Let’s Encrypt の証明書を更新したら sendmail と courier-imap に接続できなくなった話。

3月 282023
 

三ヶ月に一回 Let’s Encrypt の証明書の更新があるわけだけど、今回はハマった・・。なのでちょっと書いておきます。

Let’s Encrypt の SSL 証明書更新後はちゃんと openssl コマンドを利用して確認するんだけど・・。

 
・https の確認

$ openssl s_client -connect running-dog.net:443 | openssl x509 -enddate | grep notAfter

 
・sendmail の確認

$ openssl s_client -connect mail.running-dog.net:587 -starttls smtp | openssl x509 -noout -dates

 
・imaps の確認

$ openssl s_client -connect mail.running-dog.net:993 | openssl x509 -noout -dates

 
まぁ、これらのコマンドを打って確認できるのは証明書の日付くらいか・・。サービスが実際に正常動作しているかは、やはり、ログを見ないと解らないか・・。

 
今回の Let’s Encryp の SSL 証明書更新後のハマりポイント。

 
1. Apple のメールアプリが imaps サーバに接続できなくなった
macOS や iOS などのメールアプリが根こそぎ imaps サーバに接続できなくなった。 macOS に Thunderbird をインストールしてそこから imaps サーバにアクセスすると特に問題なくアクセスできる・・。

macOS のメールアプリからアクセスすると、ログには以下のように残っていました。
あぁ・・。 moacOS 側のアプリのキャプチャ無くてすみません・・。

imapd-ssl[39496]: ip=[<略>], couriertls: connect: error:1417A0C1:SSL routines:tls_post_process_client_hello:no shared cipher

 
なんか、おかしい・・。macOS 上の SSL 証明書を「キーチェーンアクセス」から削除してもダメ・・。

まぁ、ログを見ると cipher が足りない風な感じはしているのよねぇ・・。

と、いうことで Apple 製品の SSL 系 cipher についての記載を調べてみると以下の URL が見つかりました。

https://support.apple.com/ja-jp/guide/security/sec100a75d12/web

上記を読むと『 ECDHE_ECDSA_AES および ECDHE_RSA_AES』が必要なようです。僕は imap サーバに courier-imap を利用している(この記事の執筆時点にインストールされているバージョンは courier-imap-5.2.2 です)のだけど、この二つの cipher を /usr/local/etc/courier-imap/imapd-ssl の設定に追加しました。

こんな感じになりました。

TLS_CIPHER_LIST="ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES128-SHA:DES-CBC3-SHA:ECDHE_ECDSA_AES:ECDHE_RSA_AES"

 
随分と長くなりました。で Apple 製品のメールクライアントからアクセスすると無事に接続できるようになったのでありました。ふぅ・・。

 
2. sendmail が他のメールサーバから Relay を受け付けなくなった
imapd に接続できないのはまぁ、良いんだけど、こっちはダメージでかいですね。届くはずのメールが届かないのでおかしいなぁ・・。と、思っていたら sakura インターネットからのメールがエラーになっていて・・。

ログを確認すると、こんな感じ。

sm-mta[76876]: STARTTLS=server, error: accept failed=-1, reason=no shared cipher, SSL_error=1, errno=0, retry=-1, relay=<略>.sakura.ne.jp [<略>]

 
なんか、こちらも cipher が足りない感じ。orz

しょうがないので /etc/mail/sendmail.cf の O CipherList をちょっと変更。

#O CipherList=ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-SHA256:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:AES128-GCM-SHA256:AES128-SHA256:AES128-SHA:
O CipherList=ALL
#O CipherList=ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-SHA256:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:AES128-GCM-SHA256:AES128-SHA256:AES128-SHA:ECDHE-ECDSA-AES256-GCM-SHA384:

 
当初設定したていたのはコメントアウトしてある一番上の行。どの cipher が足りないのか解らないので真ん中の O CipherList=ALL 行を有効にして全ての cipher で対応できるようにして、ログを確認。そーすると、ちらほらメールを受信し始めました。ふぅ。
で、更にログを眺めいてたら以下のログを発見。

sm-mta[33084]: STARTTLS=server, relay=<略>.sakura.ne.jp [<略>], version=TLSv1.2, verify=NO, cipher=ECDHE-ECDSA-AES256-GCM-SHA384, bits=256/256

 
なるほど。新たに ECDHE-ECDSA-AES256-GCM-SHA384 を追加する必要があるのね。と、いうことで O CipherList の設定は一番下の行にして、sendmail を再起動したら無事に復活したのでありました。

 
ふぅ。それにしても Let’s Encrypt の SSL 証明書を更新しただけで、メールの送受信ができなくなるとは恐ろしいことだぁ・・。

https は全然問題なかったのだが・・。

それにしも証明書の更新後の確認は日付だけでなく、ログの確認であるとか、実際にポートに接続して確認する必要があるかなぁ・・。今後の課題ですな。

 
と、いいつつ Let’s Encrypt だけでなく google や Apple は SSL 証明書の期限をさんが月にしよう。キャンペーンをしているけど・・。大変になる頻度が増えるかな。

Android タブレット購入。

3月 062023
 

最近、スマートフォンは以下を利用しております。

画面が一番大きいのは moto g52j 5G ですが、やはりもっと大画面が欲しい。と、なったのであります。
僕は Y!mobile ユーザで PayPay も利用しているので「ヤフープレミアム会員」です。そうすると、雑誌読み放題な特典が付いてきて、スマートフォンで色々な雑誌を見ることが可能です。
例えば競馬新聞である『馬サブロー』なんかも閲覧可能なので、競馬の予想もできます。と、いうことは・・。やはっぱりタブレットが欲しい。大画面が魅力的に感じるのであります。

と、いうことで今回は ALLDOCUBE iPlay50 という Android タブレットを購入してみました。これを購入した決め手は画面サイズですね。解像度が 2000×1200 の 2K ディスプレー、俗に WUXGA とでも言うのでしょうか。
価格的には 17,000yen 弱でした。こいつにケースを追加で購入。これで僕もすっかりとタブレット人生を歩むことになりそうです。

写真はこんな感じです。
壁紙はあんまり気にしないでくださいf(^^;;。

で、購入後 10 日ほど利用してみたので ALLDOCUBE iPlay50 の気がついた点をダラダラと書いてみます。

 
1.Android12
Android のバージョンは 12 でした。今僕が利用している moto g52j 5G や Xperia 10 II XQ-AU52 (こいつは SIM ナシで Wi-Fi で一応、利用中) なんかも Android12 です。 Android12 の機能は多分一通り利用できると思われます。画面分割とか一応利用可能です。

 
OS が一緒なのでスマートホンと機能的には本当に変わらないですね。ただ単に画面が大きくなった感じでしょうか。 iOS と iPadOS は大きな違いがあるのかな?

 
ロック画面の解除は指紋・顔認証どちらも非搭載です。なので、数値を入力することでロックを解除する必要があります。まぁ、これは値段相応なのかな・・。
顔認証は OS の標準機能ではないのかな?他にオプション的な機能が何か必要なのかな?

 
2.ステルス Wi-Fi に接続できない。
おかしいのよねぇ・・。 Android12 ならステルスな Wi-Fi に接続できると思うんだけど、このタブレットはステルス機能を有効にした Wi-Fi AP をみつけることができません。かぁなり驚きっ!!

 
3.LTE 接続できます
一つのスロットに SIM カードと MicroSD を乗せることができます。もしくは SIM カード二枚乗せることができます。

なので、LTE 通信が可能です。対応バンドは以下のようです。

LTE: 1 / 2 / 3 / 5 / 7 / 8 / 20 / 28 / 34 / 38 / 39 / 40 / 41

SoftBank のバンドにしっかりとマッチしているので、利用するなら SoftBank SIM を入れることですね。

 
と、いうことで実際に入れてみました。

Y!mobile には「シェアプラン」というのがあります。「シンプルプラン M」の場合は 15GB の “ギガ” がありますが、全部使い切れない場合、繰り越されます。そして、更に余って消えてしまうのももったいないですね。と、いうことで SIM カードを何枚か調達できて、スマートホンとかタブレットで “ギガ” を分け合えることができます。

例えば、僕が「シンプルプラン S」を契約した親回線。奥さんが「シンプルプラン M」を契約した子回線。奥さんの契約に家族割が適用され、奥さんの「シンプルプラン M」は通常価格 3,278yen から 2,090yen になります。
奥さんの「シンプルプラン M」で「シェアプラン」を契約すると月々 539yen ほどの料金が発生しますが、既に家族割が効いているので、それでも基本料金より安くなります。

そして「シェアプラン」は 539yen で最大 3 枚の SIM カードがもらえます。でもって SIM カード発行手数料は 0yen っ!! 「シンプルプラン M」で “ギガ” が余っている人は「シェアプラン」を利用するのも一つの手かもしれません。

ちなみに「シェアプラン」の SIM カード、通話はできません。MMS は Softbank から届くだけ。という SIM カードです。

 
前置きが長くなりました。「シェアプラン」の SIM カードを ALLDOCUBE iPlay50 に入れてみます。が、素直に LTE の電波を拾ってくれません。最初の段階では LTE での通信できません。
それはそーですね。 ALLDOCUBE iPlay50 には Y!mobile の APN が入っていません。手動で設定する必要があります。


https://www.ymobile.jp/yservice/howto/simfree_android/apn/

こちらに記載されていますね。

名前:       Y!mobile APN (任意の文字列)
APN:        plus.acs.jp
ユーザー名: ym
パスワード: ym
認証タイプ: CHAP

 
まぁ、あとのは省略可です。とりあえず上記を指定します。

そして、しばらく待っていると 4G で接続できるようになります。

 
4.Androidマルチユーザ環境で利用
タブレットを購入したのは僕ですが、奥さんは LTE 回線を提供してくれました。と、いうことで、Android で初めてマルチユーザ環境を整えてみました。

「設定」->「システム」->「複数ユーザ」で有効化できます。

サブのアカウントを作成して、ロック画面からアクセスするときにユーザをチョイスしてパスワードを利用。

 
ユーザ単位で google アカウントが必要です。二つのアカウントは「Google ファミリー リンク」しても良いかと思います。

二つのアカウントで同じアプリを利用する場合、個別にダウンロードしてインストールする必用があります。ストレージが圧迫されるかな?と、いう気がします。
あと、パックグラウンドで色々動作していると CPU が食われるような気がします。なので、両方のアカウントでこまめにバックグラウンドアプリを停止するとか、メモリ開放するとかしないと、突如として遅くなる場合があったりします。

ALLDOCUBE iPlay50 の CPU は UNISOC T618 なので MediaTek のよりは処理速度が高いので、まぁ、なんとかマルチユーザ環境にも耐えられるかもです。

 
5.画面が大きいことは良いことだ
画面が大きいので色々できます。
ConnectBot をインストールして ssh 接続してメンテナンスとか行える。
Remote Desktop もあっても良いかもですねぇ。

 
Bluetooth キーボードを接続して上記アプリを利用すれば もうフツーの PC 感覚。あ。キーボード配列が日本語配列だとちと大変。そんなときは 物理キーボード配列変更 (+親指Ctrl) [日本語配列] をインストールすると日本語刻印の通りに文字入力できます。 Ctrl と CAPS キーのスワップ設定も入っているのでチョーご機嫌。 ssh で入った先で emacs とかフツーに利用できます。

 
そして、タブレット購入とタイミングがバッチリの非常に良い記事を発見。

https://pc.watch.impress.co.jp/docs/column/yajiuma-mini-review/1481098.html
https://www.spacedesk.net/

spacedesk というのを利用すると PC のサブディスプレイとしてタブレットを利用できます。 Windows PC にディスプレードライバインストールしてタブレット側に探査・転送アプリをインストールすると、確かにディスプレーとして機能します。すげー。

けど、今は無料で利用できるみたいですが、そのうちに有料化されるかな?と、いう雰囲気か。

 
とまぁ、今回はダラダラと書いてみました。やっぱり画面は大きいほうが良いっ!! と思うのは、もうスッカリとローガンになってきているから。なのでしょうかねぇ。

今回、初めて『タブレット』というモノを購入してみましたが、僕の人生の中でタブレット端末は効果的に機能してくれるのか、今後の動向を検証してみたいと思います;-)。