BLOGTIMES
« :: »
2021/02/14

Let's Encrypt を使っている場合には OpenSSL のバージョンに注意

  letsencrypt  ssl 
このエントリーをはてなブックマークに追加

Let's Encrypt の証明書と OpenSSL 1.0 系の組み合わせで使っている場合には 6 月以降に問題が出るようなのでメモ。
最近のディストリビューションだと OpenSSL は 1.1 系だと思いますが、CentOS 7 とかだと要注意ということですかね。

OpenSSL Client Compatibility Changes for Let’s Encrypt Certificates - API Announcements - Let's Encrypt Community Support

There is one notable exception: OpenSSL versions 1.0.0 through 1.0.2 will reject the Android-compatible chain, regardless of whether they have ISRG Root X1 in their trust store. If you do nothing, your ACME client will choose the Android-compatible chain by default, which we think is the right choice for most sites. If you know your site or API has to support devices running OpenSSL 1.0.x, you'll want to choose the alternate (shorter) chain that supports OpenSSL instead of Android (and then update to the latest OpenSSL). We think the OpenSSL issue is most likely to affect IoT devices that aren't getting updates from their manufacturer.

    by hsur at 16:15 [5年前][4年前][3年前][2年前][1年前] |
    こんな記事もあります 「trust OpenSSL shorter
    Raspberry Pi を WPA Enterprise ( WPA2-EAP ) な無線 LAN に一撃で接続する
    CentOS6 の DST Root CA X3 の証明書期限切れに暫定対応してみた
    Apple が Android のサイドローディングの問題を指摘
    OpenSSL 3.0 が正式版に
    ssh の RSA キーファイルから素数を取り出してみた
    CentOS 7 に OAuth2 対応の fetchmail7 を入れる
    NIST SP 800-207 Zero Trust Architecture の邦訳を PwC が出してた
    全てのライブラリが static リンクされた curl
    OpenSSL の脆弱性に注意(CVE-2021-3450, CVE-2021-3449)
    CentOS 8 の HTTP/2 を有効にするには
    トラックバックについて
    Trackback URL:
    お気軽にどうぞ。トラックバック前にポリシーをお読みください。[policy]
    このエントリへのTrackbackにはこのURLが必要です→https://blog.cles.jp/item/12292
    Trackbacks
    このエントリにトラックバックはありません
    Comments
    愛のあるツッコミをお気軽にどうぞ。[policy]
    古いエントリについてはコメント制御しているため、即時に反映されないことがあります。
    コメントはありません
    Comments Form

    コメントは承認後の表示となります。
    OpenIDでログインすると、即時に公開されます。

    OpenID を使ってログインすることができます。

    Identity URL: Yahoo! JAPAN IDでログイン

    « :: »
    Copyright © 2004-2020 by CLES All Rights Reserved.