自鯖で TLSv1.3 をサポート!!

TLSv1.3 Apache Lounge 版の Apache 2.4.37 が TLSv1.3 をサポートしたので、 Windows7 HP SP1 32-bit 上の自鯖でも TLSv1.3 を有効にした。といっても、やったのは、 SSLProtocol -all +TLSv1.2 から SSLProtocol -all +TLSv1.2 +TLSv1.3 としただけ。 SSLCipherSuite ディレクティブについては何もやっていない。 SSL_CTX_set_cipher_list ページによれば、 ‘An empty list is permissible’ ということだったので。実際、これだけで有効になった。
 デフォルトの値は、以下の 3 つ:
“TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256:TLS_AES_128_GCM_SHA256”

 ビフォーアフターSSL Labs サーバテスト結果をリンクしておきます。

Let’s Encrypt 証明書の更新方法を dehydrate から mod_md に。

投稿アップデート情報  追記(11/16) 追記2(11/30)

 今朝早く、 Let’s Encrypt 証明書の更新方法を dehydrated から mod_md に変更した. 8/17 に Steffen から「“2.4.27 VC15 で mod_md を使えるようにした」というお知らせが出ていたが、やってみてなかった。忙しかったし、 ‘dehydrated’ で問題なかったし。だけど一昨日 “ACME Support in Apache HTTP Server Project” という記事を見て、やっぱ使ってやろうと昨日決心した。
“Let’s Encrypt 証明書の更新方法を dehydrate から mod_md に。” の続きを読む

OpenSSL での TLSv1.3 の使用について。

投稿アップデート情報  追記1・2(5/9)

 実際には,全く取り掛かれていない TLSv1.3 (2018.8 RFC8446 になりました) なんだけれども,読み始めたら面白くてためになりそうだったので,調子に乗って訳してみた。くりくりさんが仰っていたように,相当変わるんだな。
 元の文章は, Matt Caswell 氏の Using TLS1.3 With OpenSSL である。タイムスタンプは MAY 4TH, 2017 11:00 AM になっている。ブログの HTML ソースから見るに, UTC みたい。変なところは,ご容赦。明らかな誤訳は,指摘いただければありがたいです m(_”_)m。以下、訳文です。
“OpenSSL での TLSv1.3 の使用について。” の続きを読む

Win 版の Apache 2.4 で CHACHA と Brotli を使う話。

投稿アップデート情報  追記(5/2)

 去る 10 月,「CHACHA20 は,公式の Apache ではすでにサポートされているのだが, Apache Lounge の 2.4.23 ではまだなのだ」と書いたのだが, 4/19 に Steffen の「Apache 2.4.26-Dev available with Openssl 1.1.0e VC14」というお知らせがあった。というわけで,今や Win 版の Apache でも CACHA20_POLY1305 が使えることと相成った。 CHACHA20-POLY1305 関連を有効にしてやるには, httpd-ssl.conf の SSLCipherSuite にそれ関係を追記して, Apache を再起動だけ。 “Win 版の Apache 2.4 で CHACHA と Brotli を使う話。” の続きを読む

phpMyAdmin4.6.6 にアップデートした。

本日, phpMyAdmin4.6.6 にアップデートしたら,ログイン時に “OpenSSL error: error:0607A082:digital envelope routines:EVP_CIPHER_CTX_set_key_length:invalid key length” というのが出るようになった。
 おそらく, 👉 $cfg[‘Servers’][$i][‘ssl_verify’] のせいではないかと思うのだが……。

 説明部分に, “Disabling the certificate verification defeats purpose of using SSL. This will make the connection vulnerable to man in the middle attacks.” というのが入っているが,自鯖の SQL server と phpMyAdmin は NAT ルータ内にあるし,ユーザも私だけなので,一時しのぎとして, config.inc.php に下記を付け加えて回避することにした。

$cfg['Servers'][$i]['ssl_verify'] = false;

Windows で Letsencrypt.sh を使う-#4

[2017/10/20 時点の話] ApacheLounge 2.4.x 版でも mod_md が使えるようになったので、 dehydrated ( 旧 Letsencrypt.sh) の代わりに、今はこれを使っている。この件に関する記事→「Let’s Encrypt 証明書の更新方法を dehydrate から mod_md に」。
========================================================
 10/7 に SSL Server Test でテストをやったとき,「OCSP Must Staple Not Supported」という項目があるのに気付いた。古いテスト結果を見直してみたら,そこにもすでに「OCSP Must Staple Not Supported」があった。この話をコメント欄くりくりさんとしたのだが,話は広がって, Extended Validation(EV), CHACHA20, Certificate Transparency(CT) なんちゅうことも話した。しかし,この 3 つは今のところ,自鯖では不可能。まず, EV は高い(笑)。 CHACHA20 は,公式の Apache ではすでにサポートされているのだが, Apache Lounge の 2.4.23 ではまだなのだ。使いたかったら,サポートバージョンを自力でビルドしないといけないのだが,私にとって Windows 上のビルドは相変わらず難しい。 CT はまだ Apache でサポートされていない。
 とはいえ, TLS の環境をいくつか弄ったので,それについて書いておく。
“Windows で Letsencrypt.sh を使う-#4” の続きを読む

Windows で Letsencrypt.sh を使う-#3

投稿アップデート情報  追記(10/26)

[2017/10/20 時点の話] ApacheLounge 2.4.x 版でも mod_md が使えるようになったので、 dehydrated ( 旧 Letsencrypt.sh) の代わりに、今はこれを使っている。この件に関する記事→「Let’s Encrypt 証明書の更新方法を dehydrate から mod_md に」。
========================================================
[10/26 時点の話] 鍵交換に Elliptic curve Diffie–Hellman を使うようにしたので,その件についての記事を書いた。「Windows で Letsencrypt.sh を使う-#4
========================================================
 9/17 に, Let’s Encrypt 製の証明書の自動更新に初めて成功した。スクリプトとバッチがうまく動いてくれて,デイリータスクのときに更新が行われていた。証明書フォルダ内の情報は下図のように変化していた ☟。

“Windows で Letsencrypt.sh を使う-#3” の続きを読む

Windows で Letsencrypt.sh を使う-#2

投稿アップデート情報  追記(9/19) 追記2(10/26)

[2017/10/20 時点の話] ApacheLounge 2.4.x 版でも mod_md が使えるようになったので、 dehydrated ( 旧 Letsencrypt.sh) の代わりに、今はこれを使っている。この件に関する記事→「Let’s Encrypt 証明書の更新方法を dehydrate から mod_md に」。
========================================================
[10/26 時点の話] 鍵交換に Elliptic curve Diffie–Hellman を使うようにしたので,その件についての記事を書いた。「Windows で Letsencrypt.sh を使う-#4
========================================================
[9/19 時点の話] 無事,証明書の自動更新が成功したので,その件についての記事を書いた。☞「Windows で Letsencrypt.sh を使う-#3
 また,当該スクリプトのプロジェクト名が letsencrypt.sh から dehydrated に変わり,リポジトリも https://github.com/lukas2511/dehydrated/releases になったので,記事内の letsencrypt.sh は dehydrated に読み替えてほしい。
========================================================
 承前
 さて, Letsencrypt.sh を使って自動更新するという問題について書こうと思う。前にも, bat を作ったが, letsencrypt-win-simple の制限のせいでうまくいかなかった。しかし, letsencrypt-win-simple に関係していないところは,ちゃんと動いていたわけだ。
“Windows で Letsencrypt.sh を使う-#2” の続きを読む

Windows で Letsencrypt.sh を使う-#1

投稿アップデート情報  追記(9/19) 追記2(10/26) 追記3(2017/7/9)

[2017/10/20 時点の話] ApacheLounge 2.4.x 版でも mod_md が使えるようになったので、 dehydrated ( 旧 Letsencrypt.sh) の代わりに、今はこれを使っている。この件に関する記事→「Let’s Encrypt 証明書の更新方法を dehydrate から mod_md に」。
========================================================
[10/26 時点の話] 鍵交換に Elliptic curve Diffie–Hellman を使うようにしたので,その件についての記事を書いた。「Windows で Letsencrypt.sh を使う-#4
========================================================
[9/19 時点の話] 無事,証明書の自動更新が成功したので,その件についての記事を書いた。☞「Windows で Letsencrypt.sh を使う-#3
 また,当該スクリプトのプロジェクト名が letsencrypt.sh から dehydrated に変わり,リポジトリも https://github.com/lukas2511/dehydrated/releases になったので,記事内の letsencrypt.sh は dehydrated に読み替えてほしい。
========================================================
 この間書いたようにletsencrypt-win-simple が Windows 版の Apache 上での証明書更新作業に対応していないし,公式のクライアントである certbot も,同様の状態みたいなので, letsencrypt.sh というスクリプトを使う方法を考えてみた。
“Windows で Letsencrypt.sh を使う-#1” の続きを読む

覚え書-#30。

 5/4 に Steffen のところで, OpenSSL 1.0.2h でビルドの Apache 2.4.20 が出たので,昨日,更新した。 ChangeLog. Apache2.4 系を初めてインストールするという場合は,「Windows7上にWamp系WebServerを建てる-#1」を,どうぞ。現在,自鯖では VC14 バージョンを使っているが,これには, VC14 が必要である。