タグ「SSL」が付けられているもの

2018年7月 1日

SSL証明書また更新

最近Twitterで済ませることが多くなってきて、ほぼ休止状態のブログ。

今回のも小ネタだしTwitterで済ませようかな...とも思ったけど、わざわざ有料SSL契約してるのに使わない(使わせない?)のはもったいないのでブログに。

Symatecの証明書がGoogleに無効化された件で、一度更新したはずの証明書、実はまだダメだったためもう一度更新してってメールがさくらから届いた。

...うん、知ってた。Impressの記事で読んで「あ~、これもう一回くるな~」って思ってた。

まあ、面倒がってても仕方ないのでさくっと更新。この記事を書いてる時点でmcrn.jpは既に更新済み、cvmu.jpはRSプランなのでさくら側の作業待ち。

今回の更新でルートCAがGeoTrustからDigiCertに変わった。見てる側には何の影響もないけど。

2016年6月 7日

さくらのレンタルサーバでSSL証明書が更新できない原因

このサイト(mcrn.jp)を常時SSL化&HSTS化してもう10ヶ月。

さくらからSSL証明書更新のお知らせが届いた(2ヶ月前と1ヶ月前に届く)。

ところが、手順通りやっても更新できない。

何度やっても「新規取得」しか選べない。

もしかして更新できる時期になってない!?でも90日切ったら可能って書いてあるんだけど...。

しかし、その原因は意外なところにあった。

2015年10月28日

RubyでHTTPS

なんてことはない、ただRubyでHTTPSなWebサーバにアクセスしてGETでデータをとってくるというだけの話なんだけど...

問題発生

まず思いついたのがこのコード。

require 'net/https'
Net::HTTP.get(URI.parse("https://mcrn.jp/ret.cgi"))

しかし、次のようなエラーが返ってきてしまう。

OpenSSL::SSL::SSLError: SSL_connect returned=1 errno=0 state=SSLv3 read server certificate B: certificate verify failed
from C:/Ruby21x/lib/ruby/2.1.0/net/http.rb:923:in `connect'

原因究明

もしかしてSNIに対応していない?と思ったけど違った(4年以上前に対応してる)。

さらに調べて、以下の記事をヒントに証明書の場所を調べてみてびっくり。

エラー:OpenSSL::SSL::SSLError SSL_connect returned=1 errno=0 state=SSLv3 read server certificate B: certificate verify failed - komiyakの通り道

require 'openssl'
p OpenSSL::X509::DEFAULT_CERT_FILE
"C:/Users/Justin/Projects/knap-build/var/knapsack/software/x64-windows/openssl/1.0.1l/ssl/cert.pem"
=> "C:/Users/Justin/Projects/knap-build/var/knapsack/software/x64-windows/openssl/1.0.1l/ssl/cert.pem"

Justin!?誰???(※1

2015年10月25日

完全HTTPS化、達成!

ブログ移行に伴い、sblo.mcrn.jpをさくらのブログから外してリダイレクト用に設定しなおしたので、ついでに証明書を取ってSSL化。

これでmcrn.jp配下のドメインは全部SSL化できたので、.htaccessのHSTS設定にに「includeSubdomains」と「preload」を追加(※1)して、HSTS Preload Submissionに申請。

反映までにしばらくかかるけど、preloadじゃないHSTSは既に効いてる状態なので、.htaccessの強制HTTPSリダイレクトと組み合わせて完全HTTPSが実現。

2015年10月 9日

さくらのレンタルサーバでラピッドSSL導入…の罠

mcrn.jpとは別のドメインに2個目のラピッドSSLを導入。
今回はコントロールパネルから申し込んだので、さくら側で証明書設定までやってくれた。

…んだけど、途中でちょっとしたミスをしてしまい、手続き完了まで時間がかかってしまった。

ミス1.SNI SSLを有効にしてなかった
6 さくらのレンタルサーバでSSLを導入する | SSLそこからっすか!?」によると、申し込んですぐにSNI SSLが有効にできるらしい。
前は自分でCSR送って、中間証明書入れて、証明書受け取ってセットして、それからONにしてたから気付かなかった。

ミス2.HSTSセットしてた
まだ証明書がないのに気が早すぎ。

ミス3.上位階層の.htaccessが誤って効いていた
これは別記事で詳しく。