日記帳だ! with Tux on Libserver

二度目の大改造!! 日記帳…か?を継承し、より柔軟でパワフルなBlogに変身しました。

RSSに対応しています。リンク・コメント・トラックバックは自由にしていただいてほぼ問題ありません。
RSS購読方法、僕のリンク・コメント・トラックバックについての考えを読むことをおすすめします。

JavaScriptを有効にし、Cookieを受け入れ、以下のブラウザを使うことで完全なコンテンツが楽しめます。
Mozilla Firefox 3.0(Get Firefox)・Opera 9.6・Safari 3.2・Lunascape 4/5(Gecko)・Lunascape 5(WebKit)
Internet Explorer 7/8とそれを使うIEコンポーネントブラウザ(Lunascape・Sleipnirなど)

無料で自動の認証局

明日から徳島に出かける。

今日はえらく涼しかったけど、明日からは暑いんだそうで。

徳島にいると、外にいる時間が長いだろうから、なおさらねぇ。


だいぶ前から気づいてたんだけど、StartSSLの証明書がGoogle Chromeで安全ではないと表示されるようになった。

これは、StartSSLがポリシーに反する証明書の発行を行っていたことに対する対抗措置だ。

グーグル、中国の認証局WoSignの証明書を拒否へ--「Chrome 61」から (CNET Japan)

そもそもの問題を引き起こしたのは中国のWoSignという認証局なのだが、

WoSignはStartSSLを買収して傘下に収めていて、なおかつWoSignの中間証明書をStartSSLに署名させていたので、巻き添えを食らうことになった。


有効期限が切れて、新しい証明書に変えるときに別のところに乗り換えようとは思っていたのだが、

どうせ自分しか使わないんだし、エラーを無視してアクセスして、当面は使い続けようと考えた。

ところが最近、エラーを回避してアクセスすることができなくなってしまったので、早急に対策が必要となった。

他の認証局で無料で使えるところはないんかと調べていたら、Let’s Encrypt という認証局があることがわかった。

ドメイン認証による自動・無料の証明書発行システムが特徴で、

すでに多くのブラウザで導入されているIdenTrust社の署名を受けているので、無料で入手できるSSL証明書としては十分なものだ。


無料はともかく自動ってどういうことよってこういうこと。

Certbot

ドメインを持っているのが前提だけど

ここから certbot-auto というスクリプトをダウンロードして、

# ./certbot-auto certonly

として、多少の必要事項を入力するだけで、自動的にドメイン認証を行って証明書が発行される。

さらに、オプション次第ではApacheへの設定まで自動でやってくれる。

# ./certbot-auto –-apache

ただし、有効期間が3ヶ月とやや短いので、更新の頻度が高くなる。

でも、そもそも証明書の発行が自動化されているので、更新も自動的にやらせればよく、

cronとかで定期的にコマンドを実行すればよいと書かれている。

40 2 * * 0 certbot-auto renew 2>&1 | grep Congratulations
44 2 * * 0 service httpd reload >/dev/null 2>&1
45 2 * * 0 service postfix reload >/dev/null 2>&1
46 2 * * 0 service dovecot reload >/dev/null 2>&1

毎週日曜日の早朝にcertbotを実行して、自動的に更新を試みてもらう。

有効期間が1ヶ月以上残っている場合はそのまま、1ヶ月を切ったら更新をするということになるようで。

その後、Apache・Postfix・Dovecotに更新後の秘密鍵・証明書を読み込んでもらう。

おそらくこれでいけると思うんだけどね。


僕がStartSSLの証明書を使っていたのは無料だからということに尽きる。

オレオレじゃないSSL証明書を作りにいった

それ以前はオレオレ証明書だったんだが、やっぱり認証局証明書をインストールするのは手間ですから。

一方でStartSSLは有料での証明書発行も行っており、大手よりも割安ということをウリにしていた。

商売としての肝はこっちなのだが、せっかくお金を出したのに、ブラウザに弾かれてはたまったもんではない。


これだけ見れば安かろう悪かろうという話だろうと捉えることも出来るが、そうでもなさそう。

グーグルが無効化を発表、シマンテックのサーバー証明書にダメ出し? (ITPro)

Symantecの認証局ってもともとはVerisignのもので、いわば認証局の名門とも言えるところ。

とんでもない大ごとなのだが、さすがにSymantecはそのまま投げ出すようなことはしないよう。

どうするのかというと、Symantecは認証局事業をDigiCertという既存の認証局に譲渡してしまう。

そして、以前からのSymantecのお客さんにはDigiCertの証明書を発行する。これで無効化の影響は抑えられると判断したようだ。

さすが大手とも言えるが、一方で大手の認証局すらも1つ問題を起こすだけで弾かれてしまう世界でもある。


ちょっと話が脱線してしまったが、StartSSLは商売として認証局をやっていた。

一方、Let’s Encryptは無料・自動というコンセプトでやっているので、完全に非営利の認証局だ。

SSL対応を後押しするため、最低限、安全性を確保できる認証局ということでやっているのだろう。

確かにこういう認証局があれば、安心してSSLを導入できるという考えになれるだろうな。

一方で、組織の実在性とかそういうことを証明するものではないので、そこで他の認証局とのすみ分けがある。

あくまでもSSL通信の安全性を担保することだけが目的ということだ。ただし、その用途では最適な認証局だろう。

そうそう、これが欲しかったんだって話ですね。


Author : hidemaro
Date : 2017/10/07(Sat) 23:51
Linux・Net・Web | Comment | trackback (0)

ばたばたした徳島行き

今日から徳島だが、飛行機が飛ぶのは昼過ぎ。
というわけでその前に東京に寄り道。
実は会社の書道部の人から、いけばなの展覧会のチケットをもらって、
せっかくもらったんだから見に行きますねー、と言ったはよいものの、
よく考えれば徳島行きと被ることに後で気づいた。
もともと僕がもらわなければ腐らせるだけのチケットだったから、特に心は痛まないが。
でも、よく考えれば今日の午前中には見に行けるので、じゃあ途中で寄っていこうと考えた。
いけばなの展覧会なんていくの久しぶりだな。過去にはあるんだけどさ。
流派にもよるらしいんだが、けっこう前衛的な作品が多かった気がする。
空想の草花を作ったような作品もあったり、もはや草花の要素がほとんどない造形物もあったり。
なんとなく いけばな と言われるとジオラマのようなものかなぁと思ってたし、
そういう作品もあったんだが、いろいろあるんだなぁと。
それで見終わって、まっすぐ羽田空港にいくとえらく早くつく。
それでちょっと寄り道しながらいこうと考えた。
寄り道の都合、JR蒲田駅からバスで行くことにした。いつも京急だからねぇ。(復路はモノレールのこともあるが)
蒲田駅からのバスは普通の路線バス、運賃は申告先払い制、特に言わないと羽田空港の手前までの安い運賃が落とされる。
嘘つく理由もないけど、わざわざ「羽田空港まで」と言って高い運賃払うのもなぁとは思う。
途中は普通の生活路線で意外と細い道も走っていく。そして平気で遅れていく。
本当に空港に行くのかよと思っていたが、「羽田空港入口」というバス停をすぎると急に空港になった。
空港に入ってからは遅れを取り戻し、第1ターミナルに到着したときには数分遅れまで戻っていたが。
しかし、ここからが大変だった。
最近はあらかじめWeb上でチェックインしておけば、直で保安検査場に行ってもよいのだが、
今回はチェックイン機に並んでチェックインをする必要があるようで、並ぶ。
ところが、チェックイン機にはじかれ、そこらへんにいた係員に申し出ると、
「こっちで座席を押さえてるみたいで、解除してもらいます」と言って奥にひっこんでいった。
それからしばらくして座席がとれたということで、チケットもって保安検査場に行けと言われる。
この時点で15分前だったのだが、さらに保安検査にひっかかりタイムロス。
飛行機が5分遅れだったこともあって、搭乗口には優先搭乗中に到着するぐらいだったので、
特に他の人には迷惑もかかることはなかったし、無事に飛行機には乗れたんだけど、ヒヤヒヤした。
余裕を持ってくるべきだったが、一方で羽田空港って早く到着してもさしてやることがないんで暇なんだよね。
関空ぐらいいろいろある空港だったら、早く来てもそれなりにあるんだけど。
飛行機に乗って指定された席につくと、足下がえらく広い。
「げっ、座席の下に荷物入れられねぇ」とつぶやいたら、「入るなら前の席の下に入れてもいいですよ」と乗務員。
非常席座席だと思ったのだが、実はクラスJと普通席の境目で、シートピッチの差と通路の位置の差を埋めるためにこういう空間があるようで。
別に保安上の問題はないので、前のクラスJの席の下に荷物が入るならそれはそれでOKということのようだ。
飛行機が飛び始めれば正味1時間の空の旅、早いもんだ。
到着した徳島空港はきれいな空港だった。
徳島市内までのバスは高速バス用の車両ではあるのだが、途中停留所の案内も流していたから普通の路線バスみたい。
まぁ満員だったから途中から乗るのはあり得ないし、途中で降りる人もいなかったが。
今回の宿は徳島市内なので、到着して早々にチェックインをして、
それで荷物をおいて身軽にしてマチ★アソビを楽しんでいた。
今日は山登りをすることはなかったので。明日、あさっては山登りするんだが。
今まで、初日の昼前に到着して、2日目の夕方までとなることが多かったが、
今回は初日の夕方から、3日目の夕方までということで、3日目までいる。
偶然のことながら3日目に僕にとっておもしろそうなのがいくつか固まっているのでラッキーだった。
逆に1日目の夕方まででもいくつかあったんだけど、整理券が必要だったような気もするから朝一番からいなければ結局
一緒だったのかなとも。
欲張ったところでなにもかも全部ってわけにはいかないんだから妥協は必要だね。
Author : hidemaro
Date : 2017/10/07(Sat) 23:46
日常 | Comment | trackback (0)

Tools