カテゴリー: Windows

WindowsでのLet’s EncryptとIDN(Manual Plugin)

  • 大破.net, 側転.大破.net などがもうすぐ期限切れるよとメール来る
  • letsencrypt-win-simpleでrenew実行してみる
  • “unable to renew”
  • v1.9.3までマニュアルプラグインでのrenewは非サポート

    letsencrypt-win-simpleではIISプラグインを利用してIDNを読み取れないため、マニュアルプラグインにてドメイン名のpunycodeを手動で入力する必要がある

  • v1.9.4からスクリプトでマニュアルプラグインでのrenewをサポート
  • 失敗によりレジストリの更新タイミングを10月に書き換えられてしまっているので、今日よりも前の日付に書き換え
    \HKCU\Software\letsencrypt-win-simple\https://acme-v01.api.letsencrypt.org/\Renewals
  • v1.9.4をダウンロードしてrenew
  • OK
広告

Windows Server 2012 R2 + IIS で SSL/TLS Session Tickets を無効化する

発端

  • SSL Labsで、「5月1日以降 Session Tickets 脆弱性 (Ticketbleed) が残っている場合、それまでの評価にかかわらず F に叩き落すぞ」(大幅に盛った意訳)と言われた
    • 設定詰めてやっと取れた A+ 評価から F に叩き落されたらたまったもんじゃない
    • とりあえず対策、もしくは対策できないならこの機能を無効化したい
      • Session Tickets は、あくまでSSL / TLSの高速化に関する機能(らしい)
      • 無効化してもセキュリティの強度には影響無しと判断

対策

  • とにかく情報が無い。全くと言っていいほど無い。
    • F5製品に関しての情報しか出てこない…
    • 世の中のIISを利用してるWebサイトは一体どうなってるんだろう、というのが正直な気持ち
  • あった(1サイトだけ)

これで5月1日以降もSSL Labsの評価を叩き落されることは無いはず…