StartSSL発行の証明書をChromeが拒否しだした

さて、いよいよやってきたこのとき。Firefoxでの記事を前に書いたが、それよりもChromeの対応が早かった。
ついにDevelop版でプライバシーエラーが2016年10月以前に作った証明書でも出だした。
個人では2つドメインを管理しているが、このブログを運営してるドメインは、念の為Let’s Encryptに差し替えておいたが、もう一つの方は準備だけして差し替えずにいた。そして昨日(2/1)にプライバシーエラーが出ることを確認し、予定通り差し替えた。2月中に更に別の証明書に変更する予定だ。
StartSSLでプライバシーエラーが出たときの画面
さて、Googleで「StartSSL 無料」などと検索したサイトをクリックするとプライバシーエラーが出るサイトがある。
調べてみたところ…
「プライバシーエラー」が出るサイトの中間CA証明書の発行元の一般名(CN)

  • StartCom Class 1 DV Server CA
  • StartCom Class 2 Primary Intermediate Server CA
  • StartCom Class 3 OV Server CA

通常通り接続できるサイトの中間CA証明書の発行元の一般名(CN)

  • StartCom Class 4 EV Server CA

「StartCom Class 4 EV Server CA」はstartssl.comで確認した。(中間CA証明書の発行元の一般名って呼び方あってんのかいな…)
殆どが別の認証局に移っていたので多く見つけられなかったが、StartSSLのサイトのほとんどのサイトでアクセスできなかった。ただし詳細設定からアクセスすることは可能だった。
Stable版はどうなってるかわからないが、同じようになるのだろう。
10月以降に発行して沼にハマった人がいるようだが、StartSSLのホームページに注意書きはないどころか「Transparency(透明)」ってある。Oh,No…
確かサインインした先に何か書かれていた気もするが忘れた。
ただし、Newsに注意書きがある(上は太文字なのに重要な部分は赤文字だけで太文字ではないのね…)
読む限り、新たな証明書に移行し信頼されればその時から新たにStartSSLで発行される証明書は使えそうだ。
ちゃっかり無料版の期限が3年に伸びてるがこれはWoSignと同じでは…
StartComは完全に独立したわけではなく、とある中国企業の傘下にある。
イスラエル発のStartComが買収でこのような事態になってしまったのは残念だが、StartSSLを離れることにした。

サーバ機更新

コーヒー美味しい。(唐突)
三ヶ日は家に閉じこもりいろいろしていて2017年到来が実感できてない頃ですが、どんな年になるんでしょう。
さてさて、新年ということでサーバ機を新たに作りました。
…と言うのは冗談で12月の三連休に大阪行ったとき調子に乗って最新・新品CPUを買ったからです。(Kaby Lake出ますね〜)
Xeonは手は伸びずにね…Coreシリーズに手を伸ばす…オカネナイ…。
さて(家にある部品を使わず)全部新品部品で組んだPCにOpenSUSE入れて爆速OSインストールにテンションMAXでサーバーの設定しました。
基本的にはscpで前のデーターを持ってきましたがソフトウェア設定は見直しました。
ルンルン気分で寝て次の日サーバーがネットにつなげてないと焦ってましたが直ったようです()。
前のサーバーはCore2DuoだったりHDD異常だったり危なかったので、交換して一安心。ファイルサーバも速い速い。
思えばペンティアムの64Bitが使えないメモリ256MBなサーバから始まりラズベリーパイ初代、Core2Duoなサーバーと進化しこれで4代目です。
サーバOSはDebian,Fedora Server,Raspbian,Ubuntu Serverと動かしていき現在はOpenSUSEです。
メモリ増量、SSD追加などしていきたいと思います。

設定が行き届かずサーバに繋げないときがあるかもしれませんが、そのときは…一時待ってみてください。
では。

openSUSEにCanon PIXUS MG3630を無線接続する

今年もわずか数日。
そんなときに時代の進化をしみじみと感じてる自分。
今はプリンタをどこかにドンと置いて、電源つけて、紙をセットすればWifi越しにできるんですねぇ。いやはや。
さてそんな感想はおいといて、この機能、Linuxでも使いたいという願望は自然に現れるわけで、セットアップしましょう。
Windowsは勝手に認識してくれるんですがLinuxは自動では出てきません。(出ては来るがうまく使えない。もしかしたらいっとき経つとLinuxにドライバが追加されて自動認識するかもしれない。)
というわけで印刷できるようにする。
前提条件
プリンタのWifi設定を済ましてある。

プリンタ<-(Wifi)->ルータ<-(有線・無線)->openSUSE

ファイアウォールは「Zerconf/bonjourマルチキャストDNS」を許可しておく(Yast->ファイアウォール->許可するサービスより)
=========================

まずCanonのソフトウェアダウンロードページにアクセスし、「インクジェットプリンター」をクリック、「インクジェット複合機」と進んでいく、自分のプリンターの型番を選び、OSではLinuxを選ぶ、「IJ Printer Driver Ver. 5.20 (rpmパッケージアーカイブ)」を選び、使用許諾契約書をよく読んで右の「rpm HTTPダウンロード」をクリック。保存して展開し、「packages」の中のx86_64(32bitならi386)のrpmをインストール(sudo rpm -iする)。
次にアプリケーションメニューの「設定」から、「印刷の管理」をクリック。ブラウザが起動しCUPSが出てくる。
ここでプリンタの電源をつけWifiを有効にし待機させる。
「管理」から「プリンターの追加」を押すとユーザー、パスワードを要求するので、「root」とパスワードを入れる。
すると「発見されたネットワークプリンター: Canon MG3600 series (Canon MG3600 series)」とあるはずなので、チェックを入れ、「続ける」。名前や場所を設定(デフォルトでもOK)、デフォルトの動作を聞いてくるので設定し保存する。
これで完了。
試しにGIMPで画像を開いて「ファイル」より「印刷」を出すと「Canon_MG3630_series」がいるので印刷サイズなどを設定して印刷するとウィィィン…完了です。
ちなみにGwenviewでするとデフォルトでモノクロ印刷になった。Options>>よりOptionsタブを選んでColor ModeをColorにする。
スキャナのドライバも入れれば動くのかな?まぁスキャンは今の所しないので、パス。

—追記(2018/04/14)—
KDE設定のプリンタドライバ一覧に追加されてました。よってダウンロード作業は不要です。

openSUSEでH264な動画再生

さてもう少しで2016年も終わりですね…
ポケッと過ごしてたら12月。
そう思っていたら
「あ、libavcodecがVLCのものではないのでは!!」
と頭に浮かんだ次第でございます。いつも突然浮かぶのでありまして。
さて試したとこ、動きました。おお。
結局Phononは関係ありませんが、一部アプリに効果はあるよう。
というわけで記録

  1. VLCのリポジトリを導入(https://pg-mana.net/blog/opensuse-42-1-vlc/を参照)またはPacmanリポジトリを追加
  2. libavcodec**(現時点では56,57だった)のベンダーをVLCのリポジトリに変更(Yastはバージョンタグから)
  3. ついでにlibavutil、libavformatもベンダーも変える。
  4. 再起動

これで行けると思う。多分。
突発的にやったのでよく記録を取ってないです。ログを見ました。
わからないことがあったらわかる範囲で答えたいと思いますので、下のコメント欄へお願いします。

==追記==
なんとLeap 42.2と42.1はlibavc57のVLCからの提供がないため使えない。つまり再生できない。Tumbleweedでしかできないようだ…悲しいなぁ。

Linux(GUI)を使うときに入れるソフト

備忘録です。よかったら参考程度にどうぞ。

  • Firefox
  • Google Chrome
  • Qupzilla
  • VLC(Codecs含む)
  • Git
  • KDevelop
  • Okteta
  • ThunderBird
  • Timidity++
  • Qt Creator
  • fish
  • noto-coloremoji-fonts
  • Linphone
  • Atom
  • Kdenlive
  • GIMP
  • Skype for Linux(新しい方)
  • Rust
  • Go
  • Clang
  • VirtualBox

KDevelop入れるときはlibQt**-devel、qconf,cmakeなど入れるように。
ここは随時追加していきます。

PhononのバックエンドをVLCに変える

ついにニコニコ動画のHTML5β版が降りてきて大喜びのPG_MANAですが、Firefox(in openSUSE)ではH264な動画が再生できない…前はできてた気がするんですが。
Gstreamerのプラグイン入れたり、再インストールしたり「gst-inspect」の結果を研究したり、色々しましたが無理でした。うーん難しい(gstreamerの仕組みをよく知ってない)。というか、「gstreamer-plugins-ffmpeg」のようなものがないんですよね。Pacmanにありそう。

つまり面倒くさいのもあって本気では取り組んでない。
まあ、Google-Chromeで…と言いたいですが、なんか最近KDE(Plasma 5.8.3になってから)が不調でGTK+なアプリを使うと突然Xサーバーがフリーズする。これ痛い。ログも有益な情報が残ってないし、ソースコードは(技術・時間的に)読めないし…(Xの設定いじったら直った)
とにかく強いLinuxユーザーになりたい。
さて探しているときにKDEが「Phonon」というフレームワークがあることを知りました。
これは度重なるGStreamerの仕様変更でうんざりしたKDE開発者たちが、間にワンクッション挟み、仕様変更でそのクッションだけ変更しようと考え開発されたそうです。
さてこれはバックエンドを選べるようになっており、デフォルトではGStreamerですが、これをVLCに変更できるようです。希望を抱いてYastで「phonon-backend-gstreamer」を削除し「phonon-backend-vlc」「phonon4qt5-backend-vlc」を追加し、再起動。
Qupzillaを起動しyoutube.com/html5へ飛んでいったもの変わらず…。ほぇ〜。
しかし「Dragon Player」がH264な動画を再生できるようになりました。一瞬何かの間違いだろうと思いましたが、バックエンドをGStreamerに戻すと再生できない。つまりKDE謹製のソフトでは効果があったようです。QtはPhononを採用したとあったきがするのですが。

さてこのPhononとやら、音楽再生がすごく便利みたいです。C++でもサラッとできる様。今度触ってみよう。

ということで何が書きたいかわからない文章が出来上がりましたが、「Phonon」の紹介でした。

証明書について

証明書というのはもちろんサーバーのことですが、これが最近問題なのです。
このサイトの認証局は”StartCom Certification Authority”(2016/12現在)なのですが、ご存知の通りいつの間にかWoSignに買収され、WoSignとともに数々の失態を犯してきたようです。SHA1の証明書を業界基準を超えて発行するために日付を偽装して発行したりサブドメイン所有者がRootドメインの証明書取れたり…ホェ~って感じですね(表現力不足)。
余談ですが、中国ではWinXP-SP2なPCが山ほどあるのでSHA1証明書使えなくなったらIEでサイト見れないからどうにかしてほしいといわれ日付偽装したらしいですが、中国も大変ですね…大量の最新PCを生産してるのに国民の大半はそれを使えないとはね…
さてMozillaはWoSign&StartComが新たに(2016-10-21以降かな?)発行する証明書を信頼しないようにする方針のようです。この変更はFirefox 51(おそらく正式版。というかDevはすでに51超えてるしカレンダーには2017-01-24とあるので来年かな。)に適用され、2017-03以降のいつかに
WoSign&StartComが信頼済み認証局から外されることになり、これは両社の新証明書への移行プランによっては調整するとあります。
https://blog.mozilla.org/security/2016/10/24/distrusting-new-wosign-and-startcom-certificates/から出典(訳が間違ってたら、教えてくださるとうれしいです。)

さてさて、Appleも何等かの対策を講じ、Googleも続くのではないかと思います。2社の大きな株主がQihoo 360でこれまた中国のセキュリティ会社です。無料のウイルス対策ソフト出してるところですね。ここがマイクロソフトと提携してるのでIE&Edgeがどう出るか知りませんが…まあこの二つのブラウザは使う気もなく自分のサイトが動作するかもわからないので(個人サイトだから言えること…)知ったこっちゃありません。さてこのサイトのは10月以前に発行されたので直ちに影響を受けるものではありませんが、いずれ影響を受けるでしょう。
今後永遠に使えなくなるわけではない様ですが、上に立ってるのが正直大丈夫なのか疑わしいレベルです。よってLet’s encryptにしてみるのというのも手ですが最近は格安で日本製のSSLが取れるようなのでこれを買うのもいいかもしれません。こんなサイトに不似合いですが。
ちなみにStartComのアカウントは消せません(7年間保存されるとどこかにあった気が)。これはセキュリティ対策だとか。まあ仕方ないですね。

KDE Connect

openSUSEのTumbleweedを使っていた時にKDE Connectという謎の機能が標準でついてきたので、気になっていたが使ってはいなかった。Leap 42.2になってKDEがアップデートされ、KDE Connectが出てきた。
さて…「なんや、これ」と調べてみると、スマホとPCをつなぐためのソフトでスマホには
Androidソフトを入れればよいらしい。
あとPC側はファイアウォールが有効になってるのであればYast=>セキュリティ=>Firewallで許可するソフトでKDE Connectを許可すればよさそう(…そういえばこれopenSUSEだけでしたね。ほかのではTCP/UDPの1714~1764ポートをあけておいてください。)
でもって、スマホをPCと同じネットワークにつなぎ(要はスマホをWifiにつなぐ)アプリを起動すると接続可能なPC一覧が出てきます。そこから選ぶとPC側で通知が出るので接続許可します。
これで準備完了です。
PCからスマホの中身のぞいたり、PCにファイル送ったり、PCのマウス・キーボードをスマホからいじれたり、スマホの通知をPCで受け取ったり(スマホの通知リスナーを有効にします)。許可するコマンドはスマホアプリの右上のボタンから設定できます。

…ただ現時点ではペア設定して通信しているとスマホのバッテリーの減りが…これはまあ仕方ない。
ただとても面白い機能なので使ってみてはいかがでしょう。

公式のWikiは
https://community.kde.org/KDEConnectです。

Pydio7

Pydio7が出てアップデートに手こずっていましたが…(一時このブログを間違って消してしまった…バックアップとっててよかった…)
アップデートしたあとにWebdavが使えないので困った。
解決には…
設定=>Application Core=>Pydio Main Options をだして
「WebDAV Server」の欄の
Enable for all usersを「Yes」(これがNoだとバグる…うちだけ?)
Shares URIを「/shares」とする(ここで重要なのが一番最初のスラッシュは必ず付け、最後にスラッシュは付けないこと。sharesは別に変えてもいい。)
またnginxの設定でrewriteをいろいろ書いていたと思うが…全部消して

...pydioの設定(location /pydio{...みたいに)...
if (!-e $request_filename){
rewrite ^(.*)$ /(pydioをインストールした場所)/index.php last;
}

を入れること。最大アップロードサイズやその他諸々は適宜設定。(要はrewriteが一個だけになった)
これで使えるようになった。大幅にソースを書き換えたらしいのでどうなったか楽しみですな。