## page was renamed from Letsencrypt/beta ## page was renamed from Letsencrypt <> <> https://letsencrypt.org/ https://community.letsencrypt.org/t/frequently-asked-questions-faq/26 Wildcard Certificates Coming January 2018 https://letsencrypt.org//2017/07/06/wildcard-certificates-coming-jan-2018.html A wildcard certificate can secure any number of subdomains of a base domain (e.g. *.example.com). This allows administrators to use a single certificate and key pair for a domain and all of its subdomains, which can make HTTPS deployment significantly easier. ---- [[/DV証明書]] certbotを使って、更新([[/再取得]])しました。-- ToshinoriMaeno <> {{{ Let's Encrypt は"DV certificate" を発行する }}} Hackers Install Free SSL Certs from Let's Encrypt On Malicious Web Sites http://thehackernews.com/2016/01/free-ssl-certificate-malware.html {{{ People in Japan were delivered malicious ads that redirect them to a malicious website serving up malware over encrypted HTTPS using a Let's Encrypt-issued certificate. The malicious website used the Angler Exploit Kit in order to infect victims’computers with the nasty Vawtrack banking trojan, which is specially designed to raid their online bank accounts. }}} Understanding risks and avoiding FUD http://unmitigatedrisk.com/?p=552 {{{ Disclaimer: This post represents personal opinions and thoughts, and does not represent the views or positions of my employer Google, or Let’s Encrypt where I am a member of their advisory board. }}} {{{ The first is what is referred to as a “Domain Validated” or DV certificates. To obtain a DV certificate, one must only prove that they control the host or domain to be certified. }}} ---- moin.qmail.jpの証明書をLet's Encryptのものに入れ替えました。-- ToshinoriMaeno <> [[/FreeBSD]] で入手したものです。 https://letsencrypt.readthedocs.org/en/latest/intro.html ---- = Letsencrypt = [[/stats]] [[/publicBeta]] Let's Encryptで取得できるのは「ドメイン認証 (DV) SSL/TLS証明書」です。   「DNSに登録されたホストでwebサーバを動かすことができるか」を調べているだけのようです。  より正確には当該webサーバのあるファイルに対する書き込み権限を検査しています。 duplicate_signature_key_selection_attack https://www.agwa.name/blog/post/duplicate_signature_key_selection_attack_in_lets_encrypt https://letsencrypt.readthedocs.org/en/latest/using.html https://letsencrypt.org/howitworks/technology/ Yoshikawa Ryota ( @rrreeeyyy ) Let's Encrypt & ACME Overview https://speakerd.s3.amazonaws.com/presentations/419586ab00b140bfa40a81a4ccd71f4b/hbstyle-2015-1112.pdf http://deeeet.com/writing/2015/12/01/go-letsencrypt-acme/ == 現状 == このドメインに対する証明書を取り出すことができた。[[/manual操作]] この段階までに必要な作業などをまとめてみる。試したのは[[/Ubuntu]]14.04 LTS から。 [[/FreeBSD]]では難しかったので、portsに頼った。standaloneで証明書は取り出せた。 == 必要な環境 == OpenSSL(LibreSSS) と python2 (2.7.10で試した): [[/letsencrypt-auto]] を動かすため。 * setuptools, cryptography, pyopenssl, pip, ... 特定のバージョンが必要なこともある。 * virtualenv これらの環境がある程度動作することを確認してから始めるのがよい。 これらを揃えるのが面倒であれば、Anaconda2 を動かすのでもよいが、virtualenv は使えないとおもった方がよい。 証明書がほしい目的のドメインではhttpサーバ(port 80)を動かしておく。 == OpenSSL が取り込めない == 現状 -- ToshinoriMaeno <> python 環境が(悪)影響していることまでは判明したので、Anacondaの下で試してみる。   Anaconda2 では virtualenv がおかしいので、 Anaconda3 で試したが同様だった。    そして、pip で取り込んだpython script が python2 用だとわかったので、 Anaconda2 に戻す。 == virtualenv == letsencrypt-auto を読んで、個別に実行する。(なんのことはない。 仮想環境で pip install すればよいのだから)  letsencrypt が binに入ったことまで確認して、今日は終わりにする。 [[/command_help]] -- ToshinoriMaeno <> [[/証明書]] を取り込む。 (誤解だった。)  メイルアドレスだけの確認だ。こんなのでいいのかな。(他も似たようなものらしいが) ただ、3ヶ月ごとに面倒な手続きをするのでは手間がかかりすぎだ。 もう少し調べてからにしよう。 -- ToshinoriMaeno <> == 背景 == 招待状 betaprogram にはこうあった。 (実行用のletsencryt scriptをbootstrapするための手順だった) {{{ When running the Python client (installation directions [1]), be sure to specify the --server argument as shown below: git clone https://github.com/letsencrypt/letsencrypt cd letsencrypt ./letsencrypt-auto --server https://acme-v01.api.letsencrypt.org/directory --help }}} == python == python import エラーがでる。 python 2.7 を入れ直しです。 pyOpenSSL も入れ直しましたが、import エラーは解消しない。 {{{   ImportError: /usr/local/lib/python2.7/site-packages/cryptography-1.1-py2.7-linux-i686.egg/cryptography/hazmat/bindings/_openssl.so: undefined symbol: EC_curve_nid2nist }}} == InsecurePlatformWarning == https://community.letsencrypt.org/t/insecureplatformwarning-on-ubuntu-14-04-w-python-2-7-6/2871 UbuntuではOpenSSL関連でモジュールが不足しているという警告がでた。  LibreSSLはまだサポートされていないのかもしれない。 [[LibreSSL]] 2.2.4 が最新版なので、それを試すことに。 libressl を入れ直しただけでは、解消せず。 {{{ ImportError: /home/tmaeno/.local/share/letsencrypt/local/lib/python2.7/site-packages/cryptography/hazmat/bindings/_openssl.so: undefined symbol: EC_curve_nid2nist }}} ---- uninstallしていたら、unbound(DNSリゾルバー)が動かなくなっていた。  /usr/sbin/unboundが消えていたり、unbound userが削除されていたりと、不思議な現象が起きていた。 -- ToshinoriMaeno <> == 参考 == If you're on ubuntu, you may run into trouble installing pyopenssl, you'll need these dependencies: $ apt-get install libffi-dev libssl-dev これでも解消しない。 == cryptography == バージョンによって、問題が発生することが判明した。  ひとつ古い版を使うことで、回避した。 -- ToshinoriMaeno <>