常連

CentOS7でPostfixとDovecotを使いメールサーバーを構築しているのですが、下記「メールサーバーの用途」と「現在の認識」を考慮して、SMTP over SSLとSMTP STARTTLSのどちらを使うべきかを教えてください。
また、下記「現在の認識」について間違いがあればご指摘ください。

ささいなことでも結構ですので、アドバイスいただけると幸いです。
よろしくお願いいたします。

メールサーバーの用途
---
メールサーバーは下記の用途で利用します。
1. ウェブメーラーの利用
自分のみがウェブメーラーを利用してメールのやりとりをします。
2. ウェブサイトのフォーム送信
ウェブサイトの利用者（不特定）がフォームからユーザー情報（ユーザーID・パスワード）を送信します。

なお、
- 通信の「安全性」とメール送受信の「確実性」をバランス良く取り入れたいです。
- ウェブサイトの通信は常にhttpsを利用しています。
- メールサーバーやウェブサイトは全て同一IP上に構築またはプライベートIPで接続されているものとします。
- メールのリレー設定は外部のホストを許可していません。
- ウェブメーラーはRainloopを利用しています。

現在の認識
---
SMTP over SSLとSMTP STARTTLSの特徴は次のように捉えています。
- SMTP over SSL：通信の開始から終了まで暗号化する。
- SMTP STARTTLS：通信の開始から途中までは暗号化せず、メール受信側の環境によって、途中から最後までを暗号化するか平文で送るかが変わる。

上記の特徴から、次のようなことが言えると考えています。
- 通信の安全性から言えばSMTP over SSLの方が安全ではあるが、メールを受信する側がSMTP over SSLに対応していない場合はメールが確実に届くわけではない。
- SMTP STARTTLSはメールを受信する側の環境によっては平文でメールが送信される可能性があるが、メールは相手に届きやすい。

そこで、私は現時点で次のように考えています。
- SMTP STARTTLSを使うべき
- メールに平文で重要な情報を記載しないようにするべき

SMTP over SSLとSMTP STARTTLSのどちらを使うべきか

表題の通りでCentos6.7 Final で yum をすると[Errno 14] problem making ssl connectionとなります
この解決方法は割と情報があっていつも以下の通りで直るのですが今回は直りませんでした
なにかリポジトリ等が変わったりしたのでしょうかご存じの方お教え下さいませ

https://ex1.m-yabe.com/archives/5979

```ここに言語を入力
#sedコマンドでファイルをvaultに書き換え。
#mirrorlist= の行をコメントにし、baseurl= のホスト名を「vault.centos.org」に変更しコメントを外す。

# sed -i -e "s/^mirrorlist=http:\/\/mirrorlist.centos.org/#mirrorlist=http:\/\/mirrorlist.centos.org/g" /etc/yum.repos.d/CentOS-Base.repo
# sed -i -e "s/^#baseurl=http:\/\/mirror.centos.org/baseurl=http:\/\/vault.centos.org/g" /etc/yum.repos.d/CentOS-Base.repo

# RPMパッケージをダウンロードするので、任意のディレクトリに移動
$ cd /usr/local/src/

# wgetでRPMのパッケージをダウンロード
$ wget ftp://ftp.pbone.net/mirror/vault.centos.org/6.10/updates/x86_64/Packages/ca-certificates-2020.2.41-65.1.el6_10.noarch.rpm
$ wget http://ftp.iij.ad.jp/pub/linux/centos-vault/6.7/os/x86_64/Packages/p11-kit-0.18.5-2.el6_5.2.x86_64.rpm
$ wget http://ftp.iij.ad.jp/pub/linux/centos-vault/6.7/os/x86_64/Packages/p11-kit-trust-0.18.5-2.el6_5.2.x86_64.rpm

# rpmコマンドでインストール
$ sudo rpm -Uhv  p11-kit-0.18.5-2.el6_5.2.x86_64.rpm p11-kit-trust-0.18.5-2.el6_5.2.x86_64.rpm
$ sudo rpm -Uhv  ca-certificates-2020.2.41-65.1.el6_10.noarch.rpm

#yum clean all

# やってみる
#sudo yum install -y nss
Loaded plugins: fastestmirror, security
Setting up Install Process
Loading mirror speeds from cached hostfile
http://vault.centos.org/centos/6/os/x86_64/repodata/repomd.xml: [Errno 14] problem making ssl connection
Trying other mirror.
Error: Cannot retrieve repository metadata (repomd.xml) for repository: base. Please verify its path and try again


```

この手法で大体直るのですがなにがいけないのでしょうか
vi /etc/yum.repos.d/CentOS-Base.repo
は以下の通りです

```ここに言語を入力
# CentOS-Base.repo
#
# The mirror system uses the connecting IP address of the client and the
# update status of each mirror to pick mirrors that are updated to and
# geographically close to the client.  You should use this for CentOS updates
# unless you are manually picking other mirrors.
#
# If the mirrorlist= does not work for you, as a fall back you can try the
# remarked out baseurl= line instead.
#
#

[base]
name=CentOS-$releasever - Base
#mirrorlist=http://mirrorlist.centos.org/?release=$releasever&arch=$basearch&repo=os&infra=$infra
baseurl=http://vault.centos.org/centos/$releasever/os/$basearch/
gpgcheck=1
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-CentOS-6
slverify=0

#released updates
[updates]
name=CentOS-$releasever - Updates
#mirrorlist=http://mirrorlist.centos.org/?release=$releasever&arch=$basearch&repo=updates&infra=$infra
baseurl=http://vault.centos.org/centos/$releasever/updates/$basearch/
gpgcheck=1
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-CentOS-6
sslverify=0

#additional packages that may be useful
[extras]
name=CentOS-$releasever - Extras
#mirrorlist=http://mirrorlist.centos.org/?release=$releasever&arch=$basearch&repo=extras&infra=$infra
baseurl=http://vault.centos.org/centos/$releasever/extras/$basearch/
gpgcheck=1
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-CentOS-6
sslverify=0

#additional packages that extend functionality of existing packages
[centosplus]
name=CentOS-$releasever - Plus
#mirrorlist=http://mirrorlist.centos.org/?release=$releasever&arch=$basearch&repo=centosplus&infra=$infra
baseurl=http://vault.centos.org/centos/$releasever/centosplus/$basearch/
gpgcheck=1
enabled=0
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-CentOS-6
sslverify=0

#contrib - packages by Centos Users
[contrib]
name=CentOS-$releasever - Contrib
#mirrorlist=http://mirrorlist.centos.org/?release=$releasever&arch=$basearch&repo=contrib&infra=$infra
baseurl=http://vault.centos.org/centos/$releasever/contrib/$basearch/
gpgcheck=1
enabled=0
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-CentOS-6
sslverify=0

```

どなたかピンとくる方お教えいただけますと嬉しいです


Centos6.7 で yum をすると[Errno 14] problem making ssl connectionとなる

# 解決したいこと

透過型プロキシの環境下でPythonのライブラリ(slackbot)を利用して外部とHTTPSでやり取りをしたいのですが、
下記エラーが発生してしまうため無視もしくは証明書の指定をして外部と正常にHTTPS通信をできるようにしたいです。

```
ssl.SSLCertVerificationError: [SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed: self signed certificate in certificate chain (_ssl.c:1123)
```

動かしたいPythonライブラリは`Slackbot`のため、
requestsのような`CURL_CA_BUNDLE=''`のようなものがうまく効かず、なんとかできないかと考えている状況です。

```
(sample-slackbot) nakamiri@ITPC00603:~/work/sample-slackbot$ CURL_CA_BUNDLE="" python run.py
start slackbot
/home/nakamiri/.local/share/virtualenvs/sample-slackbot-YXuvx29z/lib/python3.9/site-packages/urllib3/connectionpool.py:1013: InsecureRequestWarning: Unverified HTTPS request is being made to host 'slack.com'. Adding certificate verification is strongly advised. See: https://urllib3.readthedocs.io/en/latest/advanced-usage.html#ssl-warnings
  warnings.warn(
Traceback (most recent call last):
  File "/home/nakamiri/work/sample-slackbot/run.py", line 19, in <module>
    main()
  File "/home/nakamiri/work/sample-slackbot/run.py", line 13, in main
    bot = Bot()
  File "/home/nakamiri/.local/share/virtualenvs/sample-slackbot-YXuvx29z/lib/python3.9/site-packages/slackbot/bot.py", line 20, in __init__
    self._client = SlackClient(
  File "/home/nakamiri/.local/share/virtualenvs/sample-slackbot-YXuvx29z/lib/python3.9/site-packages/slackbot/slackclient.py", line 43, in __init__
    self.rtm_connect()
  File "/home/nakamiri/.local/share/virtualenvs/sample-slackbot-YXuvx29z/lib/python3.9/site-packages/slackbot/slackclient.py", line 48, in rtm_connect
    self.parse_slack_login_data(reply)
  File "/home/nakamiri/.local/share/virtualenvs/sample-slackbot-YXuvx29z/lib/python3.9/site-packages/slackbot/slackclient.py", line 71, in parse_slack_login_data
    self.websocket = create_connection(self.login_data['url'], http_proxy_host=proxy,
  File "/home/nakamiri/.local/share/virtualenvs/sample-slackbot-YXuvx29z/lib/python3.9/site-packages/websocket/_core.py", line 487, in create_connection
    websock.connect(url, **options)
  File "/home/nakamiri/.local/share/virtualenvs/sample-slackbot-YXuvx29z/lib/python3.9/site-packages/websocket/_core.py", line 210, in connect
    self.sock, addrs = connect(url, self.sock_opt, proxy_info(**options),
  File "/home/nakamiri/.local/share/virtualenvs/sample-slackbot-YXuvx29z/lib/python3.9/site-packages/websocket/_http.py", line 77, in connect
    sock = _ssl_socket(sock, options.sslopt, hostname)
  File "/home/nakamiri/.local/share/virtualenvs/sample-slackbot-YXuvx29z/lib/python3.9/site-packages/websocket/_http.py", line 182, in _ssl_socket
    sock = _wrap_sni_socket(sock, sslopt, hostname, check_hostname)
  File "/home/nakamiri/.local/share/virtualenvs/sample-slackbot-YXuvx29z/lib/python3.9/site-packages/websocket/_http.py", line 156, in _wrap_sni_socket
    return context.wrap_socket(
  File "/home/nakamiri/.pyenv/versions/3.9.1/lib/python3.9/ssl.py", line 500, in wrap_socket
    return self.sslsocket_class._create(
  File "/home/nakamiri/.pyenv/versions/3.9.1/lib/python3.9/ssl.py", line 1040, in _create
    self.do_handshake()
  File "/home/nakamiri/.pyenv/versions/3.9.1/lib/python3.9/ssl.py", line 1309, in do_handshake
    self._sslobj.do_handshake()
ssl.SSLCertVerificationError: [SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed: self signed certificate in certificate chain (_ssl.c:1123)
```

# 環境

羅列するとこんな環境です

* Windows 10 ( or WSLv1 Ubuntu18.04 )
* Python 3.9
* **Slackbotを動かしたい**
* 透過型プロキシが設置されたよくあるオフィスNW
* PCにはプロキシが利用する証明書がインストール済
  
証明書については、
* Windows10は`certlm.msc`で確認できる`信頼されたルート証明機関`配下
* WSLv1 Ubuntu18.04はUbuntu標準方法で、`/etc/ssl/certs`に配置後`update-ca-certificates`

で証明書のインストールを実施しています

---

# 試したこと

**ここから下は回答の参考になればと思い、色々試したことを記載しています**

## Windows 10 ネイティブで

* Python 3.9をインストーラでインストール
* pip実行時に上記SSLエラーが発生したためWin10は一旦諦め、WSLで試すことに

```pip実行時エラー
PS C:\Users****\Desktop> pip install pipenv
WARNING: Retrying (Retry(total=4, connect=None, read=None, redirect=None, status=None)) after connection 
broken by 'SSLError(SSLCertVerificationError(1, '[SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed: self signed certificate in certificate chain (_ssl.c:1122)'))': /simple/pipenv/
WARNING: Retrying (Retry(total=3, connect=None, read=None, redirect=None, status=None)) after connection 
broken by 'SSLError(SSLCertVerificationError(1, '[SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed: self signed certificate in certificate chain (_ssl.c:1122)'))': /simple/pipenv/
WARNING: Retrying (Retry(total=2, connect=None, read=None, redirect=None, status=None)) after connection 
broken by 'SSLError(SSLCertVerificationError(1, '[SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed: self signed certificate in certificate chain (_ssl.c:1122)'))': /simple/pipenv/
WARNING: Retrying (Retry(total=1, connect=None, read=None, redirect=None, status=None)) after connection 
broken by 'SSLError(SSLCertVerificationError(1, '[SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed: self signed certificate in certificate chain (_ssl.c:1122)'))': /simple/pipenv/
WARNING: Retrying (Retry(total=0, connect=None, read=None, redirect=None, status=None)) after connection 
broken by 'SSLError(SSLCertVerificationError(1, '[SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed: self signed certificate in certificate chain (_ssl.c:1122)'))': /simple/pipenv/
Could not fetch URL https://pypi.org/simple/pipenv/: There was a problem confirming the ssl certificate: 
HTTPSConnectionPool(host='pypi.org', port=443): Max retries exceeded with url: /simple/pipenv/ (Caused by SSLError(SSLCertVerificationError(1, '[SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed: self signed certificate in certificate chain (_ssl.c:1122)'))) - skipping
ERROR: Could not find a version that satisfies the requirement pipenv (from versions: none)
ERROR: No matching distribution found for pipenv
Could not fetch URL https://pypi.org/simple/pip/: There was a problem confirming the ssl certificate: HTTPSConnectionPool(host='pypi.org', port=443): Max retries exceeded with url: /simple/pip/ (Caused by SSLError(SSLCertVerificationError(1, '[SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed: self signed 
certificate in certificate chain (_ssl.c:1122)'))) - skipping
```

## WSLv1 Ubuntu 18.04

### slackbot実行のトライアンドエラー
#### `CURL_CA_BUNDLE`の設定

環境変数で`CURL_CA_BUNDLE=''`を実施したが、RTMに入る前の通常のリクエスト部のエラーしか消えず

#### 見つけたエラーを無視しそうな設定

[こちらのQiita記事](https://qiita.com/shutokawabata0723/items/9733a7e640a175c23f39)で見つけたコードをmain関数の定義前のライブラリインポート直後で実行しましたが、変化なしでした。
(Python2系向けのものなのでしょうか...)

また、その後ろに下記のような内容を追加してみましたが、同様でした。

```
ctx = ssl.create_default_context()
ctx.check_hostname = False
ctx.verify_mode = ssl.CERT_NONE
```

(上記の`CURL_CA_BUNDLE`を消すと、一発目の通常リクエストもエラーになり悪化してしまいました)

#### SSL関連の環境変数での調整

下記のような設定を順次試しましたが、全てエラーで止まってしまいました

`SSL_CERT_FILE=/etc/ssl/certs/ca-certificates.crt`
`SSL_CERT_FILE=インストール時に利用した追加用証明書`
`SSL_CERT_DIR=/etc/ssl/certs/`


### 環境構築周り

* pyenvでPython 3.9系をインストール時にwget関連でのエラーが発生したため、上記証明書インストール実施
* 証明書エラーが消えたことを確認できたので、pyenvでPython3.9インストール
* pipで同様のエラーが発生したので`--trusted-host`で逃げて環境構築

ここまでで、wget/curlは普通に実行できるが、Pythonのバイナリで実行されるHTTPS通信がエラーとなることを確認
その上でslackbotを利用したBotアプリを作成して実行すると、同様にエラーが発生するため冒頭のSSLエラーの無視や解決方法を伺いたいです。

プロキシ環境下でのPython SSLエラーの無視もしくは証明書の指定をする方法

お世話になっております。
ウェブサイトをSSL対応させようとしたらapacheが起動しなくなってしまいました。

# 環境
CentOS Linux release 7.3.1611 (Core)
Server version: Apache/2.4.6 (CentOS)
# 経緯
既存の個人サイトをhttps対応にさせたくて、
 - [http://knowledge.sakura.ad.jp/knowledge/5573/](http://knowledge.sakura.ad.jp/knowledge/5573/)
 - [http://weblabo.oscasierra.net/letsencrypt-2/](http://weblabo.oscasierra.net/letsencrypt-2/) 

などを参考に、Let's Encryptの証明書の発行を行ったのち、 


 - `/etc/httpd/conf/httpd.conf`
 - `/etc/httpd/conf.d/ssl.conf`

に証明書ファイルの場所やバーチャルホストの設定を書き加えたのですが、いざapacheを `sudo systemctl restart httpd` としたところ、起動しなくなってしまいました。
```
$ sudo systemctl start httpd

Job for httpd.service failed because the control process exited with error code. See "systemctl status httpd.service" and "journalctl -xe" for details.
```

設定ファイルのSyntax errorを疑って `apachectl configtest` としたところ、Syntnax errorで「証明書ファイルが見つからない」と言われたのですが、それは証明書ファイルのあるディレクトリパーミッションが適切ではないことが原因だったようで、それを直して `Syntax OK` となったのですが、まだ起動しません。

ファイアーウォールの設定も、httpsを許可しています。
ログなどを出してみたものの、ググっても解決せずでした。


# ログなど

```
$ systemctl status httpd.service

● httpd.service - The Apache HTTP Server
   Loaded: loaded (/usr/lib/systemd/system/httpd.service; enabled; vendor preset: disabled)
   Active: failed (Result: exit-code) since 土 2017-01-28 03:54:17 JST; 16min ago
     Docs: man:httpd(8)
           man:apachectl(8)
  Process: 1275 ExecStop=/bin/kill -WINCH ${MAINPID} (code=exited, status=1/FAILURE)
  Process: 1167 ExecStart=/usr/sbin/httpd $OPTIONS -DFOREGROUND (code=exited, status=1/FAILURE)
 Main PID: 1167 (code=exited, status=1/FAILURE)

 1月 28 03:54:17 150-95-128-75 kill[1275]: kill: cannot find process ""
```


```
$ jounralctl -xe

```
長いので [こちら](https://gist.github.com/shutosg/6ea7dfa27b3a5721ad5a9342cedaa74e) に貼りました。

apacheのログに関しては、最新のところが以下の様に出ております。

```
# httpd_error_log
[Sat Jan 28 03:02:49.229090 2017] [ssl:emerg] [pid 23700] AH02240: Server should be SSL-aware but has no certificate configured [Hint: SSLCertificateFile] (/etc/httpd/conf/httpd.conf:419)
[Sat Jan 28 03:03:21.043074 2017] [ssl:emerg] [pid 23755] AH02240: Server should be SSL-aware but has no certificate configured [Hint: SSLCertificateFile] (/etc/httpd/conf/httpd.conf:419)
[Sat Jan 28 03:03:59.848238 2017] [ssl:emerg] [pid 1120] AH02240: Server should be SSL-aware but has no certificate configured [Hint: SSLCertificateFile] (/etc/httpd/conf/httpd.conf:419)
[Sat Jan 28 03:04:34.333542 2017] [ssl:emerg] [pid 2719] AH02240: Server should be SSL-aware but has no certificate configured [Hint: SSLCertificateFile] (/etc/httpd/conf/httpd.conf:419)
[Sat Jan 28 03:06:14.654515 2017] [ssl:emerg] [pid 2796] AH02240: Server should be SSL-aware but has no certificate configured [Hint: SSLCertificateFile] (/etc/httpd/conf/httpd.conf:419)
[Sat Jan 28 03:07:55.335009 2017] [ssl:emerg] [pid 2865] AH02240: Server should be SSL-aware but has no certificate configured [Hint: SSLCertificateFile] (/etc/httpd/conf/httpd.conf:419)
[Sat Jan 28 03:09:16.934538 2017] [ssl:emerg] [pid 2940] AH02240: Server should be SSL-aware but has no certificate configured [Hint: SSLCertificateFile] (/etc/httpd/conf/httpd.conf:419)
[Sat Jan 28 03:11:41.539592 2017] [ssl:emerg] [pid 3020] AH02240: Server should be SSL-aware but has no certificate configured [Hint: SSLCertificateFile] (/etc/httpd/conf/httpd.conf:419)
[Sat Jan 28 03:16:12.647846 2017] [ssl:emerg] [pid 3160] AH02240: Server should be SSL-aware but has no certificate configured [Hint: SSLCertificateFile] (/etc/httpd/conf/httpd.conf:419)
[Sat Jan 28 03:26:53.674303 2017] [ssl:emerg] [pid 3417] AH02240: Server should be SSL-aware but has no certificate configured [Hint: SSLCertificateFile] (/etc/httpd/conf/httpd.conf:419)

# ssl_error_log
[Sat Jan 28 02:01:15.643699 2017] [ssl:warn] [pid 10363] AH01909: RSA certificate configured for ***:***:***:***:***:***:443 does NOT include an ID which matches the server name
[Sat Jan 28 02:01:15.643699 2017] [ssl:warn] [pid 10363] AH01909: RSA certificate configured for ***:***:***:***:***:***:443 does NOT include an ID which matches the server name
```

エラーメッセージにでている `/etc/httpd/conf/httpd.conf` の419行目ですが、以下のようなディレクティブが続いています。
```
<VirtualHost *:443>
  SSLEngine on
  ServerName my_domain.net
  ServerAlias www.my_domain.net
  DocumentRoot /path/to/my/www/doc/
  CustomLog logs/my_domain-access_log combined
  ErrorLog logs/my_domain-error_log （上述のhttpd_error_logのこと）
</VirtualHost>
```

よろしくお願いします。

サイトをSSL対応させようとしたらapacheが起動しなくなった

Apache、SSLプロトコルを、TLS1.2のみに設定しようとしていますがエラーになり解決方法を探しています。

サーバの環境は以下の通りです。
```
[root@xxx-xxx-xxx-xxx conf.d]# uname -a
Linux xxx-xxx-xxx-xxx.example.com 2.6.18-238.el5 #1 SMP Thu Jan 13 15:51:15 EST 2011 x86_64 x86_64 x86_64 GNU/Linux
[root@xxx-xxx-xxx-xxx conf.d]# openssl version
OpenSSL 0.9.8e-fips-rhel5 01 Jul 2008
```


変更前
```shell
<VirtualHost *:443>
    DocumentRoot /var/www/html
    ServerName www.example.com
    SSLEngine on
    SSLProtocol all -SSLv2 -SSLv3
    SSLCipherSuite ALL:!ADH:!EXPORT:!SSLv2:RC4+RSA:+HIGH:+MEDIUM:+LOW:!RC4:!DES-CBC-SHA:!EDH-RSA-DES-CBC-SHA
    SSLHonorCipherOrder on
    Header always set Strict-Transport-Security "max-age=315360000; includeSubDomains"
    SSLCertificateFile /etc/httpd/conf.ssl/www.example.com/domainname.crt
    SSLCertificateKeyFile /etc/httpd/conf.ssl/www.example.com/domainname.key
    SSLCACertificateFile /etc/httpd/conf.ssl/www.example.com/domainname.ca
</VirtualHost>
```

上記設定ｈではTLS1.0のみ有効になります。

変更後
```shell
<VirtualHost *:443>
    DocumentRoot /var/www/html
    ServerName www.example.com
    SSLEngine on
    SSLProtocol +TLSv1.2
    SSLCipherSuite ALL:!ADH:!EXPORT:!SSLv2:RC4+RSA:+HIGH:+MEDIUM:+LOW:!RC4:!DES-CBC-SHA:!EDH-RSA-DES-CBC-SHA
    SSLHonorCipherOrder on
    Header always set Strict-Transport-Security "max-age=315360000; includeSubDomains"
    SSLCertificateFile /etc/httpd/conf.ssl/www.example.com/domainname.crt
    SSLCertificateKeyFile /etc/httpd/conf.ssl/www.example.com/domainname.key
    SSLCACertificateFile /etc/httpd/conf.ssl/www.example.com/domainname.ca
</VirtualHost>
```

上記設定では以下のエラーになります。

```ここに言語を入力
[root@xxx-xxx-xxx-xxx conf.d]# /etc/init.d/httpd restart
httpd を停止中:                                            [  OK  ]
httpd を起動中: Syntax error on line 46 of /etc/httpd/conf.d/php.conf:
SSLProtocol: Illegal protocol 'TLSv1.2'
                                                           [失敗]
[root@xxx-xxx-xxx-xxx conf.d]# openssl s_client -connect 127.0.0.1:443
socket: Connection refused
connect:errno=29
```

何卒ご教授頂きたく質問します。

TLS1.2の有効化

IT初心者で基本的なことかもしれませんが、皆様からご教示いただきたいです。

# ご教示いただきたいこと
**「ブラウザによって証明書が有効・無効が異なるのは、どのような原因があるのでしょうか。」**

# 質問の背景
本日「edex.adobe.com」というアドビのサイトへ、初めてアクセスしました。
● Chromeブラウザを使うと、以下のエラーが表示されます。
``` エラー文
この接続ではプライバシーが保護されません
攻撃者が、edex.adobe.com 上のあなたの情報（パスワード、メッセージ、クレジット カード情報など）を不正に取得しようとしている可能性があります。
```

● 一方でSafariブラウザを使うと、問題なくWebサイトへアクセスすることができます。


# 分かっていること
Chromeブラウザでエラーが表示されるのは、
「無効な証明書を使っているから」というのは分かっています。

また、今回のドメインへは初めてのアクセスのため、
ブラウザのキャッシュも関係なさそうです。
（証明書にキャッシュが関係なければご指摘いただけると非常に嬉しいです。）
 
 
どうぞよろしくお願いいたします。

ブラウザによって証明書が無効になるのは、何故でしょうか。

###問題
勉強がてらプロキシサーバーのSquidを入れて、プログラムからそのプロキシ経由でリクエストを飛ばすと
以下のようなHTMLが返却される。

```ここに言語を入力
ERROR

The requested URL could not be retrieved

The following error was encountered while trying to retrieve the URL: https://{接続先ホスト}/*

URI Host Conflict
This means the domain name you are trying to access apparently no longer exists on the machine you are requesting it from.

Some possible problems are:

The domain may have moved very recently. Trying again will resolve that.
The website may require you to use a local country-based version. Using your ISP provided DNS server(s) should resolve that.
```

###環境情報
ローカルの仮想環境にプロキシを入れている。
【ホストOS】
Windows 10
192.168.137.1

【ゲストOS】
CentOS Linux release 7.4.1708
192.168.137.39

【プロキシサーバー】
Squid 3.5.20

###補足情報
- Squidはyumでインストールした
- HTTPポート(3128)とHTTPSポート(3129)を受け付けるようにファイアウォールで設定した
- 通信プログラムの実行はホストOSで行っている
- HTTPでは成功している
- SSLの証明書は自己署名

###squid.conf
まだ良く分かっていないので、元々あったものを結構残しています。
```
acl localnet src 192.168.137.0/24

acl SSL_ports port 443 3129
acl Safe_ports port 80		# http
acl Safe_ports port 443		# https
acl Safe_ports port 1025-65535  # unregistered ports
acl CONNECT method CONNECT

http_access deny !Safe_ports

http_access deny CONNECT !SSL_ports

http_access allow localhost manager localnet
http_access deny manager

http_access allow localnet
http_access allow localhost

http_access deny all

visible_hostname my-host-name

http_port 3128
https_port 3129 intercept ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB cert=/etc/squid/cacert.pem key=/etc/squid/ca.key

ssl_bump bump all
sslcrtd_program /usr/lib64/squid/ssl_crtd -s /var/db/ssl_db -M 4MB

coredump_dir /var/spool/squid

refresh_pattern ^ftp:		1440	20%	10080
refresh_pattern ^gopher:	1440	0%	1440
refresh_pattern -i (/cgi-bin/|?) 0	0%	0
refresh_pattern .		0	20%	4320

dns_nameservers 192.168.137.1

logformat squid [%{%Y/%m/%d.%H:%M:%S}tl] %>a %Ss/%03>Hs %<st %rm %ru %[un %Sh/%<a %mt

```

###access.log
```ここに言語を入力
// HTTPで通信した場合は以下の１行が出力されて成功する。
192.168.137.1 TCP_TUNNEL/200 7137 CONNECT {接続先ホスト}:443 - HIER_DIRECT/23.100.101.120 -

// HTTPSで通信した場合は以下の２行が出力されて失敗する。
192.168.137.1 TAG_NONE/200 0 CONNECT 192.168.137.39:3129 - HIER_NONE/- -
192.168.137.1 TAG_NONE/409 4156 CONNECT {接続先ホスト}:443 - HIER_NONE/- text/html
```

---
サーバーとネットワークが苦手なので、勉強のためにググりながらやってましたが、
どうにも詰まってしまいました。。。
心当たりがある方いましたら、どうぞご助力ください。

プロキシサーバーのSquidでSSL通信すると"URI Host Conflict"となり通過できない

### 実現したいこと
よろしくお願いします。

Let's EncryptのSSL証明書発行ができず解決法を探しております。

さくらサーバのVPSを借りています。
OS:CentOS Stream 8

現在、私が構築していたサイトはSSL証明書の期限が切れており
https://abc.xyz.jp にアクセスすると「この接続ではプライバシーが保護されません」と出ている状態です。

コマンドを試し、エラーが出た結果は以下となっています。（一画面で見やすいように■■改行■■というところで改行を編集しています）
```ここに言語名を入力
[root@abc123 html]# certbot certonly --webroot -w /var/www/html -d abc.xyz.jp
Saving debug log to /var/log/letsencrypt/letsencrypt.log
 
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
An RSA certificate named abc.xyz.jp already exists. Do you want to update
its key type to ECDSA?
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
(U)pdate key type/(K)eep existing key type: K
Renewing an existing certificate for abc.xyz.jp
 
Certbot failed to authenticate some domains (authenticator: webroot). The Certificate ■■改行■■
Authority reported these problems:
  Domain: abc.xyz.jp
  Type:   unauthorized
  Detail: The key authorization file from the server did not match this challenge ■■改行■■
"ABcdEFgHIjKlmnABcdEFgHIjKlmn-ABcdEFgHIjKlmn_ABcdEFgHIjKlmn.ABcd1EF ■■改行■■
2gH3Ij4Klmn_ABCDEF" != "<h1>Test</h1>"
 
Hint: The Certificate Authority failed to download the temporary challenge files  ■■改行■■
created by Certbot. Ensure that the listed domains serve their content from the  ■■改行■■
provided --webroot-path/-w and that files created there can be downloaded from  ■■改行■■
the internet.
 
Some challenges have failed.
Ask for help or search for solutions at https://community.letsencrypt.org.  ■■改行■■
See the logfile /var/log/letsencrypt/letsencrypt.log or re-run  ■■改行■■
Certbot with -v for more details.
```
この
```ここに言語名を入力
"ABcdEFgHIjKlmnABcdEFgHIjKlmn-ABcdEFgHIjKlmn_ABcdEFgHIjKlmn.ABcd1EF ■■改行■■
2gH3Ij4Klmn_ABCDEF" != "<h1>Test</h1>"
```
の照合しようとしている部分が、間違ってHTMLになってしまっているのが原因かなと思っています。
後述の「集めた情報」にもある、
```ここに言語名を入力
[root@abc123 ~]# vi /etc/httpd/conf.d/vhost.conf

■■vhost.confの中身 ここから■■
<VirtualHost *:80>
DocumentRoot /var/www/html
ServerName abc.xyz.jp
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URL} [R=301,L]
</VirtualHost>
■■vhost.confの中身 ここまで■■
```
に、ポート80のアクセスは、httpsでアクセスを行うようにする記述が原因かなと思っています。
.
.
サーバを構築して初めてSSL証明書を発行したときにはエラーが出ず、
　https://abc.xyz.jp
へのアクセスは正しく表示されていました。
（Windows10のChromeで確認）
（AndroidのChromeから確認）
（iPhoneのSafariから確認）
SSL証明書は定期的に自動更新するように設定していたけど、素人技術で一度も成功しておらず今回も自動更新せず、証明書の有効期限が切れてから今回、手動での更新に至っています。そして上記の様なトラブルが発生中です。

調べる過程で必要と思われる情報について、以下のような情報を集めています。
### 集めた情報
```ここに言語名を入力
[root@abc123 ~]# cd /etc/httpd/conf.d/
[root@abc123 conf.d]# ls
README          php.conf  userdir.conf  welcome.conf
autoindex.conf  ssl.conf  vhost.conf
[root@abc123 conf.d]# vi vhost.conf

■■vhost.confの中身 ここから■■
<VirtualHost *:80>
DocumentRoot /var/www/html
ServerName abc.xyz.jp
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URL} [R=301,L]
</VirtualHost>
■■vhost.confの中身 ここまで■■
```
```ここに言語名を入力
[root@abc123 conf.d]# cd /etc/nginx
[root@abc123 nginx]# ls
conf.d  default.d
[root@abc123 nginx]# cd default.d
[root@abc123 default.d]# ls
php.conf
[root@abc123 default.d]# vi php.conf
■■php.confの中身 ここから■■
# pass the PHP scripts to FastCGI server
#
# See conf.d/php-fpm.conf for socket configuration
#
index index.php index.html index.htm;
 
location ~ \.(php|phar)(/.*)?$ {
    fastcgi_split_path_info ^(.+\.(?:php|phar))(/.*)$;
 
    fastcgi_intercept_errors on;
    fastcgi_index  index.php;
    include        fastcgi_params;
    fastcgi_param  SCRIPT_FILENAME  $document_root$fastcgi_script_name;
    fastcgi_param  PATH_INFO $fastcgi_path_info;
    fastcgi_pass   php-fpm;
}
■■php.confの中身 ここまで■■


[root@abc123 default.d]# cd ../
[root@abc123 nginx]# ls
conf.d  default.d
[root@abc123 nginx]# cd conf.d
[root@abc123 conf.d]# ls
php-fpm.conf
■■php-fpm.confの中身 ここから■■
# PHP-FPM FastCGI server
# network or unix domain socket configuration
 
upstream php-fpm {
        server unix:/run/php-fpm/www.sock;
}
■■php-fpm.confの中身 ここまで■■
```
```ここに言語名を入力
[root@abc123 conf.d]# firewall-cmd --list-all
public (active)
  target: default
  icmp-block-inversion: no
  interfaces: ens3
  sources:
  services: cockpit dhcpv6-client ftp http https ssh
  ports: 52863/tcp 49162/tcp 5432/tcp
  protocols:
  forward: no
  masquerade: no
  forward-ports:
  source-ports:
  icmp-blocks:
  rich rules:
```
```ここに言語名を入力
[root@abc123 conf.d]# cd /etc/letsencrypt/renewal/
[root@abc123 renewal]# ls
abx.xyz.jp.conf
[root@abc123 renewal]# vi abx.xyz.jp.conf

■■abx.xyz.jp.confの中身 ここから■■
# renew_before_expiry = 30 days
version = 1.32.0
archive_dir = /etc/letsencrypt/archive/abx.xyz.jp
cert = /etc/letsencrypt/live/abx.xyz.jp/cert.pem
privkey = /etc/letsencrypt/live/abx.xyz.jp/privkey.pem
chain = /etc/letsencrypt/live/abx.xyz.jp/chain.pem
fullchain = /etc/letsencrypt/live/abx.xyz.jp/fullchain.pem
 
# Options used in the renewal process
[renewalparams]
account = 1a234b567c8d901e2f3ab45c6de78901
authenticator = webroot
webroot_path = /var/www/html,
server = https://acme-v02.api.letsencrypt.org/directory
key_type = rsa
[[webroot_map]]
abx.xyz.jp = /var/www/html
~
■■abx.xyz.jp.confの中身 ここまで■■
```


もし、必要な情報が抜け落ちていましたら、申し訳ありません、すぐに提示したいと思います。
どのような情報でも嬉しいです。ご指導をお願いします。
よろしくお願いします。