https://www.bravotouring.com/~yano/archives/2014/12/08/ Recent content in 2014/12/08 on Yano's digital garage Hugo en-us Mon, 08 Dec 2014 11:32:16 +0900 https://www.bravotouring.com/~yano/diary/it/20141208startssl.htm Mon, 08 Dec 2014 11:32:16 +0900 https://www.bravotouring.com/~yano/diary/it/20141208startssl.htm <p><a href="https://www.bravotouring.com/~yano/diary/it/20140509startssl.htm">5月に導入</a>した<a href="https://www.startssl.com/">StartSSL</a>の続編。</p> <table align="right" class="Panorama"> <tr> <td><img alt="この接続ではプライバシーが保護されません(NET:ERR_CERT_AUTHORITY_INVALID)" src="https://www.bravotouring.com/~yano/images/2014/20141208ssl.jpg"/></td> </tr> <tr> <td class="PhotoMemo">この接続ではプライバシーが保護されません</td> </tr> </table> <p>Nexus 5のChromeブラウザからアクセスすると「この接続ではプライバシーが保護されません」という警告が出る。ERR_CERT_AUTHORITY_INVALIDという事なので、<a href="https://www.startssl.com/">StartSSL</a>のサーバSSL証明書を発行した「StartCom Class 1 Primary Intermediate Server CA」を知らないので信頼できないと仰せらしい。</p> <p>取り敢えず、<a href="http://www.startssl.com/certs/">Index of /certs</a>から「サーバ用中間CA」の証明書<a href="http://www.startssl.com/certs/sub.class1.server.ca.crt">sub.class1.server.ca.crt</a>をダウンロードした後、Google Driveにアップロード。<a href="https://support.google.com/nexus/answer/2844832?hl=ja">証明書を管理する</a>に従って、<blockquote cite="https://support.google.com/nexus/answer/2844832?hl=ja">設定アイコン > [ユーザー設定] > [セキュリティ] > [認証情報ストレージ] > [ストレージからのインストール] </blockquote>てな具合にインストールすれば良い。</p> <p>でもSSLCertificateFileには「StartCom Class 1 Primary Intermediate Server CA」の中間証明書も結合したのを置いているので大丈夫なはず。現に<a href="https://www.bravotouring.com/~yano/it/20141114ipadmini.htm">先月調達したiPad mini 2</a>では中間証明書のインストール抜きでもOKなのだけれど、なぜAndroidではうまくいかないのかな…</p> <p>てな具合になかなか一筋縄ではいかないのがSSL。何かにつけて罠があったりいろいろと面倒が多いので、<a href="https://www.bravotouring.com/~yano/diary/it/20141120letsencrypt.htm">Let's Encrypt プロジェクト</a>の「2015 年の第二四半期の運用開始」が前倒しになるよう応援したい。</p> <p>【12/17追記】<blockquote class="Log"># cd /usr/share/ca-certificates/startssl/<br/># cat sub.class1.server.ca.pem startssl.ca.pem > server-ca.crt<br/># ln -s /usr/share/ca-certificates/startssl/server-ca.crt /etc/ssl/certs/server-ca.crt</blockquote>という具合に「StartCom Class 1 Primary Intermediate Server CA」の中間証明書と「StartCom Certification Authority」のルート証明書を結合した<span class="Path">/etc/ssl/certs/server-ca.crt</span>を作成し、<span class="Path">/etc/apache2/sites-available/mail.bravotouring.com.conf</span>の「SSLCertificateChainFile」で指定する事でNexus 5のChromeブラウザでも警告が出ないようになった。</p> <p class="Reference">【参照】 <br/>●INTERNET Watch <a href="http://internet.watch.impress.co.jp/">http://internet.watch.impress.co.jp/</a> <br/>┣<a href="http://internet.watch.impress.co.jp/docs/news/20141119_676866.html">証明書を無料で発行、HTTPSの導入を支援する「Let's Encrypt」2015年夏開始</a> 2014年11月19日 <br/>┗<a href="http://internet.watch.impress.co.jp/docs/column/shimizu/20141208_678715.html">【清水理史の「イニシャルB」】 HTTPSでデータを納品したい！　StartComの無料SSLサーバー証明書をNASで使う</a> 2014年12月8日 <br/>●Nexus ヘルプ <a href="https://support.google.com/nexus/">https://support.google.com/nexus/</a> <br/>┗<a href="https://support.google.com/nexus/answer/2844832?hl=ja">証明書を管理する</a> <br/>●StartSSL™ <a href="http://www.startssl.com/">http://www.startssl.com/</a> <br/>┗<a href="http://www.startssl.com/certs/">Index of /certs</a> <br/>●Wikipedia <a href="http://ja.wikipedia.org/wiki/">http://ja.wikipedia.org/wiki/</a> <br/>┣<a href="http://ja.wikipedia.org/wiki/CAPTCHA">CAPTCHA</a> <br/>┗<a href="http://ja.wikipedia.org/wiki/ReCAPTCHA">ReCAPTCHA</a> </p>