当サイトのSSLのセキュリティーはQualsysのテストサイトによると,”Grade A”ということで安心しました.一番上は”A+”ですが,まあよしとします.
時代はIPv6 + SSLです.
Category: Network
Let’s Encryptの証明書update
早いもので,最初にLet’s Encryptを導入した,私が管理するサイトの証明書の有効期限まであと19日だというメールが,Let’s Encryptのシステムから来ました.
そこで,以前調べた,
certbot renew
を実行しましたがエラーが出ます.ネット検索してもこれだっ! ていう解決策は見つからず,どうしようか迷っていました.
まだ19日あるんですが,それまでずるずると解決策を探して試みるのも嫌なので,即決すべく,もう少し検索をしてみたところ,renewにこだわらず,新規に証明書を得た時の方法をもう一度実行すれば良いのだ,という情報を得ました.
で,そのようにしてみました.新しい証明書は,ファイル名に2が付いて,古い証明書に上書きされることもありません.
当サイトはそのサイトより少し遅れてLet’s Encryptを導入したのでまだ1か月くらいは余裕があるはずなのですが,ずらして更新するのもめんどくさいので,続けて,同じく新規に得る手続きで,更新しました.
自動upgradeは失敗
SSLに切り替えて,特に大きな問題もなく,順調かなと思っていましたが,一点うまくいかなくなったのが,WordPress本体の自動upgradeです.
WordPress 4.7がリリースされていましたが,これまでのように自動でupgradeはされていませんでした.
httpdのログに不可解なエラーメッセージが出ていて,ネット検索しても,すっきりくる答えはありません.たぶん本件に関連しているんじゃないかと思います.
URLが変更になったことがエラーの原因でしょうね.
とりあえず,手動でupgradeしました.今後,うまく自動でupgradeしてくれると良いんですが.
関連記事
当サイトの完全SSL化予定
Let’s Encryptにして,ブライベートなWeb server機能,メール関係,LDAP等を試してきました.
Web serverに関しては問題ないようなので,当BLOGとメインページもSSL化することにしました.
記事内の自分のサイトへのリンクを全部書き換えるのがちょっと面倒ですが,一応手順の目処は立ったので,この週末くらいに実施したいと思います.
関連記事
- SlackwareでLet’s Encryptは難しいけどなんとかなった模様^^;
- Let’s Encrypt 導入予定
- ドメインを買うしかなさそう
- Let’s Encryptの証明書取得に成功
- Let’s Encrypt導入状況
- 当サイトの完全SSL化予定
- SSLにスイッチしました
Let’s Encrypt導入状況
さて,Let’s EncryptによるSSLの運用は,まずまずです.一番手こずったというか,今も完全には機能していないのがLDAPです.
- IPv4では,SSL接続がうまくいく(以下,特に注釈なければSSL接続です)
- 家庭内LANからも外部からも接続できる1ただし,いずれの接続も第三者に対してはiptablesで制限かけてます.
- IPv6では,同じマシン::12Slackware64.からの接続は,SSL接続でうまくいく
- iPhoneからは,家庭内LANのIPv6でも,外部からのIPv4からも接続できる
- ただし,検索には20秒くらいかかる
- iPadからは,同じ設定でも家庭内LANのIPv6でつながらない
- PCからは,Thunderbirdのアドレス帳によりIPv4で接続した時のみ接続できる.
- Macの”連絡先”は,家庭内LAN内のIPv6, 外部からのIPv4,いずれもつながらない
- ただし,この”連絡先”も,SSLを外すとちゃんと機能する
- 同じMacからldapbrowserを使うと,IPv4ではつながるがIPv6ではつながらない(SSL on)
- iPhoneからは,家庭内LANのIPv6でも,外部からのIPv4からも接続できる
という,状況です.アプリケーションの相性と,tcp-wrapperの特性とかあるようで,ちっとも解りません.もうちょっと条件を整理しないといけないですね.
関連記事
- SlackwareでLet’s Encryptは難しいけどなんとかなった模様^^;
- Let’s Encrypt 導入予定
- ドメインを買うしかなさそう
- Let’s Encryptの証明書取得に成功
- Let’s Encrypt導入状況
- 当サイトの完全SSL化予定
- SSLにスイッチしました