SSL Zertifikat abgelaufen

COLOSSUS

Administrator
GNUltra

Registered: Dec 2000
Location: ~
Posts: 12184

30.04.2021 - 16:31

Zitat aus einem Post von Viper780
kommt drauf an ob es eine API für den Nameserver gibt.
Wenns was gibt dann ist es über DNS wesentlich robuster.

Meiner Erfahrung nach nicht (ich hab bei Geizhals das authoritative NS-Setup und diese "API" bzw. das dehydrated-Plug-In fuer die DB hinter dem DNS selbst implementiert, kenne mich mit der Materie also ganz gut aus). Nervig ist z. B., dass der LE-Verifier afair *alle* NS der Zone nach dem TXT-Record aus der Challenge abfragt. Das kann bei Synchonisationsverzoegerungen der Zonen-Daten zu unschoenen und post hoc nicht reproduzierbaren Fehlern fuehren. Ich wuerde demnach immer HTTP-01 waehlen/machen, wenn ich die Moeglichkeit dazu habe - alleine schon deshalb, weil man in der Regel jeden semi-interessanten HTTP-Request in einem Access Log hat, aber i. A. eher nicht alle Queries gegen seine Autoritative NS in ein Log kippt.

Ad zerossl: Welchen Vorteil gegeneuber LE sollen oder wollen die bieten?

userohnenamen

leider kein name

Registered: Feb 2004
Location: -
Posts: 15868

30.04.2021 - 17:09

mail challenge und 1 jahr
hab’s vorhin mal kurz probiert und ging problemlos (bis auf das sie keine fertige pfx anbieten aber gibt ja open ssl)
geht übrigens über sectigo, falls es wenn ebenfalls interessiert

berndy2001

Registered: Feb 2003
Location: Vienna
Posts: 2064

30.04.2021 - 18:00

*doppelt*

Bearbeitet von berndy2001 am 30.04.2021, 18:04

berndy2001

Registered: Feb 2003
Location: Vienna
Posts: 2064

30.04.2021 - 18:00

Zitat aus einem Post von COLOSSUS
Meiner Erfahrung nach nicht

Ich bin zwar ein Zertifikat-Noob, aber mit der dns-api von ovh und der Anleitung hab ich das ohne Probleme hinbekommen.

Viper780

Elder
Er ist tot, Jim!

Registered: Mar 2001
Location: Wien
Posts: 50921

30.04.2021 - 20:58

Bei uns werden ein paar zehntausend Zertifikate pro Woche per DNS Challange und einem verteilten Nameserver Netz sehr erfolgreich eingerichtet oder verlängert.

Die http validieren machen da eher Probleme (durch SNI und dass halt mehrere User die selbe IP haben)

userohnenamen

leider kein name

Registered: Feb 2004
Location: -
Posts: 15868

30.04.2021 - 21:10

ihr habt aber (genau so wie wir) die DNS selbst unter kontrolle
ich seh da die gefahr bzw. kritik vom colossus schon gerechtfertigt

Viper780

Elder
Er ist tot, Jim!

Registered: Mar 2001
Location: Wien
Posts: 50921

30.04.2021 - 21:20

Jein, wir verwenden mittlerweile das DNS Anycast Netz der nic.at (Rcode Zero)

Wenn er eh einen autoritiven Nameserver hat (wenns mit DB ist dann wahrscheinlich power DNS) dann hat er die ebenfalls selbst in der Hand.

Wichtig ist nur den TXT Record nach der Validierung wieder zu entfernen.

Roman

CandyMan

Registered: Jun 2000
Location: Im schönen Kär..
Posts: 3991

06.05.2021 - 05:18

Ich krieg leider wieder auf Firefox und Edge die Meldung das das Zertifikat abgelaufen ist, Chrome lässt sich überreden die Seite trotzdem zu öffnen.

davebastard

Vinyl-Sammler

Registered: Jun 2002
Location: wean
Posts: 12669

06.05.2021 - 06:12

ja same here auf ff mobil

Wyrdsom

Komischer Kauz

Registered: Mar 2012
Location: Jig-Jig Street
Posts: 7388

06.05.2021 - 07:23

Auch gerade bekommen die Nachricht von FF.

mat

Administrator
Legends never die

Registered: Aug 2003
Location: nö
Posts: 25662

06.05.2021 - 08:18

Funktioniert wieder.

Ich hab halt momentan echt keine Zeit über. Alles passiert weils pressiert.

DAO

Si vis pacem, para bellum

Registered: Mar 2001
Location: Austria
Posts: 4991

06.05.2021 - 08:32

mit minimalen aufwand kannst das automatisieren.

davebastard

Vinyl-Sammler

Registered: Jun 2002
Location: wean
Posts: 12669

06.05.2021 - 08:47

ich glaub das weiß er

DAO

Si vis pacem, para bellum

Registered: Mar 2001
Location: Austria
Posts: 4991

06.05.2021 - 08:50

und wird dennoch seit jahren nicht gemacht?

davebastard

Vinyl-Sammler

Registered: Jun 2002
Location: wean
Posts: 12669

06.05.2021 - 08:52

naja das versteh ich schon ich würd auch arbeit einem hobbyprojekt vorziehen

COLOSSUS Administrator GNUltra Registered: Dec 2000 Location: ~ Posts: 12184	30.04.2021 - 16:31 Zitat aus einem Post von Viper780 kommt drauf an ob es eine API für den Nameserver gibt. Wenns was gibt dann ist es über DNS wesentlich robuster. Meiner Erfahrung nach nicht (ich hab bei Geizhals das authoritative NS-Setup und diese "API" bzw. das dehydrated-Plug-In fuer die DB hinter dem DNS selbst implementiert, kenne mich mit der Materie also ganz gut aus). Nervig ist z. B., dass der LE-Verifier afair alle NS der Zone nach dem TXT-Record aus der Challenge abfragt. Das kann bei Synchonisationsverzoegerungen der Zonen-Daten zu unschoenen und post hoc nicht reproduzierbaren Fehlern fuehren. Ich wuerde demnach immer HTTP-01 waehlen/machen, wenn ich die Moeglichkeit dazu habe - alleine schon deshalb, weil man in der Regel jeden semi-interessanten HTTP-Request in einem Access Log hat, aber i. A. eher nicht alle Queries gegen seine Autoritative NS in ein Log kippt. Ad zerossl: Welchen Vorteil gegeneuber LE sollen oder wollen die bieten?
userohnenamen leider kein name Registered: Feb 2004 Location: - Posts: 15868	30.04.2021 - 17:09 mail challenge und 1 jahr hab’s vorhin mal kurz probiert und ging problemlos (bis auf das sie keine fertige pfx anbieten aber gibt ja open ssl) geht übrigens über sectigo, falls es wenn ebenfalls interessiert
berndy2001 Registered: Feb 2003 Location: Vienna Posts: 2064	30.04.2021 - 18:00 doppelt Bearbeitet von berndy2001 am 30.04.2021, 18:04
berndy2001 Registered: Feb 2003 Location: Vienna Posts: 2064	30.04.2021 - 18:00 Zitat aus einem Post von COLOSSUS Meiner Erfahrung nach nicht Ich bin zwar ein Zertifikat-Noob, aber mit der dns-api von ovh und der Anleitung hab ich das ohne Probleme hinbekommen.
Viper780 Elder Er ist tot, Jim! Registered: Mar 2001 Location: Wien Posts: 50921	30.04.2021 - 20:58 Bei uns werden ein paar zehntausend Zertifikate pro Woche per DNS Challange und einem verteilten Nameserver Netz sehr erfolgreich eingerichtet oder verlängert. Die http validieren machen da eher Probleme (durch SNI und dass halt mehrere User die selbe IP haben)
userohnenamen leider kein name Registered: Feb 2004 Location: - Posts: 15868	30.04.2021 - 21:10 ihr habt aber (genau so wie wir) die DNS selbst unter kontrolle ich seh da die gefahr bzw. kritik vom colossus schon gerechtfertigt
Viper780 Elder Er ist tot, Jim! Registered: Mar 2001 Location: Wien Posts: 50921	30.04.2021 - 21:20 Jein, wir verwenden mittlerweile das DNS Anycast Netz der nic.at (Rcode Zero) Wenn er eh einen autoritiven Nameserver hat (wenns mit DB ist dann wahrscheinlich power DNS) dann hat er die ebenfalls selbst in der Hand. Wichtig ist nur den TXT Record nach der Validierung wieder zu entfernen.
Roman CandyMan Registered: Jun 2000 Location: Im schönen Kär.. Posts: 3991	06.05.2021 - 05:18 Ich krieg leider wieder auf Firefox und Edge die Meldung das das Zertifikat abgelaufen ist, Chrome lässt sich überreden die Seite trotzdem zu öffnen.
davebastard Vinyl-Sammler Registered: Jun 2002 Location: wean Posts: 12669	06.05.2021 - 06:12 ja same here auf ff mobil
Wyrdsom Komischer Kauz Registered: Mar 2012 Location: Jig-Jig Street Posts: 7388	06.05.2021 - 07:23 Auch gerade bekommen die Nachricht von FF.
mat Administrator Legends never die Registered: Aug 2003 Location: nö Posts: 25662	06.05.2021 - 08:18 Funktioniert wieder. Ich hab halt momentan echt keine Zeit über. Alles passiert weils pressiert.
DAO Si vis pacem, para bellum Registered: Mar 2001 Location: Austria Posts: 4991	06.05.2021 - 08:32 mit minimalen aufwand kannst das automatisieren.
davebastard Vinyl-Sammler Registered: Jun 2002 Location: wean Posts: 12669	06.05.2021 - 08:47 ich glaub das weiß er
DAO Si vis pacem, para bellum Registered: Mar 2001 Location: Austria Posts: 4991	06.05.2021 - 08:50 und wird dennoch seit jahren nicht gemacht?
davebastard Vinyl-Sammler Registered: Jun 2002 Location: wean Posts: 12669	06.05.2021 - 08:52 naja das versteh ich schon ich würd auch arbeit einem hobbyprojekt vorziehen

SSL Zertifikat abgelaufen

Forum Index > Community > Community Hub

COLOSSUS

userohnenamen

berndy2001

berndy2001

Viper780

userohnenamen

Viper780

Roman

davebastard

Wyrdsom

mat

DAO

davebastard

DAO

davebastard