Home » » 暗号化しましょう:TLS-SNI-01からの移行

暗号化しましょう:TLS-SNI-01からの移行

Let's Encryptは、Webサイトを保護するための証明書を生成する無料のサービスです。単一ドメインやワイルドカードなど、さまざまなタイプの証明書の生成をサポートしています。さら��、証明書を生成するためにドメインを認証する多くの方法があります。

  • http-01 (シンプルHTTP)
  • dns-01 (DNS検証)
  • tls-sni-01(自己署名証明書を使用した検証- 現在は非推奨

問題

残念ながら、脆弱性が2018年1月に発見され、事前の認証/承認なしでドメインの証明書を生成することが可能になりました。たとえば、実際には所有していないドメインの証明書が生成される可能性があります。

その直後、プロトコル(tls-sni-01)は廃止され、ほとんどの新しい発行(新しい証明書)は、プロトコルを使用した認証をブロックされました。

シンプルHTTPへの切り替え

http-01「シンプルHTTP」認証への切り替えは、かなり簡単です。を使用certbot-autoして証明書を生成している場合、Let's Encryptはすでに新しい証明書を生成しているか、次の「更新」時に自動的に生成します。

を使用している場合はcertbot、次の--preferred-challengeパラメータを使用する必要があります。

certbot (...) --prefered-challenge

これは、Let's Encryptにに切り替えるよう指示しhttp-01ます。

DNS検証への切り替え

この面倒な作業をすべて避けたい場合は、Let's EncryptのDNS検証を構成するのは比較的簡単です。を実行するときに、パラメーターとしてcertbot追加--preferred-challenges dnsします。

certbot -d example.com --manual --preferred-challenges dns

certbot 次のようなものが表示されます。

Please deploy a DNS TXT record under the name
_acme-challenge.example.com with the following value:

(random_string)

Once this is deployed,
Press ENTER to continue

DNSプロバイダーでレコードを追加したら、を押しますENTER。次に、証明書を自動的に更新するCRONジョブを設定する必要があります。DNS検証が使用されているのでhttp-01、(ポート80からポート443)の場合のようにリダイレクトを心配する必要はありません。


Tags: #Security #System Admin #Web Servers

Leave a Comment

FreeBSD 11.1にBlacklistdをインストールする方法

FreeBSD 11.1にBlacklistdをインストールする方法

FreeBSD 11.1におけるBlacklistdのインストール方法について詳しく解説します。この方法を通じて、強力なセキュリティ対策を実装できます。

DebianでのChrootのセットアップ

DebianでのChrootのセットアップ

この記事では、Debianでchroot jailをセットアップする方法を説明します。私はあなたがDebian 7.xを使っていると思います。Debian 6または8を実行している場合、これは機能する可能性があります、bu

Linux機能の操作

Linux機能の操作

はじめにLinux機能は、プロセスおよびバイナリ実行可能ファイルに通常の特定の特権を付与するLinuxカーネルの特別な属性です

Apache Web Serverを実行しているCentOS 7にSSLを暗号化してインストールする方法

Apache Web Serverを実行しているCentOS 7にSSLを暗号化してインストールする方法

はじめにこのチュートリアルでは、Apache WebサーバーにTLS / SSL証明書をインストールする手順を学習します。終了したら、すべてのトラフィック

MongoDBの保護

MongoDBの保護

MongoDBはデフォルトでは安全ではありません。MongoDBをインストールし、認証用に構成せずにMongoDBを起動する場合は、時間がかかります

Ubuntuにrkhunterをインストールする方法

Ubuntuにrkhunterをインストールする方法

Rkhunterは、Linuxサーバー上のルートキットを見つけるソフトウェアです。ルートキットはハッカーによってインストールされるため、サーバーに常にアクセスできます。このドキュメントでは、youll b

CentOS 6またはCentOS 7でマスター/クライアントモデルを使用するためのIcinga2の変更

CentOS 6またはCentOS 7でマスター/クライアントモデルを使用するためのIcinga2の変更

Icinga2は強力なモニタリングシステムであり、マスタークライアントモデルで使用すると、NRPEベースのモニタリングチェックの必要性を置き換えること���できます。マスタークリエン

Google認証システムを使用してUbuntu 14.04でSSHの2要素認証(2FA)を設定する方法

Google認証システムを使用してUbuntu 14.04でSSHの2要素認証(2FA)を設定する方法

別のシステムを使用していますか?SSHを介してサーバーにログインする方法はいくつかあります。メソッドには、パスワードログイン、キーベースのログイン、2つの要素が含まれます。

Apacheでmod_evasiveを有効にする

Apacheでmod_evasiveを有効にする

Mod_evasiveは、HTTP DoS攻撃またはブルートフォース攻撃が検出されたときに自動的にアクションを実行するApache用のモジュールです。Mod_evasiveは、

SSHキーを使用して非rootユーザーにログインする

SSHキーを使用して非rootユーザーにログインする

Vultrには、新しいインスタンスを作成するときにSSHキーをプレインストールできる機能があります。これにより、サーバーのrootユーザーにアクセスできますが、

Google Authenticatorを使用してCentOS 6でSSHの2要素認証(2FA)を設定する方法

Google Authenticatorを使用してCentOS 6でSSHの2要素認証(2FA)を設定する方法

SSHポートを変更し、ポートノッキングを設定し、SSHセキュリティのために他の調整を行った後、おそらくあなたを保護するもう1つの方法があるでしょう

CentOSへのLogjam攻撃からのNGINXの保護

CentOSへのLogjam攻撃からのNGINXの保護

さて、実際のところ、別のSSL脆弱性があります。技術的にはそれは実際には脆弱性ではなく、私たちが依存しているプロトコルの内部の単なる穴です

Ubuntu 16.04にOpenVAS脆弱性スキャナーをインストールする方法

Ubuntu 16.04にOpenVAS脆弱性スキャナーをインストールする方法

はじめにOpenVASは、脆弱性スキャンと脆弱性管理に使用できるオープンソーススイートです。Open Vulnerabilitの略

CentOS 7でSELinuxを無効にする方法

CentOS 7でSELinuxを無効にする方法

Security-Enhanced Linuxの略語であるSELinuxは、Linuxオペレーティングシステムのセキュリティ拡張機能です。多くのシステムをブロックするラベリングシステムです。

Ubuntu 16.04での自己署名TLS / SSL証明書を使用したApacheの設定

Ubuntu 16.04での自己署名TLS / SSL証明書を使用したApacheの設定

SSLとその後継であるTLS(Secure Sockets Layer / Transport Layer Security)は、クライアントとサーバーの間に暗号化の層を追加します。なしで

Ubuntu 14.04で複雑でないファイアウォール(UFW)を構成する

Ubuntu 14.04で複雑でないファイアウォール(UFW)を構成する

独自のサーバーを実行する場合、セキュリティは非常に重要です。承認されたユーザーのみがサーバー、構成、およびサービスにアクセスできるようにする必要があります。私

OpenBSD 6.1でLets Encryptを使用する

OpenBSD 6.1でLets Encryptを使用する

Letから独自の無料の有効なSSL証明書を取得できるようになったため、だれもが独自のSSL証明書を作成する必要がなくなりました。

Debian 9のNginxでTLS 1.3を有効にする方法

Debian 9のNginxでTLS 1.3を有効にする方法

別のシステムを使用していますか?はじめにTLS 1.3は、RFで提案された標準として2018年に公開されたトランスポート層セキュリティ(TLS)プロトコルのバージョンです。

IPFWとSSHGuardを使用したFreeBSDのセキュリティの強化

IPFWとSSHGuardを使用したFreeBSDのセキュリティの強化

VPSサーバーは侵入者の標的にされることがよくあります。一般的なタイプの攻撃は、何百もの不正なSSHログイン試行としてシステムログに表示されます。セットアップ

CentOS 7にApacheをインストールする方法

CentOS 7にApacheをインストールする方法

CentOS 7サーバーにApache 2.4をインストールする方法を説明します。安定したウェブサーバーを構築するための前提条件と手順を解説します。

FreeBSD 11.1にBlacklistdをインストールする方法

FreeBSD 11.1にBlacklistdをインストールする方法

FreeBSD 11.1におけるBlacklistdのインストール方法について詳しく解説します。この方法を通じて、強力なセキュリティ対策を実装できます。

Windows Serverのサーバーマネージャーを使用した複数サーバーの管理

Windows Serverのサーバーマネージャーを使用した複数サーバーの管理

サーバーマネージャーを使用して、Windows Serverの管理が向上します。セキュリティリスクを軽減し、効率的な管理を実現します。

CentOS 7にSeafileサーバーをインストールする方法

CentOS 7にSeafileサーバーをインストールする方法

CentOS 7にSeafileサーバーをインストールする方法。Seafile(コミュニティバージョン)は、ownCloudに似た無料のオープンソースファイル同期および共有ソリューションです。

DebianでSnortを設定する方法

DebianでSnortを設定する方法

Snortは無料のネットワーク侵入検知システムです。最新の方法で、SnortをDebianにインストールし、設定する手順を紹介します。ネットワークのセキュリティを強化しましょう。

CentOS 7にGraylogサーバーをインストールする方法

CentOS 7にGraylogサーバーをインストールする方法

CentOS 7にGraylogサーバーをインストールし、ログ管理を行う方法を学びます。

WindowsでhMailServerを使用してメールサーバーを構築する

WindowsでhMailServerを使用してメールサーバーを構築する

WindowsサーバーでWebサイトを実行している場合、電子メールも受信できるようにするためにhMailServerを使用する方法を解説します。

Ubuntu 19.04にFiveMサーバーをインストールする方法

Ubuntu 19.04にFiveMサーバーをインストールする方法

FiveMサーバーをUbuntu 19.04にインストールするための詳細なガイド。必要条件からインストール、起動、トラブルシューティングまで、すべてのステップを含みます。

WsgiDAVを使用してDebian 10にWebDAVをデプロイする

WsgiDAVを使用してDebian 10にWebDAVをデプロイする

Debian 10にWebDAVをデプロイする方法を学び、WsgiDAVとSSL証明書で安全な接続を実現しましょう。

ヘルスケア2021における人工知能の影響

ヘルスケア2021における人工知能の影響

ヘルスケアにおけるAIは、過去数十年から大きな飛躍を遂げました。したがって、ヘルスケアにおけるAIの未来は、日々成長を続けています。