_ 夏休みの

工作というかアレ。

ウチの鯖は「daemon5.uekusa-com.com」だけが正式なSSL証明書を持っていた。*1

今まではhttpsでのリクエストでFQDNが「daemon5.uekusa-com.com」以外だったらmod_rewiteで書き直していた。

でも、uekusa.(jp/com/info/org)もちゃんとしないとなぁということで、お金のかからないLet'sEncryptで(ﾟ∀ﾟ)

解説サイトhttps://letsencrypt.jp/を見ながらcertbotを入れる。

結構簡単にできるねこれ。

「certbot certonly」で-dに別名が指定できる。

ウチだと「uekusa.jp」「daemon5.uekusa.jp」「www.uekusa.jp」みたいにドメイン名のみ/FQDN/Webとかあるのが全部指定できるの助かる。

で、cronに「certbot renew」を一日一度仕掛けておけば期限切れ前に自動更新してくれる(はず)。

_ HSTS

HSTSの絡みでサブドメインでDNS設定していた内部ドメインのWebアクセスがちょっと影響受けて嵌まった(´･ω･`)

つか、HSTSはなんでドメイン単位で設定/判断しちゃうんだ・・・

こちらのページとかこちらを参考に対応。

この規格考えたヤツ、自分の裕福な単一組織のことしか考えてなかったろ？

世の中にはサブドメイン毎に管理人が違ったり、内部ドメインにまで証明書買うほどお金が無い人だっているんだぞo(｀ω´*)o*1

_ 4096bit

Let'sEncryptをcertbotのデフォで取得すると2048bitの証明書になる。

せっかくやるなら、デフォの2048bitじゃなくて「--rsa-key-size 4096」でｗ

え？性能？いやいや、今時大丈夫でしょ？？（白目