが1.0しか対応してないためC判定 >リファレンスブラウザでForward Securityがサポートされていない これは駄目だろう さくらのデフォ設定がこんな糞なのか? 自分で設定した結果がこれなのか? 同じく一部のAndroidのchromeで この接続ではプライバシーが保護されません が表示されるようになったのですが sha-1からsha-2にすれば直りますか それともbind9.xの影響でしょうか >>429 無料SSLで Class1一本 か、オレオレ証明書一本が 正解だね >>430 確かに販売しないと書いてるな >>484 このスレ的にはSANやワイルドカードの証明書で遊びたい人もいるでしょ CNを適当な文字列にしたオレオレをSNIのデフォルト証明書として使ってる startSSLの秘密鍵までおまかせで作ってくれちゃうウィザードはちょっと… NSA大喜び 通信の相互認証はいいから、通信の暗号化だけしたい場合どーすればいいの? SSLは認証局への登録がめんどくせーんだよカス なりすましの可能性は目をつぶって、盗聴の恐れはなくしたいって場合の話 それともそんな中途半端な要求あんの?ってのが大半のお方の考え? sshの共通鍵認証程度のセキュアさでいいから手軽に暗号化できるhttpないの? >>493 なりすまして通信を中継すれば盗聴は簡単。人はこれをMITMという。 自分しか使わないならopensslでルート証明書作ってインスコすればいいんじゃないかな。 サーバ証明書、単独・ワイルドカードどっちも高杉 co.jpなドメインの購入で登記とか確認するー、ってわけでもないのになんでこんな高いの 昔に比べりゃわずかに安くはなったが ルート証明書に採用されてるのがベリサインだけですって時代でもないのに >>498 そう思うなら、RapidSSLとか、PositiveSSLとか、StartSSLとか使えばいいだけでは? StartSSLのClass 1(無料のやつ)は商用はダメというライセンスなので注意。 認証局の秘密鍵を厳重に保管するにもコストはかかるわけだから全く無料というわけには行かないが 十分安いと思うけどね。今でも高いと思うならいくらぐらいが適当だと思う? >>500 これよく言われるけどオフィシャルに書いてあったけ? ごめんPolicyのPDFの3.1.2.1に書いてあった、、 RapidSSLの1万円ぐらいのワイルドカード使ってるけど特に問題ないよ 俺の知識が間違ってて *.domain.abc の * 部分は何でもOKと思ってたけど、 ???.*.domain.abc はダメだって言うの初めて知った。 サーバー証明書の無料配布プロジェクト「Let's Encrypt」、最初の証明書を発行 ttp://itpro.nikkeibp.co.jp/atcl/news/15/091703018/ 2015年9月14日、最初の証明書を発行し、同プロジェクトのWebサイトに導入したことを明らかにした。一般への提供開始は2〜3カ月以内を予定。 今回の証明書のルート認証局はISRGである。ISRGは、信頼できる認証局としてOSやWebブラウザーに登録されていない。 1カ月以内に、一般的なルート認証局とのクロスルートにより、エラーメッセージは表示されなくなるという。 >>504 ワイルドカードはサポートしないらしいけど、SANもだめ? >>505 SANsに対応するとForumかサポートのFAQに書いてあった気がする。 ググったらでてくると思う。 無償で利用できるSSL証明書発行サービスであるLet's Encryptで証明書を発行してみた ttp://dev.classmethod.jp/server-side/lets-encrypt-beta/ オレオレ証明みたいだけど。 就労移行支援事業所は、利用者1名×1日で行政から1万円前後の補助金が出てるんだよね。。 let's encrypt 12月3日からPublic Beta に。 まともに使えるようになるのかな。 90日の期限だし自動更新というのも怪しげで 期待してもよいものなんだろうか Program Files\CSR\CSR Harmony Wireless Software Stack cert_install.bat @ECHO OFF cd . call certmgr.exe /add HarmonyTest.cer /s /r localMachine root call certmgr.exe /add HarmonyNewTest.cer /s /r localMachine root Harmony(Test).cer HarmonyNew(TEST).cer bluetooth bluetooth追加後、証明書が書き込まれる。 https://www.ssllabs.com/index.html TLS 1.0、Triple DES / 168 ビット暗号 (高); RSA / 2048 ビット交換 kb3081320 WEPOS および POSReady 2009 のセキュリティ更新プログラム (KB3081320) schannel.dll 5.1.2600.6926 (xpsp_sp3_qfe.150921-2029) TLS / SSL Security Provider そういえば・・・Win10の証明書エクスポートウィザードの 「証明書のプライバシーを有効にする」ってどういうパラメータ? >>509 Let's Encrypt はまだクローズベータだけど既にオレオレ証明書じゃなくなったみたいだよ https://letsencrypt.jp/ > Let's Encrypt のローンチスケジュールは延期されてきましたが、2015年12月3日 に Let's Encrypt 公開ベータプログラム(Public Beta Program)が開始される予定です。 とのこと Let's Encrypt はレン鯖板に専用スレ立ったよ 【全ブラウザ対応】 無料SSL/TLS Let's Encrypt http://peace.2ch.net/test/read.cgi/hosting/1448874075/ スレタイ通りの認証局ボロ儲けの時代は早くも終わったな そう、let's encrypt によってね オレオレ証明書使ってたヤツがそれを使うようになるだけじゃないの? >>518 ラビットSSLとかの格安系使っていた人もLet's Encryptに流れると思うよ どっちにしろドメイン名を認証しているだけのDV証明書であることに変わりないんだから無料の方がよいし Let's は、ブラウザ Mozilla Firefox を作っているモジラ財団とか、 ネットワーク機器大手のシスコとか、 ネットワークインフラ大手のAkamaiとかが出資している大規模なプロジェクトだから、 無料といっても、商用の認証局と同等に、安定性・信頼性も高い 有効期間が90日というのが気になるけど、中途半端に長くて手順を 思い出しながら手動で更新するよりも、自動で更新したほうが 結果的にはよさそうだな。 >>521 中国のってあれね。3年のを出してくれるらしいけど、さすがに嫌。 3年なら\3,000位でcomodoでなら取れるんでしょそれぐらいは出すわ >>522 ちょっとググれば、3年で$15.00ってのがある>Comodo read.cgi ver 07.5.4 2024/05/19 Walang Kapalit ★ | Donguri System Team 5ちゃんねる