[フレーム]
1 - 40 件 / 42件
タグ検索の該当結果が少ないため、タイトル検索結果を表示しています。
はじめに 皆さんは ZeroSSL を知っていますか?個人でウェブサイトを運営している皆さんであれば、多くの方は Let's Encrypt を利用されていると思います。 https://letsencrypt.org/ja/ もちろん僕も使っています。僕の様なエンジニアの方であれば SSL の仕組みもおおよそ理解もしているし、コマンドラインの実行方法も知っておられるのでウェブサイトの SSL 証明書を取得する事もそれほど難しい事ではないでしょう。 しかしそれほど詳しくない方が certbot の様なコマンドを使って SSL 証明書を発行するのは割と難しい事です。そこでご紹介したいのが ZeroSSL です。 https://zerossl.com/ ZeroSSL とは ZeroSSL もまだあまり名前が知られていないせいか、Google 検索で「ZeroSSL」を検索すると「ZeroS
回答 (14件中の1件目) ちょいちょいっと自分でできる人です。これまで20回以上作業しています。 その上で適正価格だと思います。 SSL証明書は、ハマりどころが実に豊富です。 1. SSL証明書自体の取得方法がベンダーによってかなり違い、日本の組織の存在証明など奇天烈な方法を要求するものもある。Nginx Apacheなどサーバーによっても変えなくてはならない。 2. 提供された中間証明書をこちらで一つのファイルにまとめなくてはならず、どのようにバンドルするか、ベンダーからの情報だけでは自明ではないものも結構あってハマる 3. SSLのプロトコルは実に余計なものがたくさんありそ...
こんにちはSREの黒田です。 これは第2回 Nature Engineering Blog 祭9日目のエントリです。 昨日はCorporate ITのマロニーによる GASを使って社内のSaaSアカウントを可視化しよう - Nature Engineering Blog でした。 昨日に続いて今日のお話も、話題の新製品Remo nanoやMatterとは関係ありません。 TL;DR WebSocketで大量に永続接続されているALBのSSL証明書を更新すると、接続がばっこんばっこん切られて大変なので、ALBを二台用意して緩やかに接続を移行するようにしたら、大変平和になって僕もみんなもハッピーになった。 背景 そもそもNatureではどこに何のためにWebSocketを使ってるの?って話から始めると長いので、詳しくはこちらを見ていただければと思います (結構前の資料なので今とは違う部分も色々
技術系メディアの日経クロステック (xTECH) が 4 日に公開した「偽サイトもアドレス欄に鍵マーク、証明書を確認してフィッシング詐欺を見抜こう」という記事が問題になっているので共有したい (はてなブックマーク)。 問題になっているのは、現代では SSL の有無だけで本物かどうか判断できないため証明書の種類を見るべきだとする以下のような記述。 このうち詐欺で悪用されるのがDV証明書。「Let's Encrypt」という認証局では無料で発行しており、フィッシング対策協議会によれば、一部の例外を除いて大半のフィッシングサイトでこの証明書が利用されているという。大手企業が利用するケースは考えにくい。ブラウザーの証明書ビューアーで、発行者が「Let's Encrypt」ならまず詐欺なので用心しよう。
こんにちは、初心者向けシリーズです。 今回はAWSの無料SSL証明書サービス"Certificate Manager"をELBに設定してみようと思います! そもそもSSL証明書とは? SSLとは、ブラウザとウェブサーバ間でデータの暗号化をする仕組みのことです。 インターネット上で送受信される個人情報や、クレジットカード情報等を暗号化して通信を行うことで、盗聴や情報改ざんを防ぐ役割を持っています。 SSL証明書が適用されてるサイトはHTTPSで通信されることになり、URLの頭に「https://~」と、鍵マークが表示されます。 認証レベル(方式)により、3タイプに分かれます。 ドメイン認証 個人・法人で発行可能。問い合わせフォーム等の各種フォームやイントラネット等で利用がおすすめ。 企業認証 法人のみ発行可能。個人情報やクレジットカード等の入力が必要なサイトにおすすめ。 EV認証 法人のみ発
有効期間短縮の歴史 SSLサーバー証明書(以下、SSL証明書)の有効期間は、当初は最長5年でしたが2015年に3年になり、2018年に2年、2020年には1年 + 1ヶ月となり、段階的に長期間のSSL証明書が廃止されてきました。 サーバーを管理している方はよくご存知だと思いますが、SSL証明書の更新作業には結構手間が掛かります。さくらのレンタルサーバなら管理画面からSSL証明書の登録が簡単にできますが、大規模サイトなどでは「他社に外注しているため作業費用が都度発生してしまう」といったケースもあると思います。そのような想像が容易にできるにも関わらず、ハイペースで有効期間が短縮されていく背景とは一体何なのでしょうか? 有効期間を決めるのは誰なのか? SSL証明書の仕様に関しては、GoogleやMozillaなどのブラウザ開発ベンダーと、DigiCertやSectigoなどの認証局(CA:Cer
こんにちは。LINEヤフーのSSL Admin、Inoue と Kuji です。 旧 LINE株式会社が管轄していたネットワークには 数十万もの TLS Endpoints があり、数多くの SSL/TLS 証明書(以下「証明書」)が利用されています。この記事では、そのうち約 20 万の TLS Endpoints が提供している証明書の有効期限を可視化した取り組みを紹介します。 この記事に書いてあること 証明書の可視化を行うまでのストーリー証明書の可視化によって生じた効果今後の展望 この記事に書いていないこと プログラムの具体的な実装 今回紹介するツール(開発したもの) ValidCertWatch ValidCertWatchは社内のあらゆるWeb siteの証明書情報を一目で確認できるツールです。UIはこのようなイメージで、証明書を利用しているFQDNの一覧や、FQDNに適用されてい
CTO室SREの @kenzo0107 です。 2021年6月24日に「 kakari for Clinic ホームページ制作 」がリリースされました。 kakari for Clinic ホームページ制作 今回は上記サービスで採用した、 AWS + ngx_mruby で構築した SSL 証明書の動的読み込みシステムについてです。 SSL 証明書を動的に読み込みする理由 kakari for Clinic ホームページ制作の1機能で、制作したホームページに独自ドメインを設定する機能がある為です。*1 複数ドメインでアクセスできる =複数ドメインの SSL 証明書を読み込む を実現する必要があります。 動的に SSL 証明書を読み込むには? 以下いずれかのモジュールを組み込むことで SSL 証明書の動的読み込みが可能になります。 ngx_mruby lua-nginx-module 以下理
無料&オープンな証明書認証局Let's EncryptがDDoS攻撃を受け、約4時間半にわたってサービスのパフォーマンスが低下しました。 Title: Let's Encrypt's performance is currently degraded due to a DDoS attack ????: I know it is a big thing to complain about but why does the whole DNS lookup system require an invalid certificate? Because it seems too easy to get a certificate from a DNS provider that has...— hncynic bot (@hncynic) March 7, 2021 Let's Encrypt's
セキュリティ企業のwatchTowrが、TLDが「.mobi」のあらゆるサイトを乗っ取ることができる脆弱(ぜいじゃく)性を発見したと報告しました。 We Spent 20ドル To Achieve RCE And Accidentally Became The Admins Of .MOBI https://labs.watchtowr.com/we-spent-20-to-achieve-rce-and-accidentally-became-the-admins-of-mobi/ watchTowrの調査チームは、「.mobi」のwhoisサーバーがwhois.dotmobiregistry.netからwhois.nic.mobiに移行しており、元のwhoisサーバーが設置されていたdotmobiregistry.netドメインが2023年12月に期限切れになっていたことを発見。すぐにd
2022年4月13日、SSL/TLSプロトコルのSSL証明書を発行する非営利団体のLet's Encryptが、実世界の暗号化への多大な貢献を称える「レブチン賞」を受賞したことを明らかにしました。 Let’s Encrypt Receives the Levchin Prize for Real-World Cryptography - Let's Encrypt https://letsencrypt.org/2022/04/13/receiving-the-levchin-prize.html Let's Encryptは証明書を無料で発行している非営利団体。発行プロセスがすべて自動化されていることが特徴で、電子フロンティア財団やMozilla Foundationなどから支援を受け、2016年のサービス開始以来2億6000万のウェブサイトにサービスを提供しています。 今回Let's
SSLサーバー証明書について調べてみたのでまとめてみます。 SSLサーバ証明書について SSLサーバー証明書は、https通信を行うサーバーが持っている電子証明書です。ウェブサイトの「運営者の実在性を証明」し、クライアントとサーバ間で「暗号化通信」を行うためのもので、認証局という場所で発行されます。 証明書の役割 証明書の役割は二つあります。 ・サイト運営者の実在性の証明 証明書を発行する際に認証局(第三者機関)により、ドメイン名の利用権や組織の実在性が確認されます。信頼性の高い証明書を導入していれば、サイトの信頼を高めることができます。証明書は改竄しても、検証時にバレるため偽造できず、なりすましサイトの対策にもなります。 ・暗号化通信 証明書を利用することで、サーバーとクライアントで暗号化通信(HTTPS通信)が行えます。証明書に含まれる公開鍵を使ってHTTPS通信のセッションを確立しま
2022年2月に開始されたロシアによるウクライナ侵攻を受けて、ロシア政府が海外からの情報を遮断する動きを進める中、Twitterや報道大手のBBCなどが匿名通信システム「Tor」専用のウェブサイトを開設したことが報じられました。しかしTwitterでは2023年3月6日にTor専用ウェブサイトにおけるSSL証明書の有効期限が切れ、Tor版Twitterが事実上廃止されたことが明らかになりました。 Twitter just let its privacy- and security-protecting Tor service expire - The Verge https://www.theverge.com/2023/3/7/23629504/twitter-tor-onion-site-security-certificate-expired Twitter’s Most Impor
序章:その「s」が消える日 想像してみてください。 あなたが丹精込めて育ててきたウェブサイト。毎日記事を更新し、少しずつ増えていく読者からのコメントに喜びを感じる日々。あるいは、あなたが運営するオンラインショップで、お客 [...]
こんにちは。LINEヤフーの久慈泰範です。Advent Calendarは入社すぐに書いて以来、5年ぶりです。久々だー。 今日は、LINE(現 LINEヤフー) で SSL/TLS 証明書の購買を自動化した話を書きます。(以下、証明書と呼びます) 自動化のためにはタスクの形や人の動きを変えなければいけないことが多く、ほとんどの時間は混乱なく変化を続けていく方法を模索し続けていた時間だったように思います。2023年10月をもってやりたかったことは一通り終わったので、節目の記録としてこの記事を書くことにします。 この記事に書いてあること 自動化のためにやったプロジェクトの概要助けてくれたたくさんの方への感謝 この記事に書いていないこと プログラムコードなど、技術的な話 Summary LINEには多数のサービスがあり、500を超えるドメインが運用されています。サブドメインを含めると約十万件あり
竹雄 @takeo1116 FirefoxでTwitterのリンクを踏むとたまに警告が出るようになってしまった。 アドウェアのなかには遷移先を勝手に書き換えるものがあるので感染を疑ったが、t.coはTwitterの短縮URLのドメインなので別のページに飛んでいるというわけではないらしい。 pic.twitter.com/luAxHymLLb 2022年04月19日 21:35:43
webサイトにアクセスする時、内部ではたくさんの情報が、アクセスした端末とwebサーバー間を行き来してwebサイトが表示されています。例えば、アクセスした人のIPアドレスや端末情報。会員登録をするページであれば、入力した個人情報も端末とwebサーバー間を行き来します。 この行き来する情報がHTTP通信だとそのまま、HTTPS通信だと暗号化されています。 HTTPS通信の方が、安心してwebサイトへアクセスができますよね? SSL証明書には、アクセスした端末とwebサイト間の通信を暗号化するための情報が詰まっているのです。そのため、HTTPS通信(暗号化通信)を行うためにはSSL証明書が必ず必要なのです。 実は、インターネット社会全体として「WebサイトへのアクセスはHTTPS通信(暗号化通信)を利用したアクセスを必須にしよう」という考え方が広がってきています。 例えば近年利用者が増えている
こんにちは。 熊本事務所のSです。 先日、社内イントラネットに立てているIISサーバに対して、SSL証明書を設定する機会がありました。 今回は、そのSSL証明書の作成からIISサーバへ設定するまでの手順を紹介します。 SSL証明書を発行できる認証局はいくつかありますが、今回はLet’s Encryptを選択しました。 Let’s Encryptの主な特徴は以下の通りです。 ・無料で証明書を発行できる。 ・HTTPによるドメイン認証に対応している。 ・DNSによるドメイン認証に対応している。 今回SSL証明書は、外部に公開しない社内用サーバに適用する必要がありました。 このため、認証局からのドメイン所有確認でHTTPによる認証方法では、 認証局から社内用サーバにはアクセスできないため認証に失敗します。 DNSについてはAmazon Route 53に設定済みだったため、DNSによる認証方法を
CloudFrontに、お名前.comで用意したドメインを割り当て、AWSで作成したSSL証明書を適用してHTTPS化したいと思います。 なお注意点として、CloudFrontで利用するSSL証明書は、どのリージョンでサービスを提供するかに関わらず、米国東部 (バージニア北部) リージョン us-east-1にて作成します 独自ドメインおよびSSL証明書の設定手順ACMでSSL証明書の作成SSL証明書のリクエストまず最初にSSL証明書を作成します。 画面上部検索窓 [ Certificate Manager ] で検索 → 当該サービスをクリックします。 画面右上の リージョン選択のプルダウンで 米国東部 (バージニア北部)us-east-1を選択後、画面下の [ いますぐ始める ] を押下します。次の画面から順次、以下を入力してください。 証明書のリクエスト[ パブリック証明書のリクエス
いまやWebサイトの常時SSL化が必須な時代です。SSL証明書のないWebサイトでは、Chromeは警告を表示し、Google検索でも表示順位に影響がでます。AWSを利用してWebサイトを開設している場合、常時SSL化された安全なWebサイトを作成するにはどうすればよいのでしょうか? ここでは、AWSでSSL証明書を利用しサイトを常時SSL化(HTTPS化)を実現する方法についてご紹介します。 SSLとは? SSL(Secure Sockets Layer)とはインターネット上のデータ通信を暗号化する技術です。 SSLとTLSの違い SSLの脆弱性を解決するため改良されて生まれたのが、SSLの次世代規格となるTLS(Transport Layer Security)になります。TLSは一般的な名称をSSLからTLSに差し替えられることはありませんでした。現在、通称SSLと呼ばれていても実質
この記事について Ubuntu+Nginxの環境(サーバはさくらVPSを使用)でLet's Encryptを使用して、コストをかけずにSSL証明書を発行してhttps通信を行いましたので、設定手順を記録として残したいと思います。 対象読者 独自ドメインに対してSSL通信を可能としたい方 コストをかけずにSSL証明書を発行したい方 (サーバの用意・OSのインストールは完了しているものとします。) 環境 $ cat /etc/os-release NAME="Ubuntu" VERSION="20.04.1 LTS (Focal Fossa)" PRETTY_NAME="Ubuntu 20.04.1 LTS" VERSION_ID="20.04" $ certbot --version certbot 0.40.0 $ nginx -v nginx version: nginx/1.18.0
はてなブログproを申込むと、"今ならお名前.comでドメイン無料〜"の嬉しいお知らせ。 早速手順通りに申し込んで設定とか何やらを済ませ、あとは記事作成に励むばかりと思っていたのでした。 私自身、お名前.comを利用して、ブロガーさんたちの広告にも「お名前.com」さんを良く見かけるので、何というか言いにくいのですけれども。 まず驚いたのが、お知らせメールが朝6時から1日当たり20通は来るでしょうか。 今は配信停止の設定をしたのでほっとしています。 中には気になる「更新を忘れないように自動更新設定」というメールがあったので、忘れることに自信のある私はすぐに設定をしました。 そうしたら、即!更新手続きのメールが届いた! え!? 1年コースで申し込んだ当日に、更にもう1年分の自動更新がされて支払い済みになっているではないか。 初めての方は十分気を付けてください。 私がちゃんと調べなかったのが悪
Windows Server に関連して、IIS や ADFS (Active Directory Federation Service) を立てて検証する時に、Posh-ACME を利用して Let's Encrypt の証明書を取得しているので、自分が作業しやすいようにメモの吐き出しです。 Posh-ACME とは? rmbolger/Posh-ACME: ACME protocol client for obtaining certificates using Let's Encrypt https://github.com/rmbolger/Posh-ACME 端的に言うと PowerShell で実行できる ACME クライアント Windows系でSSL証明書が必要になった際に、これでサクッと取得/インポート出来るので良く使ってます。 使い方 正確なところは上記 GitHub
はじめに Let's Encrypt の証明書を入手・更新するためのcertbotコマンドには以下のモードがあります。 webroot standalone apache nginx manual Getting certificates (and chosing plugins) 証明書を入手・更新するときにはいずれかのモードを指定します。 webrootはそのドメインで稼働しているサイトのwebroot(サーバのパス)を指定します。例えば example.com が /var/www/html 以下のHTMLファイルを配信しているとしたらwebrootは /var/www/html になります。 standaloneはWebサーバを停止した状態で実行します。webrootを指定する必要はありませんが、サーバを一時的に停止させなければいけません。 apacheはWebサーバとしてApac
環境 取得ドメイン元: お名前.com DNS: Route53 サブドメイン: 元ドメインのホストゾーンにサブドメイン用のAレコードを追加 やりたかったこと 以下のような2階層のサブドメインに対応したSSL証明書を1枚で発行したかった。 example.com api.example.com stage.example.com api.stage.example.com 上記を達成するために*.*.exmaple.comをACMに登録しようとしましたが、AWSさんに怒られます。 公式ドキュメントにもこのような要件への対応は不可能みたいなことが書かれていますね。 残念ですが、ACMでは「SSLに対してアスタリスクを2つ付けるのは不可能」のようです。 ただし、「1階層目のサブドメインを個別で指定してあげる方法」であれば解決できます。 そこで以下に2つの解決方法を掲載します。 解決法1: ex
最近はインターネット上で買い物を行うことも珍しくなく、その際の決済はクレジットカード情報を入力し、商品の送り先も自宅の住所を入力すれば商品が手元に届きます。 とても便利な仕組みではあるのですが、同時に悪意のある人間やハッカーなどによるデータの盗み取りや改ざんの危険性もはらんでいる仕組みでもあります。 これはECサイトではない一般のWebサイトやブログであっても同様の危険性がある問題なのです。 ユーザーが安心安全に情報通信を行うためにもWebサイトやブログもセキュリティに気を配る必要があり、これを解決する技術としてSSLという機能があります。 多くのレンタルサーバーではセキュリティについてすでに充分な考慮と対応がなされていますが、SSLはWebサイトやブログの管理者であるあなた自身が申請、設定を行わなければなりません。 ぜひこの記事を読んでSSLについて理解するとともに、SSLを導入してさら
こんばんは。 ブログをやっていたり、ウェブサイトの開発をしていると、SSL化が重要ですよね。 そして期限付きのSSL証明書を取得している場合、あとどれくらいSSL証明書の期間が残っているか、そして期限が切れていないか、気になるところですよね。 しかし、ウィルス対策ソフトを入れていると、ブラウザで簡単に証明書の情報を見ることができません。ウィルス対策ソフトの方で、通信の監視をしてくれているからです。 ウィルス対策ソフトの方でいったんサーバーからの情報を検閲しているため、ブラウザまでの通信に関しては、改めてウィルス対策ソフトのSSL証明書を利用しているのです。 この記事では、ESETという私が使っているウィルス対策ソフトで、ブラウザでウェブサーバーが使っている生の証明書情報を確認できるように、ウィルスソフトのSSL監視設定を変更する手順を説明します。 ブラウザの証明書情報がウィルス対策ソフトに
SSL証明書の失効・無効化とは? SSL証明書の失効と聞いて、まず思い浮かべるのはSSL証明書の「有効期限切れ」という方が多いのではないでしょうか?しかしながら、有効期間内でもSSL証明書が突然使えなくなることがあります。今回はSSL証明書の失効・無効化についてご紹介します。 失効した場合どうなるのか? SSLサーバー証明書(以下、SSL証明書)は一定の有効期間が設けられています。有効期間が過ぎたSSL証明書を利用し続けた場合、安全ではないSSL証明書と見なされてサイトにアクセスしてもエラーが表示されます。一般的には有効期間終了による失効・無効化と言われており、英語ではexpired(有効期限切れ)、invalid(無効な)などと表現されます。 Chromeブラウザで有効期限切れのサイトにアクセスした場合、上記の画面が表示されます。 Firefoxブラウザでアクセスした場合は上記の画面が表
いわさです。 Azure API Managementでカスタムドメインを構成する際に、従来は外部証明書をアップロードしていたと思いますが、先日からAzureマネージドな証明書が無料で利用出来るようになっていました。 この機能は本日時点でパブリックプレビューです 使ってみる 東日本リージョンのDeveloper Tierで試してみました。 Developerで使えるのも嬉しいですね。 まずはカスタムドメインを追加するのですが、その前に作成したサービスがアクティブ化されるまで待ちましょう。 アクティブ化中に作成しようとするとCNAMEレコードが取得出来ないです。 Developer Tierだと数十分時間がかかりました。気長に待ちましょう。 アクティブが完了すると、完了メールが送信されます。 その後、カスタムドメインの登録を行います。 カスタムドメインの作成時はゲートウェイタイプを選択し、証
前回の続き。備忘録。 Jenkins から curl で Google Chat に通知する - kntmr-blog しばらくは問題なく動作していたが、いつ頃からか Jenkins から curl を実行したところで以下のようなエラーが出るようになった。 curl: (35) schannel: next InitializeSecurityContext failed: Unknown error (0x80092013) - 失効サーバーがオフラインのため、失効の関数は失効を確認できませんでした。 SSL 証明書の失効チェックができてないっぽい? 次のどちらかのオプションで回避する。セキュリティ的にはよろしくないかもだけど、社内の限定的な範囲でしか使わないのでよしとする。 --ssl-no-revoke: SSL 証明書の失効チェックを無効にする (Windows のみ) -k, -
Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article?
SSL証明書のドメイン認証とは SSLサーバー証明書(以下、SSL証明書)を購入した際、「認証ファイル」という意味不明な文字列が記載されたファイルを受け取り、言われるがままそれを指定されたフォルダにアップロードした方が多いと思います。なぜSSL証明書にはこのような認証が必要なのでしょうか?その理由は、SSL証明書の役割の1つである「ドメインのなりすまし防止」に関係があります。 例えば、「example.jp」というサイトにSSL証明書を発行する場合、まず購入したユーザーや組織が「example.jp」というドメインを本当に所有しているのかを確認する必要があります。この所有者確認は、信頼された第三者機関である「認証局」が行っています。 さくらのSSLでSSL証明書を購入した場合、当社から認証ファイルが送付されますが、実は当社が認証局から受け取り、それをお客様へ転送しています。このドメイン認証
OverviewAppleは、SSL/TLS証明書の有効期間を398日からわずか45日へ短縮するという革新的な提案をしました。この変更についてシステム管理者たちは、業務の増加や管理の複雑さに対する不安を抱えています。さらに、この動きはGoogleなどの大手企業の間に見られる広がるトレンドを反映しており、サイバーセキュリティの新しいアプローチを示しています。 提案の影響:破壊的変化アメリカにおいて、Appleが提案した大革新が、多くの議論を呼んでいます。その内容は、SSL/TLSセキュリティ証明書の有効期間を398日から2027年までにわずか45日まで短縮しようというものです。この大胆な変更は、ITインフラを管理するシステム管理者たちにとって、非常に衝撃的です。例えば、多くの管理者はSNSで懸念を表明し、ある者は「これは本当に大変なことになる」と語っています。頻繁な更新が求められることで、業
Lightsail インスタンスでホストされている Bitnami スタックの Let's Encrypt SSL 証明書を更新する方法を教えてください。 簡単な説明 Let's Encrypt SSL 証明書は、作成後 90 日で有効期限が切れます。「Lightsailでホストされている Bitnami スタックにLet's Encrypt SSL証明書をインストールする方法を教えてください。」に記載されている手順に従って標準の Let's Encrypt 証明書をインストールした場合、SSL 証明書は自動的に更新されます。ただし、正しく設定されていないと、自動更新が失敗する可能性があります。 「Amazon Lightsail でホストされている Bitnami スタックにワイルドカードの Let's Encrypt SSL 証明書をインストールする方法を教えてください。」の方法 2
はじめに Knile(発音は "ナイル")という、リクルートのデータ利活用基盤のチームでアプリケーション開発、SRE をやっている多田です。 Knile とは、以前 CET と呼ばれていたチームが開発するデータ利活用基盤です。 以下の過去記事が関連するシステムになります。 Jupyter だけで機械学習を実サービス展開できる基盤 Istio で実現する A/B テスト基盤 Knile はかつて「株式会社リクルートライフスタイル」所属のプロダクトでしたが、2021年4月の組織改編 により「全社横断」としての役割も期待されており、活用シーンの多様化と要求されるシステム性能のバランスにうれしい悲鳴をあげています。 この記事では、Knile のコンポーネントの1つである「Knile API」の SSL 証明書を変更した経緯やその際に検討・考慮したことを共有します。 目次 Knile API とは?
ACMで「*.*.example.com」のような2階層サブドメインのワイルドカードSSL証明書を作りたかったAWSroute53acm 環境 取得ドメイン元: お名前.com DNS: Route53 サブドメイン: 元ドメインのホストゾーンにサブドメイン用のAレコードを追加 やりたかったこと 以下のような2階層のサブドメインに対応したSSL証明書を1枚で発行したかった。 example.com api.example.com stage.example.com api.stage.example.com 上記を達成するために*.*.exmaple.comをACMに登録しようとしましたが、AWSさんに怒られます。 公式ドキュメントにもこのような要件への対応は不可能みたいなことが書かれていますね。 残念ですが、ACMでは「SSLに対してアスタリスクを2つ付けるのは不可能」のようです。 ただ
はじめに この記事では、dockerのnginxコンテナを使ったwebサイトのhttps化手順をまとめています。 dockerコンテナと、let's encryptを使ってサイトのhttps化を目指している方の参考になれば幸いです。 また、自身の知識の整理のためにssl証明書について冒頭でまとめていますが、既にご存じの方は3. ssl証明書の取得手順までスキップしてください。(もし知識の浅い部分があればご指南いただけると嬉しいです。) 筆者の開発環境 サーバ: ubuntu 20.04 nginx (docker) 目次 1. ssl証明書の目的 2. let's encryptについて 3. ssl証明書の取得手順 4. ssl証明書の更新方法 5. おわりに 1. ssl証明書の目的 結論から言うと、ssl証明書の目的は webサイトの通信を暗号化してセキュリティを高めることです。 暗
本記事は Google Cloud Platform Advent Calendar 2020 の 12日目です。 GCP にはマネージドの SSL 証明書が HTTPS ロードバランサでサポートされています。 blog.jicoman.info マネージドであれば SSL 証明書の管理や更新を GCP でやってくれるので大変便利ですが、要件によってはセルフマネージド(自分で SSL 証明書を購入して更新する)が必要になる場合があります。例えば以下の場合です。 内部 HTTPS ロードバランサで SSL 証明書を使いたい場合 ワイルドカード SSL 証明書を使いたい場合 組織認証(OV)、拡張認証(EV)証明書を使いたい場合 GCP でセルフマネージド SSL 証明書を更新するのが意外と手間だったのでその手順についてまとめました。今回はワイルドカード SSL 証明書を発行して、外部 HTT
IPアドレスでアクセスする場合やマルチドメイン用のSSL証明書の場合は、証明書検証時に Subject Alternative Name (SAN) もチェックされるのでこれを含む証明書を作成する必要がある。 開発時に利用するオレオレ証明書を作成する場合に利用できるシェルを作成したみた。 ※(注記)以下、CAは利用せずに自己署名している。 CAを利用する場合は Javaでhttps通信時の証明書検証について などを参照。 make_ip_cert.sh #!/bin/bash IP_ADDRESS=192.168.0.12 SERVER_NAME=$IP_ADDRESS rm -rf *.key rm -rf *.csr rm -rf *.crt cat <<_MY_CONF_ > mycert.cnf [ req ] default_bits = 2048 default_md = sha256
以前、ssl証明書の期限切れ監視について、 mackerelで実装して行きましたが、 Datadogでも、SSL証明書の期限を監視できるようになので、 実装し比較した結果です。 DataDogで行う場合の料金 Datadogには様々な料金プランがありますが 外形監視(SSL証明書の監視)のみを行う場合は、 「Datadog Synthtic Monitorling」のプランになります。 年間契約で 5ドル/month 単月契約で 7ドル.2/month です。 SSL証明書の監視を行うサービスとしては、 なかなか手軽な金額ではないでしょうか。 注意する点としては、 1万リクエスト/month の制限があります。 SSL証明書の監視であれば 1日1回程度のリクエストで問題ないため、気にならないですが url監視など1分に1回リクエストを送る必要があるなどの場合は、 このプランでは厳しそうですね。
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く