2026/02/10 5:31

Let’s Encrypt の今後の変更点と XMPP サーバー運用者への影響 - 2026‑02‑01 以降、Let’s Encrypt は新しい証明書を発行しなくなります。 • 現在お持ちのすべての証明書は、この日付以前に更新してください。 - 証明書期限切れ時の挙動 • 更新が遅れると TLS が無効になり、クライアント接続が切断されます。 • 最近では、一部の XMPP クライアントが期限切れ証明書を即座に拒否するようになっています。 - 新しい発行ポリシー • ドメイン検証（DV）証明書のみが発行され、拡張検証（EV）は提供されません。 • 証明書の Subject フィールドにはドメイン名だけが記載され、組織名は含まれません。 - XMPP サーバー設定への影響 • `xmppd.conf` を更新し、新しい証明書ファイル（`fullchain.pem`, `privkey.pem`）を参照させてください。 • TLS 設定の再読み込みはダウンタイム無しで行う必要があります（例：`systemctl reload xmppd`）。 - 自動更新の推奨 • certbot や acme.sh のような ACME クライアントを使用し、少なくとも月2回は cron ジョブで実行してください。 • ワイルドカード証明書（`.yourdomain.tld`）を利用する場合は DNS‑01 チャレンジが解決できることを確認してください。 - 監視とアラート • `certwatch` や独自スクリプトで証明書の有効期限に関するアラートを設定します。 • 既存のモニタリングスタック（Prometheus、Grafana）へ統合しましょう。 - フォールバック戦略 • 最後に有効だった証明書ペアを安全なストレージにバックアップしておきます。 • 更新が失敗した場合は、サービス復旧まで古い証明書を一時的に使用します。 --- ### クイックスタートチェックリスト 1. 現在の証明書状態を確認 ```bash openssl x509 -in /etc/xmpp/fullchain.pem -noout -dates ``` 2. 証明書を更新（certbot の例） ```bash certbot renew --deploy-hook "systemctl reload xmppd" ``` 3. サーバーの TLS 設定を検証 ```bash xmppd -t ``` 4. 監視を設定 - cron に `certwatch` を追加： ```cron 0 3 * * /usr/local/bin/certwatch --days=30 ``` 5. 手順を運用マニュアルに記録。これらのステップを実行することで、Let’s Encrypt が新しい発行ポリシーへ移行した後も XMPP サーバーは中断なく TLS サービスを提供し、クライアント側の期待に沿った互換性を保てます。

RSS: https://news.ycombinator.com/rss

要約▶

Japanese Translation:

（原文は既に正確で明瞭です。改善の必要はありません。）

元の要約の繰り返し：

Let Encrypt は現在、XMPP サーバー間接続をブロックする可能性があるサーバー専用 TLS 証明書を発行しています。この機能は、キー使用チェックを実施するソフトウェアに対して有効であり、サーバーが新しい証明書タイプをサポートしない場合にのみ影響します。変更は 2026 年 2 月 11 日に発表されました。Prosody はすでにこれらの証明書を受け入れますが、ejabberd と Openfire（25.08 より前）の古いバージョンは拒否し、ダイヤルバックが有効でない限り接続失敗を招く可能性があります。「Could not authenticate to remote server」のようなログエラーが問題を確認します。

Prosody のサポートは一部の XMPP サーバーが準備できていることを示していますが、多くは互換性がなくアップグレードが必要です。IETF はまだ XMPP における TLS クライアント/サーバーの役割を明確にしていないため、慣行は標準化されていません。ブラウザベンダーは「ブラウザ専用」証明書を非ブラウザアプリで使用することを推奨せず、CA エコシステムに発行ポリシーの変更を求める圧力がかかっています。

レガシー XMPP ソフトウェアの運営者は、ejabberd ≥ 25.08 または新しい Openfire に速やかにアップグレードするか、ダイヤルバックを有効化して接続性を維持すべきです。テストは XEP‑0199 を介して

le‑tlsserver.badxmpp.eu

へ ping を送ることで行えます。成功した IQ 応答が受信されれば証明書の受け入れが確認できます。更新しない場合、サーバー間接続の障害が発生し、XMPP に依存するユーザーや組織に影響を与える恐れがあります。

本文

2026年2月6日
The Prosody Teamより

2026年2月11日からLet’s Encryptが発行する証明書に変更を加える予定です

Prosodyの運用者としては、基本的には何も手動で設定する必要はありません。しかし、新しい証明書を使用しているサーバーは、ネットワーク上の他のXMPPサーバーへ接続できないケースが生じる可能性があります。

証明書の基礎知識

まず、証明書に関する簡単な背景です。
Let’s Encryptのような認証局（CA）は、ドメインを所有・管理していることを確認したうえで、その検証結果を証明する証明書を発行します。この証明書は、他者へ「このドメインを所有しています」という証拠として提示できます。証明書取得には

certbot

ツールや ACME プロトコルに対応した多数のツールが利用可能です。

XMPPクライアントがサーバーに接続するとき、クライアントはログイン先ドメイン用に有効な証明書をサーバーから提示されることを期待します。

同様に、サーバー間（server‑to‑server、通称 s2s やフェデレーション）で接続する際にも証明書が使用されます。これにより、スプーフィングなどの攻撃を防止できます。たとえば、自身のサーバーが

user@example.com

から来たメッセージを受け取った場合、そのメッセージが送信元であるサーバーから

example.com

用に有効な証明書が提示され、検証済みであることを確認できます。

証明書の利用制限

多くの人は、証明書には検証されたドメイン名が含まれていると知っています。しかし、証明書には署名したCAや有効期間、各種メタデータなど他の情報も含まれています。

さらに、証明書の一部では「この証明書をどのように使用できるか」の制限が指定できます。たとえば、あるCA自身の証明書は「他の証明書を署名する」ことが許可されている旨を示します。同様の制限は「署名用」「暗号化用」といった目的に対しても設定可能です。

このような拡張機能の一つとして Extended Key Usage があり、証明書が サーバー認証 か クライアント認証 に使用されるかを限定できます。

何が変わるのでしょう？

Let’s Encryptは現在、証明書に「サーバー認証」と「クライアント認証」の両方の用途を許可しています。しかし、2026年2月11日以降はデフォルトで「サーバー認証」専用の証明書のみを発行する予定です。本稿ではこの新しい証明書を server‑only 証明書と呼びます。

仕様上、このような証明書はクライアントがサーバーに接続する際には使用できないと解釈されることがあります。XMPPはサーバー間の接続を多用するため、TLS の規格では接続を開始した側（つまり「クライアント」）が TLS クライアントとして扱われます。

OpenSSL などの一般的な TLS ライブラリや API は証明書の key usage フィールドを自動で検証し、「client authentication」の目的が無い証明書で接続が来た場合に失敗します。これにより、XMPP（およびサーバー間通信を行う他のプロトコル）でのサーバー同士の認証が壊れる恐れがあります。

Prosodyへの影響は？

直接的にはありません。Let’s Encrypt が server‑only 証明書を発行する最初の CA ではありません。数年前に、Prosody はサーバー間接続で使用される server‑only 証明書を受け入れるよう変更しており、これは XMPP にとって正しいアプローチだと考えています。

したがって Prosody は Let’s Encrypt の新しい server‑only 証明書を持つサーバーからの接続を受け付けます。

ただし、この挙動は標準化されておらず、XMPP コミュニティ外での議論もあります。現在の CA エコシステムは Web ブラウザベンダ（Google, Apple, Microsoft, Mozilla）が主導しており、ブラウザ以外のアプリケーションが「Web 用にしか証明書を発行しない」と言われると、非協力的になるケースもあります。

IETF でサーバーとクライアントの役割を明確化する仕様更新案は合意形成できませんでした。

XMPP ネットワークへの影響は？

Prosody は server‑only 証明書を受け入れますが、他のサーバー実装では Prosody が持つ代替検証ロジックが無いか、最近追加されたばかりです。

互換性のあるサーバー

ejabberd（25.08 以降）
Openfire

非対応バージョンを運用している場合は、フェデレーションで問題が発生しないよう、できるだけ早く上記に合致するバージョンへアップグレードしてください。リスト外のサーバーソフトウェアはテストされていないため、server‑only 証明書を使用したサーバーからの接続が受け入れられない可能性があります。

他のサーバーではどうなる？

代替検証を実装していない（または更新されていない）サーバーは、他のすべてのサーバーの証明書を s2s 接続開始時に無効とみなします。多くのサーバーはまだダイアルバックプロトコルを有効にしているため、DNS を利用したフォールバック認証で接続が成功する場合があります。ただし、どちらか一方でもダイアルバックが無効になっている、または対象サーバーが有効な証明書を必須としていると、サーバー間接続は完全に失敗します。

Prosody のログに以下のようなエラーが現れることがあります。

Server-to-server connection failed: Could not authenticate to remote server

この場合、リモートサーバー側の運用者はソフトウェアを更新する必要があります。

サーバーのテスト方法

le-tlsserver.badxmpp.eu

に XMPP ping（XEP‑0199）を送信してください。
成功して IQ レスポンスが返ってくれば、サーバーは server‑only 証明書を受け入れています。レスポンスが無い場合は、s2s 接続失敗に関するログを確認し、必要に応じて設定やソフトウェアの更新を検討してください。

同じ日のほかのニュース

一覧に戻る →

2026/02/09 23:37

ディスコードは、来月から完全な利用権を得るために顔スキャンまたは本人確認書類（ID）の提出を求めるようになるそうです。

## Japanese Translation: Discord は、すべてのアカウントを「ティーン向け」設定にデフォルト化し、ユーザーが成人であることを証明しない限りは実行される世界規模の年齢確認システムを導入しています。未確認メンバーは、年齢制限付きサーバーへの参加や閲覧、ステージチャネルでの発言、グラフィックコンテンツの表示ができません。これらのサーバーは確認までブラックスクリーンとして表示され、新規加入時にも同じチェックが行われます。不明なユーザーからのフレンドリクエストには警告が出力され、見知らぬ連絡先からのプライベートメッセージは別の受信箱に振り分けられます。 Discord の以前の英国／オーストラリアでの試験では、フォトモードハックが検知され、1 週間以内に修正されました。10 月には旧ベンダーからデータ漏洩事件が発生しました。新システムは、生体認証や個人情報を保存しない別のサードパーティプロバイダーと提携しています。AI 年齢推定手法はデバイス上でローカルに実行され、データはオフデバイスへ送信されず、誤分類があった場合はユーザーがアピールしたり ID 写真をアップロードしてすぐに削除することができます。さらに Discord は「年齢推論」モデルを使用し、ゲーム種別・活動パターン・勤務時間シグナルなどのユーザーメタデータを解析して追加手順なしで成人を自動承認します。 Discord は回避策を防止するために広範なバグテストを行い、一部離脱が見込まれるものの、離れたユーザーを再度引き戻すことを目指しています。このイニシアチブは、世界的な児童安全規制によって推進される年齢確認義務化への業界全体の動きと整合性があります。ほとんどのユーザーは日常使用に大きな変化を感じませんが、主な影響は明示的またはグラフィックな成人コンテンツへのアクセス制限の強化です

2026/02/10 1:26

**プロジェクト概要** Walmart の 3.88 インチアナログ時計を、ESP‑8266 ベースの Wi‑Fi 時計に変換します。 --- ### 必要な材料 - Walmart の 3.88″ アナログ時計　1 個 - ESP‑8266 NodeMCU または Wemos D1 Mini　1 個 - DS3231 リアルタイムクロックモジュール（オプション、オフライン時の時間保持用）　1 個 - 10 kΩ プルアップ抵抗（I²C 用）　1 本 - ジャンパー線 - はんだごて＆はんだ - ケースまたは取り付けハードウェア ### 配線図 ``` ESP8266 時計 D2 ----> CLK (クロック信号) D4 ----> DT (データ信号) GND <---- GND VIN <---- VCC（USB／AC アダプタからの5 V） ``` *DS3231 を使用する場合：* - SDA ↔ A4 - SCL ↔ A5 - VCC ↔ 3.3 V - GND ↔ GND ### ソフトウェア手順 1. **Arduino IDE の設定** - ESP8266 ボードパッケージをインストール。 2. `config.h` に Wi‑Fi 認証情報を入力。 3. ライブラリをインストール： - `ESP8266WiFi`, `NTPClient`, （必要に応じて）`TimeLib`。 4. 以下の機能を備えたスケッチをアップロード： - Wi‑Fi 接続 - NTP で時刻取得 - D2/D4 の PWM を使って時計のポテンショメータを駆動 5. 動作確認 – 時計の針がずれたらキャリブレーションを調整。 ### キャリブレーション - 12 時間ダイヤルで既知の時刻に合わせてください。 - コード内の `pwmMin` と `pwmMax` を調整し、針が正確に合うようにします。 --- #### ヒント - 時計本体の電源と ESP‑8266 の電源は分離してノイズを抑えます。 - 電子部品は安全性のためケースで覆い、ESP 部品には十分な換気を確保してください。 - 手動同期用にボタンを追加することも検討すると便利です。

## Japanese Translation: ## 要約このプロジェクトは、安価なアナログ石英時計をインターネット接続型デジタル時計に変換します。WEMOS D1 Mini ESP8266 が Arduino スケッチを実行し、ステッピングモーターを駆動させます。ESP8266 は NTP サーバーから現在の UTC 時間を **15 分ごと** に取得し、時計に表示されている時間と比較します。この比較は **1 秒あたり 10 回** 行われます。もし時計が遅れていた場合、マイクロコントローラはモータコイルへ短い **(~30 ms) のバイポーラパルス**（`PULSETIME` 定数で調整可能）を送信し、秒針を前進させます。アナログの動きには位置センサがないため、システムは各針（時・分・秒）の位置を毎秒 Microchip の **47L04 Serial EERAM**（4 kbit SRAM と EEPROM バックアップ）に保存します。初回起動時、ESP8266 はウェブページを提供し、ユーザーが初期針位置を設定できるようにします。その後の再起動では、EERAM に保存されたデータから継続します。初期化後は、ステータスウェブページで SVG/Canvas またはプレーンテキストを用いて時計表面を表示できます。時計は NTP 時間取得を通じて自動的に **夏時間（DST）** を調整し、この設計は IoT コントローラがレガシー機械装置を復活させつつ、低コストで簡単に構築できることを示しています。

2026/02/10 5:49

アメリカはタングステンの供給問題に直面しています。

## 日本語訳: --- ## Revised Summary 米国は年間約10 000 tのタングステンをほぼ全て輸入しており、その80％以上が中国からで、2015年以降国内採掘は行われていないため、深刻な供給リスクに直面しています。中国による輸出管理は米国企業が必要とするライセンスを取得できなくし、サプライチェーンをさらに厳しく制限しています。保守的な成長仮定では、需要は10年で約77 %増加し、従来用途では年間15 000 t以上に達すると予測されます。もし核融合炉が稼働すれば（1基あたり約250 t、推測で200基）、総需要は年間60–70 000 tへと急増する可能性があります。この不均衡により、市場価格は既に過去最高水準に達しています。世界の生産量（年間約80 000 t）は中国が支配しており、ベトナム・ロシア・北朝鮮はわずかな割合しか占めていません。米国の過去の取り組み―軍事調達プログラムやトランプ時代にカザフスタンと結んだ取引―はギャップを埋めるには不十分でした。タングステンの米国内での重要用途は、切削・掘削工具（約60 %）、兵器（約10 %）、半導体（約5 %）、光伏（約1 %）およびその他（約24 %）です。これらの材料に依存する産業は供給制限、高コスト、特に防衛や新興核融合技術で生産ボトルネックを経験する可能性があります。重要な戦略的課題が浮上します：なぜ中国がタングステン生産を支配しているのか？米国の採掘はなぜ停止したのか？国内再供給に必要な変更点は何か？将来のブーム／バーストサイクルに耐えうるサプライチェーンを構築するにはどうすればよいか。これらの課題への対処は、予測される需要急増に対するレジリエンスを確保するために不可欠です