タイトルの通りです。 自分はnginx(最近はfreenginx)を趣味で運用しています。そこでLet's Encryptで証明書を作成してTLSを有効にしています。 これまではOCSP staplingを有効にしていましたが、Let's Encrypt側がOCSP staplingのサービスを停止しました。 元々OCSP staplingは失敗したから何か問題が起こる仕組みではない(だからこそ廃止されたわけですが)ので、このまま放置してもいいと言えばいいですが、nginxのエラーログが地味に埋まるし、動かない設定を残しておくのも健全ではないので削除するべきでしょう。 ちなみに自分のサーバーではそれまで出ていなかった以下のエラーが2024/07/20 17:35:15 JSTから断続的に出るようになりました。 2024/07/20 17:35:15 [error] 98574#98574:
ウィスキー、シガー、パイプをこよなく愛する大栗です。 最近ブラウザから簡単に証明書を発行できる ZeroSSL というサービスで証明書を発行したことがあったのでまとめてみます。 ZeroSSL (8月21日追記) ACME 経由であれば無制限に無料で証明書を発行できる旨を追記しました ZeroSSL 無料で SSL/TLS 証明書を発行できるサービスと言うと Let's Encrypt を利用されている方が多いと思います。2023年8月時点で Let's Encrypt が発行している有効な証明書は2億8000万を超えています1。Let’s Encrypt は素晴らしいサービスですが、単一障害点になっていることに警鐘を鳴らしているセキュリティ研究者もいます2。別の選択肢として ZeroSSL を紹介しています。 Let's Encrypt では certbot の様なコマンドを使用して S
こんにちは。最近、ピストのチェーンを 和泉チエン TOUGH GUARD に替えて、ご機嫌な原口です。 ホスティング事業部の MRE(Messaging Reliability Engineering *ペパボの造語です)というチームで、 SRE ような取り組みを、DNS やメールなどのメッセージングサービスに対して実施しています。 今回は、弊社のホスティングサービスで提供しているメールシステムについてご紹介いたします。 メールシステム構成 弊社のホスティングサービスで提供しているメールシステムは、運用効率化やメールサーバー リプレイス時のダウンタイム削減のため、リバースプロキシを導入しています。 このリバースプロキシについては、過去、dovecot や Courier-IMAP などを利用していましたが、 現在は Nginx に変更しています。メールシステムで Nginx を利用している
そういえば書いてなかったので軽く書いておきます。まだ開発版ですが3.7.0から可能になっています。 LibreSSL単体はM1 Macでもbuildできました。というかそもそもMacにプリインストールされているOpenSSLはOpenSSLではなくて(かなり古めの)LibreSSLです。 ただnginxと一緒にbuildするとエラーが出る状況でした。この状況はM1 Macを買ってすぐくらいから気付いていたのですが、いつか直るだろうと放置していました。しかしこの現象に困っているのが自分だけなのか全く直る気配がなく、ここは自分が動くしかないかということで調査しました。調査の結果、以下のPRを出しました。 図らずもキリ番(死語?)の800番のPRです。 LibreSSLをnginxと一緒にbuildすると、config.subというプログラムが実行しているマシンのplatformを判定しています
ついさっき、ついにHTTP/3対応のブランチが本家のnginxにmergeされました。 このまま何事もなければ次のMainline versionである1.25.0がリリースされたタイミングで使えるようになるはずです。 検索するとnginxでHTTP/3を使う方法を解説しているサイトがいくつかヒットしますが、実はmergeするちょっと前くらいから非互換な変更をいくつも入れていたので、そのままだと動かないはずです。なので簡単に使い方を解説しておきます。 なお分かっていると思いますが、こちらの記事は記事執筆時点(2023/05/20)の内容です。 OpenSSLの代わりを選ぶ HTTP/3を使うには自分でbuildする必要があります。いずれpackageが配布されるだろうと思っている人がいるかもしれませんが、nginxのHTTP/3対応はBoringSSLのAPIで対応されています。OpenS
この記事ははてなエンジニア Advent Calendar 2022の26日目のエントリです。 こんにちは id:cohalz です。はてなブログでは2022年7月にインフラをAmazon EC2からAWS ECS(AWS Fargate)に移行するプロジェクトが完了しました。 プロジェクトは2021年9月から始まったので約10ヶ月間という大きなプロジェクトでした。 プロジェクト完了までに行ってきたことのうち、特に面白かったところなどをこの記事で実施した順に振り返ってみます。 はてなブログのインフラのこれまで アプリケーションを動かせるようにする ALBを追加する 検証環境を用意だけしておく プロキシの設定埋め込み 証明書の配信 アクセスログを配送できるようにする アクセスログの形式を新しくする EC2でもFirehoseを経由するように タイムゾーンをUTCに統一 FirehoseのLa
概要 この記事は「【マイスター・ギルド】本物のAdvent Calendar 2022」9日目の記事です。 まぁかくかくしかじかありまして、JavaScriptの練習としてAPIを叩いて返ってきた値(JSON)を画面に表示してみよう、そのための環境を作ろうってなったんです。 JavaScriptの練習だからフロントはもちろん使うけど、API側もNodeで書けばより理解も深まるだろうということでExpressなるフレームワークがあると知ってそれを使って環境構築をしてみました。 最近nginxの勉強もしたのでプロキシ設定を使った構成の練習台にもちょうどよかったです。 環境を作ろう 準備 こんな感じのディレクトリ構成にします。今回はデスクトップに作成しました。
はじめに SoftwareDesign 8月号のDNS特集にて記事を書かせていただきました。みんな買ってね。 で、実は最初に書いてた原稿はもっと長かったんですけど、紙幅の都合で一部の内容については掲載を見送りました。せっかく書いたのに捨てるのはもったいないので、先日おこなわれたDNS Summer Day 2022で発表しようかと準備してたんですが、途中で気が変わって違う内容になりました。そんなわけで、最終的にエンジニアブログにて供養します。加筆修正しまくっているので元の原稿の気配はもはや残り香程度に漂うだけですが。 ACMEでdns-01チャレンジ サーバ証明書を無料かつ自動で取得できるサービスとして有名なものにLet’s Encryptがありますが、Let’s Encryptの仕組みはLet’s Encrypt独自のものではありません。ACME (RFC8555)として標準化されていて
ホーム IIJについて 情報発信 プレスリリース 2022年 IIJ、世界シェアNo.1のWebサーバソフトウェア「NGINX」向けLDAP認証モジュールを無償提供 PDF [248KB] / English 当社は、Webサイトの構築に必要なWebサーバソフトウェア「NGINX(エンジンエックス)」 と組み合わせて利用する、アクセス制御機能(モジュール)「ngx_auth_mod(エンジンエックス・オース・モッド)」を開発し、本日より、ソフトウェア共有サービス「GitHub(ギットハブ)」を通じて無償で提供を開始いたします。 NGINXについて NGINXは、Igor Sysoev氏が2004年に開発・公開したWebサーバソフトウェアで、高速で大量アクセスの処理に向いていることから、大規模WebサイトやCDNなどで広く使われ、現在世界で最も高いシェアを持っています(※1)。現在はNGIN
この記事は、 GAOGAO Advent Calendar 2021 ことしもGAOGAOまつりです の 1日目の記事として公開されています。 こんにちは。 GAOGAO にてスタートアップスタジオのエンジニアをしております @mass-min と申します。 GAOGAO では秀吉と呼ばれています。どうぞよろしくお願いいたします。 結論 リバースプロキシ環境の構築は nginx-proxy というとても便利な Docker image によりカンタンに行うことができます。 また Docker 自体の設定をうまく使うことにより、別環境間での API 通信や CORS が絡む AJAX コールなんかも再現できます。圧倒的感謝 🙏 まえがき 例えば、アプリケーション A とアプリケーション B が以下のような設定で動いているとします。 AWS を本番環境で使用している場合、上記のような振り分け
はじめに2021年7月12日にNgnixブログに掲載された記事 “Our Roadmap for QUIC and HTTP/3 Support in NGINX” では、QUICとHTTP/3機能を2021年末にはメインラインへマージする計画が言及されています。現在のHTTP3/QUIC対応Nginxは、専用の開発ブランチ (nginx-quic)で開発が進められていますが、常に最新のリリース (7月26日時点で1.21.1)を取り込んでおり、HTTP3/QUIC以外の最新機能も利用可能です。筆者も、昨年から開発ブランチの動作を試しており、HTTP3/QUICでの大きな負荷をかけても良好なパフォーマンスを示しています。 さて、Nginxブログで言及されたHTTP3/QUICに関する機能の一つとして、“eBPFを使ったマルチプロセスアーキテクチャ” という項目がありました。QUIC特有の仕
エムスリーエンジニアリンググループ製薬企業向けプラットフォームチームの三浦 (@yuba)です。普段はサービス開発やバッチ処理開発をメインにやっておりますが、チームSREに参加してからはこれに加えて担当サービスのインフラ管理、そしてクラウド移行に携わっています。 今回はそのクラウド移行の話そのものではないのですが、それと必ず絡んでくるインフラ設定に関してです。 アクセス元IPアドレスを知りたい Webアプリケーションがアクセス元IPアドレスを知りたいシーンというのは、大まかに二つかと思います。ログ記録用と、アクセス制限ですね。どちらもアプリケーションそのものではなく手前のWebサーバの責務のようにも思えますが、そうとも言い切れません。動作ログ、特に異常リクエストをはじいた記録なんかにセットでIPアドレスを付けたいとなるとアプリケーション要件ですし、アクセス制限についてもマルチテナントサービ
ここではLet's Encryptとnginxを使ってサイトをSSL化する方法と、さらにそのままnginxの機能を使って1台のサーバーで複数のサイトを運営し、それらのすべてSSL化した時にやったことをご紹介します。 nginxの設定ファイルを公開しましたので、詳細はこちらを参照してください。 https://github.com/TakuKobayashi/ActivatingNginxConf SSLとは SSLとはデータを暗号化して通信を行う仕組みです。 SSLを使うことができるようにすると、URLに以下のようにhttps://であったり(HTTPの場合)、wss://(Websocketの場合)といったURLを使うことができるようになります。 詳しくはこちらなど SSL証明書 サーバーをSSLに対応させて通信を行えるようにするためにはSSL証明書というものが必要です。 SSL証明書は
SSL証明書を無料で発行してくれる認証機関「Let’s Encrypt」は、2014年の設立から安全なインターネットの利用に大きく貢献しています。しかし、ハッカーであり研究者でもあるScott Helme氏は、無料の証明書発行をLet’s Encryptのみに頼っている現状を問題として取り上げ、Let’s Encryptの代替となるサービスを紹介しています。 Introducing another free CA as an alternative to Let's Encrypt https://scotthelme.co.uk/introducing-another-free-ca-as-an-alternative-to-lets-encrypt/ Free SSL Certificates and SSL Tools - ZeroSSL https://zerossl.com/ L
ウェブサーバーとして有名なソフトウェアはApacheやnginxですが、設定が難しいと感じる人も少なくないはず。Google発のプログラミング言語「Go」で開発された「Caddy」は、最低限の設定でSSLによる暗号化やHTTP/3での通信も可能なウェブサーバーです。 Caddy 2 https://caddyserver.com/v2 CaddyはUbuntuやCentOSなどのLinuxで利用可能。今回はUbuntu 18.04にCaddyをインストールしてみます。 下記コマンドを実行すれば、Caddyをインストールすることができます。 echo "deb [trusted=yes] https://apt.fury.io/caddy/ /" \ | sudo tee -a /etc/apt/sources.list.d/caddy-fury.list sudo apt update s
docker-nginx-http3 Alpine Linux image with nginx 1.16.1 with HTTP/3 (QUIC), TLSv1.3, 0-RTT, brotli, NJS, Cookie-Flag support. All built on the bleeding edge. Built on the edge, for the edge. HTTP/3 support provided from the smart people at CloudFlare with the cloudflare/quiche project. Images for this are available on Docker Hub and GHCR. Usage Docker Hub: docker pull ranadeeppolavarapu/nginx-http
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く