Home » » 暗号化しましょう:TLS-SNI-01からの移行

暗号化しましょう:TLS-SNI-01からの移行

Let's Encryptは、Webサイトを保護するための証明書を生成する無料のサービスです。単一ドメインやワイルドカードなど、さまざまなタイプの証明書の生成をサポートしています。さら��、証明書を生成するためにドメインを認証する多くの方法があります。

  • http-01 (シンプルHTTP)
  • dns-01 (DNS検証)
  • tls-sni-01(自己署名証明書を使用した検証- 現在は非推奨

問題

残念ながら、脆弱性が2018年1月に発見され、事前の認証/承認なしでドメインの証明書を生成することが可能になりました。たとえば、実際には所有していないドメインの証明書が生成される可能性があります。

その直後、プロトコル(tls-sni-01)は廃止され、ほとんどの新しい発行(新しい証明書)は、プロトコルを使用した認証をブロックされました。

シンプルHTTPへの切り替え

http-01「シンプルHTTP」認証への切り替えは、かなり簡単です。を使用certbot-autoして証明書を生成している場合、Let's Encryptはすでに新しい証明書を生成しているか、次の「更新」時に自動的に生成します。

を使用している場合はcertbot、次の--preferred-challengeパラメータを使用する必要があります。

certbot (...) --prefered-challenge

これは、Let's Encryptにに切り替えるよう指示しhttp-01ます。

DNS検証への切り替え

この面倒な作業をすべて避けたい場合は、Let's EncryptのDNS検証を構成するのは比較的簡単です。を実行するときに、パラメーターとしてcertbot追加--preferred-challenges dnsします。

certbot -d example.com --manual --preferred-challenges dns

certbot 次のようなものが表示されます。

Please deploy a DNS TXT record under the name
_acme-challenge.example.com with the following value:

(random_string)

Once this is deployed,
Press ENTER to continue

DNSプロバイダーでレコードを追加したら、を押しますENTER。次に、証明書を自動的に更新するCRONジョブを設定する必要があります。DNS検証が使用されているのでhttp-01、(ポート80からポート443)の場合のようにリダイレクトを心配する必要はありません。


Tags: #Security #System Admin #Web Servers

Leave a Comment

FreeBSD 11.1にBlacklistdをインストールする方法

FreeBSD 11.1にBlacklistdをインストールする方法

はじめにインターネットに接続されているすべてのサービスは、ブルートフォース攻撃または不当なアクセスの潜在的なターゲットです。fail2baのようなツールがあります

DebianでのChrootのセットアップ

DebianでのChrootのセットアップ

この記事では、Debianでchroot jailをセットアップする方法を説明します。私はあなたがDebian 7.xを使っていると思います。Debian 6または8を実行している場合、これは機能する可能性があります、bu

Linux機能の操作

Linux機能の操作

はじめにLinux機能は、プロセスおよびバイナリ実行可能ファイルに通常の特定の特権を付与するLinuxカーネルの特別な属性です

Apache Web Serverを実行しているCentOS 7にSSLを暗号化してインストールする方法

Apache Web Serverを実行しているCentOS 7にSSLを暗号化してインストールする方法

はじめにこのチュートリアルでは、Apache WebサーバーにTLS / SSL証明書をインストールする手順を学習します。終了したら、すべてのトラフィック

MongoDBの保護

MongoDBの保護

MongoDBはデフォルトでは安全ではありません。MongoDBをインストールし、認証用に構成せずにMongoDBを起動する場合は、時間がかかります

Ubuntuにrkhunterをインストールする方法

Ubuntuにrkhunterをインストールする方法

Rkhunterは、Linuxサーバー上のルートキットを見つけるソフトウェアです。ルートキットはハッカーによってインストールされるため、サーバーに常にアクセスできます。このドキュメントでは、youll b

CentOS 6またはCentOS 7でマスター/クライアントモデルを使用するためのIcinga2の変更

CentOS 6またはCentOS 7でマスター/クライアントモデルを使用するためのIcinga2の変更

Icinga2は強力なモニタリングシステムであり、マスタークライアントモデルで使用すると、NRPEベースのモニタリングチェックの必要性を置き換えること���できます。マスタークリエン

Google認証システムを使用してUbuntu 14.04でSSHの2要素認証(2FA)を設定する方法

Google認証システムを使用してUbuntu 14.04でSSHの2要素認証(2FA)を設定する方法

別のシステムを使用していますか?SSHを介してサーバーにログインする方法はいくつかあります。メソッドには、パスワードログイン、キーベースのログイン、2つの要素が含まれます。

Apacheでmod_evasiveを有効にする

Apacheでmod_evasiveを有効にする

Mod_evasiveは、HTTP DoS攻撃またはブルートフォース攻撃が検出されたときに自動的にアクションを実行するApache用のモジュールです。Mod_evasiveは、

SSHキーを使用して非rootユーザーにログインする

SSHキーを使用して非rootユーザーにログインする

Vultrには、新しいインスタンスを作成するときにSSHキーをプレインストールできる機能があります。これにより、サーバーのrootユーザーにアクセスできますが、

Google Authenticatorを使用してCentOS 6でSSHの2要素認証(2FA)を設定する方法

Google Authenticatorを使用してCentOS 6でSSHの2要素認証(2FA)を設定する方法

SSHポートを変更し、ポートノッキングを設定し、SSHセキュリティのために他の調整を行った後、おそらくあなたを保護するもう1つの方法があるでしょう

CentOSへのLogjam攻撃からのNGINXの保護

CentOSへのLogjam攻撃からのNGINXの保護

さて、実際のところ、別のSSL脆弱性があります。技術的にはそれは実際には脆弱性ではなく、私たちが依存しているプロトコルの内部の単なる穴です

Ubuntu 16.04にOpenVAS脆弱性スキャナーをインストールする方法

Ubuntu 16.04にOpenVAS脆弱性スキャナーをインストールする方法

はじめにOpenVASは、脆弱性スキャンと脆弱性管理に使用できるオープンソーススイートです。Open Vulnerabilitの略

CentOS 7でSELinuxを無効にする方法

CentOS 7でSELinuxを無効にする方法

Security-Enhanced Linuxの略語であるSELinuxは、Linuxオペレーティングシステムのセキュリティ拡張機能です。多くのシステムをブロックするラベリングシステムです。

Ubuntu 16.04での自己署名TLS / SSL証明書を使用したApacheの設定

Ubuntu 16.04での自己署名TLS / SSL証明書を使用したApacheの設定

SSLとその後継であるTLS(Secure Sockets Layer / Transport Layer Security)は、クライアントとサーバーの間に暗号化の層を追加します。なしで

Ubuntu 14.04で複雑でないファイアウォール(UFW)を構成する

Ubuntu 14.04で複雑でないファイアウォール(UFW)を構成する

独自のサーバーを実行する場合、セキュリティは非常に重要です。承認されたユーザーのみがサーバー、構成、およびサービスにアクセスできるようにする必要があります。私

OpenBSD 6.1でLets Encryptを使用する

OpenBSD 6.1でLets Encryptを使用する

Letから独自の無料の有効なSSL証明書を取得できるようになったため、だれもが独自のSSL証明書を作成する必要がなくなりました。

Debian 9のNginxでTLS 1.3を有効にする方法

Debian 9のNginxでTLS 1.3を有効にする方法

別のシステムを使用していますか?はじめにTLS 1.3は、RFで提案された標準として2018年に公開されたトランスポート層セキュリティ(TLS)プロトコルのバージョンです。

IPFWとSSHGuardを使用したFreeBSDのセキュリティの強化

IPFWとSSHGuardを使用したFreeBSDのセキュリティの強化

VPSサーバーは侵入者の標的にされることがよくあります。一般的なタイプの攻撃は、何百もの不正なSSHログイン試行としてシステムログに表示されます。セットアップ

ヘルスケア2021における人工知能の影響

ヘルスケア2021における人工知能の影響

ヘルスケアにおけるAIは、過去数十年から大きな飛躍を遂げました。したがって、ヘルスケアにおけるAIの未来は、日々成長を続けています。

macOS Catalina 10.15.4サプリメントの更新により、解決するよりも多くの問題が発生しています

macOS Catalina 10.15.4サプリメントの更新により、解決するよりも多くの問題が発生しています

最近、Appleは問題を修正するための補足アップデートであるmacOS Catalina 10.15.4をリリースしましたが、このアップデートにより、Macマシンのブリックにつながる問題がさらに発生しているようです。詳細については、この記事をお読みください

原子力が必ずしも悪ではないことを証明する5つの例

原子力が必ずしも悪ではないことを証明する5つの例

原子力は、過去の出来事のために私たちが決して尊重しないことを常に軽蔑していますが、それは必ずしも悪ではありません。詳細については、投稿をお読みください。

AIはどのようにしてプロセス自動化を次のレベルに引き上げることができますか?

AIはどのようにしてプロセス自動化を次のレベルに引き上げることができますか?

これを読んで、人工知能が小規模企業の間でどのように人気を博しているか、そして人工知能がどのように成長し、競合他社に優位に立つ可能性を高めているかを理解してください。

ジャーナリングファイルシステムとは何ですか、そしてそれはどのように機能しますか?

ジャーナリングファイルシステムとは何ですか、そしてそれはどのように機能しますか?

私たちのコンピューターは、ジャーナリングファイルシステムと呼ばれる組織化された方法ですべてのデータを保存します。これは、検索を押すとすぐにコンピューターがファイルを検索して表示できるようにする効率的な方法です。https://wethegeek.com/?p = 94116&preview = true

ビッグデータは人工知能をどのように変えていますか?

ビッグデータは人工知能をどのように変えていますか?

ビッグデータと人工知能は流行語ですが、それらがどのように相互に関連しているか知っていますか?さて、この記事を最後まで読んで、同じことを知ってください。

LiteCartショッピングカートプラットフォームをUbuntu 16.04にインストールする方法

LiteCartショッピングカートプラットフォームをUbuntu 16.04にインストールする方法

LiteCartは、PHP、jQuery、およびHTML 5で記述された無料のオープンソースのショッピングカートプラットフォームです。シンプルで軽量、使いやすいeコマースソフトウォー

DebianでNFS共有をセットアップする

DebianでNFS共有をセットアップする

NFSはネットワークベースのファイルシステムであり、コンピューターはコンピューターネットワークを介してファイルにアクセスできます。このガイドでは、NFを介してフォルダーを公開する方法について説明します

Fedora 28にMatomo Analyticsをインストールする方法

Fedora 28にMatomo Analyticsをインストールする方法

別のシステムを使用していますか?Matomo(旧Piwik)は、Google Analyticsのオープンな代替手段であるオープンソースの分析プラットフォームです。Matomoのソースはoでホストされています

UbuntuでNginxをセットアップしてライブHLSビデオをストリーミングする

UbuntuでNginxをセットアップしてライブHLSビデオをストリーミングする

HTTPライブストリーミング(HLS)は、Apple Inc.によって実装された非常に堅牢なストリーミングビデオプロトコルです。HLSは、ファイアウォール、プロキシ、