背景 ここ数年で暗号化されていないHTTPは減り、常時TLSが当たり前になってきました。 公開用のページはもちろん、開発段階のページでもTLSは必須です。 普段はAWS上で開発をしているので、AWS Certificate Managerを利用することが多いのですが、 ちょっとしたお遊びにELBやCloudFormationを使うのはオーバーキルです。 そこで EC2 にもインストールできて、無料で使える Let’s Encrypt を使って証明書を発行することを考えました。 Let’s Encrypt で発行できる証明書は期間が90日と短く、60日ごとの自動更新が推奨されています。 証明局とAPIとAPIクライアントの実装例は提供するから、あとの自動化部分は自前で頑張ってねという感じなので、自動化部分を頑張らないといけません。 今回は実行環境として AWS Labda、ACME(Auto
普段から Lego というソフトで Let’s Encrypt にサーバ証明書を要求して使っているのですが、 Lego はデフォルトで ECDSA の証明書を要求するようになっていて (-k ec384)、これがたまに問題を起こしていました。 昨日もそれにひっかかったあげく、さらに深入りして時間を浪費してしまったので、ブログの記事にしておきたいと思います。 Exchange と ECDSA 今回ひっかかったのは 1 年以上前に構築して使っているメールサーバ (Postfix ) の StartTLS に使うサーバ証明書で、Lego と cron による自動更新を続けて特にトラブルなく使えていたものです。 昨日 Exchange Online のとあるテナントをいじって Office 365 → Postfix の送信コネクタ (TLS 接続) を作ったところ、 451 4.4.
AWSやGCP等のクラウドサービスを使っていると、SSL/TLS証明書のマネージドサービスが提供されていることが多く、大変手軽で便利ですよね。一方で、マネージドサービスがない場合や、あってもその証明書を使えないケースが私の周りでもたまにあり、自前でSSL/TLS証明書を発行・管理しなければならないことがあります。 ドメイン認証であれば Let's Encrypt で十分なことがほとんどなので、無料でSSL/TLS証明書を発行・自動更新することができます。 certbot-autoを使うという情報が多いようだが… 私も数年前まではcertbot-autoというツールを使っていたのですが、コマンドを実行するとデフォルトで自動アップデートされるようになっています。自動アップデートを抑制するオプションを付けずにSSL/TLS証明書を自動更新するように設定してしまうと、certbot-autoが自動
【7】SteveLTN/HTTPS-PORTALを使ってLet's Encryptで全自動SSL対応を行う(GCP(GCE),Rails,Nginxリバースプロキシ,Docker) - Androidはワンツーパンチ 三歩進んで二歩下がる
> 2019/03/31追記 Let's Encryptがらみでトラブル発生してしまいました。 ここの情報がまちがっていたのでご参考になさった方は 8.3. FORCE_RENEW: 'true'について の部分を確認していただけますとありがたいです。 申し訳ありませんがよろしくお願いいたします。 1. 公式サイト 2. 前提 3. 目標 4. 注意点 5. 参考サイト様 6. RAILS_ENV を production にする 7. HTTPS-PORTAL とは何かを知る 8. HTTPS-PORTAL を stage:staging で動かしてオレオレ証明書の画面を表示する 8.1. docker-compose.yml ファイル 8.2. stage について 8.3. FORCE_RENEW: 'true'について 8.4. オリジナルとサブドメインの両方をアクセス可能にする方
【セキュリティ ニュース】Let's Encrypt、証明書304万件を失効 - バグ原因で(1ページ目 / 全1ページ):Security NEXT
無料でSSL/TLS証明書を発行する認証局のLet's Encryptは、発行済みである約304万件の証明書の失効処理を実施することを明らかにした。 意図せず証明書が発行されることを防止するため、認証局では発行前にDNSで「CAA(Certification Authority Authorization)レコード」を確認するが、30日以内の発行処理において一定時間経過後、必要となる再チェックの処理をバグによって行っていないことが明らかになったという。 対象となるのは、同団体が発行し、現在利用可能となっている証明書約1億1600万件の約2.6%にあたる304万8289件。このうち約100万件については、同じドメイン名に対する複製分だとしている。 同団体では、失効処理を協定世界時2020年3月4日より開始し、2020年3月5日3時までに失効を完了させるとしており、関係する登録者へメールで連絡
”安心できるWebサイト”を運用するために欠かせないTLS/SSLサーバー証明書には、セキュリティーベンダーが有料で発行するものと無料で発行するものがある。この無料サーバー証明書には思わぬ「落とし穴」が潜んでいる。落とし穴とは何か、無料のサーバー証明書を使う場合何に気を付けるべきかを解説しよう。 証明書が運営者の身元を保証 無料サーバー証明書の落とし穴を理解するには、サーバー証明書の役割を知っておく必要がある。まずは簡単におさらいしておく。 サーバー証明書には2つの大きな役割がある。1つは暗号化、もう1つはサイト運営者の認証である。この2つの役割によって、利用者がWebサイトを安心して利用できるようになる。 多くのWebサイトはWebブラウザーでアクセスするとURL欄の左側に鍵のアイコンが表示される。 通信内容が暗号化されて保護されていることを意味する。クレジットカード番号やパスワードなど
はじめに リモートデスクトップで接続する際に、下記の警告に遭遇することがよくあります。 ほとんどの人が無視して接続していると思いますが、なりすましに気づけないなど好ましい状態ではないのでLet’s Encryptで作った証明書を使ってエラーを出なくしましょう。 証明書の入手 こちらを参考に入手してください。p12形式への変換も行い、そのファイルをWindowsへファイル転送しておいてください。 #上記ではワイルドカード証明書を作っていますが、通常の形式でも問題ありません。 証明書のインポートと適用 自動化も見据えてPowerShellでやってみます。 PowerShellを管理者権限で起動 スタートメニューでPowerShellを検索し、右クリック、「管理者として実行」で起動します。 証明書インポート 以下のコマンドでインポートできます。 “password”は証明書をp12形式にした際に
Let's Encryptは3月3日(米国時間)、「Revoking certain certificates on March 4 - Help - Let's Encrypt Community Support」において、2020年3月4日(協定世界時) 00時00分から一部の証明書を強制的に無効化すると発表した。 CAA再チェックの機能にバグがあったことに原因があり、Let's Encrypt証明書全体の約2.6%が強制無効化の対象になるとされている。Let's Encryptで現在アクティブな証明書は1億1,600万個ほどで、そのうち305万弱ほどの証明書が強制無効化の対象となる。 Revoking certain certificates on March 4 - Help - Let's Encrypt Community Support 強制無効化の原因となったバグは次のペー
k8s(k3s)クラスタでLet's Encrypt自動更新のIngressを構築する - blog.potproject.net
タイトルは何やらよくわからないことになっていますが、 今回構築する基盤はkubernetesでHTTP(S)ロードバランサーの役割を果たす、Ingressの機能を使用してL7ロードバランサーを構築します。 前回の記事では、NodePortを使って外部公開していました。 しかしこれだとPortごとに1つしか外部公開できません。複数のポートを設定してOCIのロードバランサーを使うことになってしまいます。あまりスマートではない。 またhttpsでのアクセス自体をk8sで対応出来ていません。最近のWebサービスはhttpsがデフォだと思っているのでほしいところ。 なのでうちのブログでもβの頃から使っていたけど今やかなり有名となったフリーな SSL/TLS 証明書のLet's Encryptを使用してhttpsでサービス公開を行いたいと思います。 この問題の解消としてIngressを使うことにより、
Let's EncryptでHTTPSを終端させたいだけならNginxよりCaddyを使うと楽だった件 - Qiita
みなさん!Webサーバ立ててますか?HTTPSしてますか? 弊社でも、よく自社向けの開発サーバをDockerで立てており、開発サービスは生HTTPで運用、そのフロントにHTTPS終端用のNginxをたてて、その証明書はメンテ&費用フリーのLet's Encryptで取得するようにしています。 こういうDockerでLet's EncryptでHTTPSしたいだけなら、同一のDockerネットワークに特定条件のDockerコンテナが生えるたびにNginxファイルを動的生成してLet's EncryptのACMEも通してなど全部やってくれる、下記を組み合わせるのが定番なのですが、 nginx-proxy acme-companion 上記は全般的に仕組みがやや煩雑で、LEのアップデートの煽りをくらったり、謎のエラーで死んでたり、コンテナが生きてないと通らなかったり、使わないDNSエントリでAC
Storing sensitive data in plaintext can seriously harm your internet business if an attacker gets hold of the database. Encrypting data is also a GDPR friendly best practice. In this tutorial I will describe a simple way to securely encrypt, store, and decrypt data using built in Ruby on Rails helpers instead of external dependencies. Avoid heavy Gem dependencies attr_encrypted gem is a popular to
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Let's Encrypt の証明書取得を AWS Lambda でやってみた
Let's Encrypt の ECDSA 証明書ではまった話
legoでLet's EncryptのSSL/TLS証明書を発行し、自動更新するよう設定する - Qiita
サーバー証明書Let's Encryptが無料である理由と、思わぬ「落とし穴」とは
Let's Encryptで作った証明書をリモートデスクトップの証明書に使う | 楽しいブログ
Let's Encrypt証明書に注意、3月4日に一部を強制無効化
Simple Way to Encrypt Data in Rails without Gem