Let's Encrypt対応

Thu, 25 Feb 2016 23:37:08 +0900

昨日書いた、Let's Encryptプロジェクト。

5月のStartSSL更新に間に合うよう…と書いたものの、やっぱり気になるのでさっそくやってみた。

yano@vps:~$ git clone https://github.com/letsencrypt/letsencrypt
yano@vps:~$ cd ~/letsencrypt/
yano@vps:~/letsencrypt$ ./letsencrypt-auto certonly -a standalone -d mail.bravotouring.com

とやってみたところ、何やらエラーになったっぽかったので昨夜は一旦諦めたのだが、今朝Let's Encrypt の使い方を読み直したところ、

Let's Encrypt クライアントソフトウェアは、ドメイン所有者であることの認証に TCP Port 80 を使用しているため、SSL/TLS サーバ証明書を取得プロセスを完了させるためには、Webサーバを一時的に終了させる必要があります。

と書いてあるのに気付いた。

というわけで、Webサーバを一時的に終了させた後でやり直して /etc/letsencrypt/archive 配下に証明書等が生成される事を確認。

apache設定ファイル /etc/apache2/sites-available/mail.bravotouring.com.conf の

SSLCertificateFile /etc/letsencrypt/live/mail.bravotouring.com/cert.pem
SSLCertificateKeyFile /etc/letsencrypt/live/mail.bravotouring.com/privkey.pem
SSLCertificateChainFile /etc/letsencrypt/live/mail.bravotouring.com/chain.pem

で/etc/letsencrypt/live 配下のシンボリックリンクを指すようにして確認OK。

…と思ったのだが、自宅のIPv6環境からではダメだった。なんだ～、Let's Encryptまだまだかな…と思いつつ、StartSSLの証明書に戻してみても状況は変わらず。おぉぉぉっ、そういえば6月のIPv6 by auひかりの後は確認してなかった気がするよ。orz

「IPv6だとサーバ証明書も違うんだっけ、ていうかIPアドレス関係あったっけか？」と思い調べてみたところ、やはりそういうわけでもないらしい。"IPアドレス"で縛られてしまうようだと分散冗長構成に差し支えるので、大規模な商用サービスでは全然使えない事になる。

という事は、単純にapache設定のIPv6対応をしくじっているという事が考えられるので/etc/apache2/sites-available/mail.bravotouring.com.confを素直に見直したところ、

を

*:443>

と訂正する事で無事解決した。

【追記】webrootプラグインを使用する事でWebサーバを一時的に終了させずに認証できた。にゃるほど～。

yano@vps:~/letsencrypt$ sudo ./letsencrypt/letsencrypt-auto certonly --webroot --webroot-path=/var/www/html -d mail.bravotouring.com

【参照】
●INTERNET Watch http://internet.watch.impress.co.jp/
┣証明書を無料で発行、HTTPSの導入を支援する「Let's Encrypt」2015年夏開始 2014年11月19日
┗ファーストサーバ、無料SSL証明書「Let's Encrypt」の取り扱いを開始 2016年2月24日
●Let's Encrypt https://letsencrypt.org/
┗Let's Encrypt Launch Schedule 2015年6月16日
●Let's Encrypt 総合ポータル https://letsencrypt.jp/
┣Let's Encrypt の使い方
┗ユーザーガイド
●GitHub - letsencrypt/letsencrypt https://github.com/letsencrypt/
●Wikipedia https://ja.wikipedia.org/wiki/
┣HTTPS
┣Transport Layer Security
┗Let's Encrypt

無料WiFiの落とし穴

Thu, 25 Feb 2016 23:36:41 +0900

22日から始まったMWC(モバイルワールドコングレス)2016で賑わうスペイン・バルセロナでAVASTが興味深い実験を行った。

Engadget Japanese記事より

なんと、バルセロナ空港においてカフェや空港、イベント会場で使われるのと同じ名前で偽装した無線LANをこっそり設置したところ、わずか4時間で2000人以上が偽装とは気付かず接続しインターネット通信を行ったそうだ。

最近はコンビニなどでも無線LANサービスをやっているので、

すでに接続したことのある SSID と同名のアクセスポイントがあれば、セキュリティパスワードが同じなら自動的に接続します。

という便利な機能に甘んじている人も多いと思うが、裏を返すと同じ名前で偽装した無線LANを設置しておくだけで不特定多数の端末を捕まえる事ができるという落とし穴に気付くべきだ。

ていうか、個人的には「情報を盗まれる」というリスク以前に、街角で不意に電波の弱い無線LANを捕まえて通信が滞って困るケースの方が多く、どちらかというと騒音に近い迷惑な存在になりつつある公衆無線LAN。

有料、無料を問わず、自動接続にするのは考え直した方が良いですな。

【参照】
●INTERNET Watch http://internet.watch.impress.co.jp/
┗MWC参加者に偽のWi-Fiスポットでハッキング実験、接続した2000人のうち63.5％が端末と身元を特定される 2016年2月24日
●Engadget Japanese http://japanese.engadget.com/
┗MWC 2016でWiFiハック実験。接続した端末の63%からデバイスと身元情報が割れる 2016年2月24日
●ITmedia エンタープライズ http://www.itmedia.co.jp/enterprise/
┗ウイルス対策ソフトメーカーが発表：空港で不正Wi-Fiの提供実験　2000人以上が接続、63.5％が端末や身元を特定される 2016年2月24日
●ギズモード・ジャパン http://www.gizmodo.jp/
┗その無料Wi-Fi、本物…？公式を装いデータ盗み出す手口に警鐘 2016年2月24日
●Wikipedia https://ja.wikipedia.org/wiki/
┣無線LAN
┣公衆無線LAN
┣モバイルワールドコングレス
┗AVAST Software

2016/02/25 on Yano's digital garage

Let's Encrypt対応

無料WiFiの落とし穴