|
| ||||||||
|
巻き戻し中。
|
|
2017-08-14(月) Let'sEncrypt [長年日記]
_ 夏休みの
工作というかアレ。
ウチの鯖は「daemon5.uekusa-com.com」だけが正式なSSL証明書を持っていた。*1
今まではhttpsでのリクエストでFQDNが「daemon5.uekusa-com.com」以外だったらmod_rewiteで書き直していた。
でも、uekusa.(jp/com/info/org)もちゃんとしないとなぁということで、お金のかからないLet'sEncryptで(゚∀゚)
解説サイトhttps://letsencrypt.jp/を見ながらcertbotを入れる。
結構簡単にできるねこれ。
「certbot certonly」で-dに別名が指定できる。
ウチだと「uekusa.jp」「daemon5.uekusa.jp」「www.uekusa.jp」みたいにドメイン名のみ/FQDN/Webとかあるのが全部指定できるの助かる。
で、cronに「certbot renew」を一日一度仕掛けておけば期限切れ前に自動更新してくれる(はず)。
*1 とは言ってもRapidSSLのお安いの!
_ HSTS
HSTSの絡みでサブドメインでDNS設定していた内部ドメインのWebアクセスがちょっと影響受けて嵌まった(´・ω・`)
つか、HSTSはなんでドメイン単位で設定/判断しちゃうんだ・・・
この規格考えたヤツ、自分の裕福な単一組織のことしか考えてなかったろ?
世の中にはサブドメイン毎に管理人が違ったり、内部ドメインにまで証明書買うほどお金が無い人だっているんだぞo(`ω´*)o*1
*1 いやま、「内部はオレオレ証明書でもSSLにしとけばいいいんじゃね?」という解もあるけどねぇ
_ 4096bit
Let'sEncryptをcertbotのデフォで取得すると2048bitの証明書になる。
せっかくやるなら、デフォの2048bitじゃなくて「--rsa-key-size 4096」でw
え?性能?いやいや、今時大丈夫でしょ??(白目
Tweets by RC31E | |||||||||
| |||||||||
|