「Apache」カテゴリーアーカイブ

let’s encrypt のSSL証明書を利用してみる

let’s encrypt の利用にあたり、サーバ側で色々設定が必要らしい。

augeas というパッケージを入れる必要があり、
configure を実行したところ、
No package ‘libxml-2.0’ found
と出た。

configureが終了したのでmakeを打つも、当然動かず。

@解決法
apt-get install libxslt-devel を実行。
以下のパッケージが新たにインストールされた
libxml2-devel libxslt-devel zlib-devel
configureを実行すると成功。

SSL証明書の更新:2017夏

昨夜、なにやらSSLストアからメールが来た。
要約すると、
GEOTRUST社とGOOGLE社との協議がうまくいかず、
8/8以降に登場するCROMEでこのサイトを見ると、
証明書の警告などが出る可能性がある、と。
無償で証明書を再作成することにより、回避できる、と。

出社前にチャチャっとやってしまおうと、6:45ぐらい?作業開始。
更新用の証明書をゲット。
メールに記載のなぞの文字列を所定のファイルに記入して保存。
設定ファイルのバックアップを取り、設定ファイルを更新。
Apacheを再起動。

これで完了するはずだった。
なんかエラーが出て、起動しない!現在7:10。
リミットは7:30。
とりあえず、設定ファイルを元に戻して、帰宅後にリトライすることに。
設定ファイルを元に戻す。
Apacheを再起動。

これで出社できるはずだった。
さっきと違うエラーが出て、起動しない!
色々ログファイルを見たが、いまいちピンとこない。
よし、サーバを再起動して、電車からリモートアクセスしよう。
7:34出発。やばい。約20分後、電車に乗る。

iPhoneからSSHアクセスしてみる。
。。。おや?繋がらないぞ!
おわた。。。

出社するなり、グループメンバーに、
「午前中が平和だったら、午後半休とっていいかな」と、
軽く事情を説明し、快諾いただく。

午後帰宅。調査開始。
SSHできなかったのは、サーバが正常に再起動できていなかったことが原因と判明。
電源の入れなおしで、サーバの起動を確認。

で、まず2回目のApache起動失敗の原因は、設定ファイルのバックアップ、ファイル名に問題があった。?.conf の名前のファイルは全てApacheに読み込まれるのに、バックアップのファイル名も?.conf にしてしまっていた。
これにより、同じ定義の読み込みが重複してしまい、起動しなかった。
バックアップファイルの名前を変更。

最初のApache起動失敗の原因は、SSL証明書ファイルの中身、つまり、なぞの文字列のコピペに問題があった。
ブラウザでホットメールに届いた情報をコピペしたのだが、2行目以降、行頭に空白が入っていた。
問題なのは、最終行の先頭にも空白が入っていたこと。
最終行は、「—–END CERTIFICATE—–」のみで、先頭に空白があってはならないと知る。ファイルを修正。
中間証明書も同様。ファイルを修正。

Apacheを再起動。無事に証明書の更新が完了。

SSL証明書関係の改善

以下の改善を行った。

1. 中間証明書から、クロスルート証明書を削除
とりあえず、クロスルート証明書をつけておけばいい、と考えていたのだが、不特定多数のユーザから、PCブラウザを含む不特定のクライアント環境からのアクセスを想定している場合、クロスルート証明書の設定は推奨されません。ということになったらしい。
詳しい説明は大手に任せる。

2. ssl.conf を編集
春の修正では正常に受け付けてもらえなかった命令が動くようになっていた。
以下のとおり修正。
SSLProtocol ALL -SSLv3 -SSLv2 -TLSv1 -TLSv1.1
この修正により、ちょっと古いブラウザでは、このページは見れなくなった。セキュリティ維持のためである。
SSLサーバの信頼性をチェックできるページでチェックすると、
現時点で、当サイトのランクは「A+」!めでたしめでたし。

OpenSSLの脆弱性(Heartbleed)対策

ニュース報道でも取り上げられていますが、何かって言うと、
暗号化通信を導入しているサイト(https://?? のページ)が、
これの対策がされていない状態で 攻撃を受けると、
最悪の場合、そのサイトの秘密鍵が流出(※)します。
要するに、秘密鍵を手に入れた人は、そのサイトの
暗号通信を解読し放題、ってことです。
ID、パスワード、個人情報、クレジットカード番号 などなど・・・
※詳しく書くと、OpenSSLライブラリを利用しているプロセスの
メモリの内容が漏洩してしまいます。

さらに書くと、手に入れた秘密鍵を利用して、
精巧な偽サイトを作ることが出来ます。
この手法で作られると、警察などで公開されている
見破り方が通用しません。

ちなみに当サイトは本件脆弱性に該当しません。

本件を調べている中で、 続きを読む OpenSSLの脆弱性(Heartbleed)対策