SSL Zertifikat abgelaufen - Seite 4

Seite 4 von 5 - Forum: Community Hub auf overclockers.at

URL: https://www.overclockers.at/community-hub/ssl-zertifikat-abgelaufen_257148/page_4 - zur Vollversion wechseln!

COLOSSUS schrieb am 30.04.2021 um 16:31

Zitat aus einem Post von Viper780
kommt drauf an ob es eine API für den Nameserver gibt.
Wenns was gibt dann ist es über DNS wesentlich robuster.

Meiner Erfahrung nach nicht (ich hab bei Geizhals das authoritative NS-Setup und diese "API" bzw. das dehydrated-Plug-In fuer die DB hinter dem DNS selbst implementiert, kenne mich mit der Materie also ganz gut aus). Nervig ist z. B., dass der LE-Verifier afair *alle* NS der Zone nach dem TXT-Record aus der Challenge abfragt. Das kann bei Synchonisationsverzoegerungen der Zonen-Daten zu unschoenen und post hoc nicht reproduzierbaren Fehlern fuehren. Ich wuerde demnach immer HTTP-01 waehlen/machen, wenn ich die Moeglichkeit dazu habe - alleine schon deshalb, weil man in der Regel jeden semi-interessanten HTTP-Request in einem Access Log hat, aber i. A. eher nicht alle Queries gegen seine Autoritative NS in ein Log kippt.

Ad zerossl: Welchen Vorteil gegeneuber LE sollen oder wollen die bieten?

userohnenamen schrieb am 30.04.2021 um 17:09

mail challenge und 1 jahr
hab’s vorhin mal kurz probiert und ging problemlos (bis auf das sie keine fertige pfx anbieten aber gibt ja open ssl)
geht übrigens über sectigo, falls es wenn ebenfalls interessiert

berndy2001 schrieb am 30.04.2021 um 18:00

*doppelt*

berndy2001 schrieb am 30.04.2021 um 18:00

Zitat aus einem Post von COLOSSUS
Meiner Erfahrung nach nicht

Ich bin zwar ein Zertifikat-Noob, aber mit der dns-api von ovh und der Anleitung hab ich das ohne Probleme hinbekommen.

Viper780 schrieb am 30.04.2021 um 20:58

Bei uns werden ein paar zehntausend Zertifikate pro Woche per DNS Challange und einem verteilten Nameserver Netz sehr erfolgreich eingerichtet oder verlängert.

Die http validieren machen da eher Probleme (durch SNI und dass halt mehrere User die selbe IP haben)

userohnenamen schrieb am 30.04.2021 um 21:10

ihr habt aber (genau so wie wir) die DNS selbst unter kontrolle
ich seh da die gefahr bzw. kritik vom colossus schon gerechtfertigt

Viper780 schrieb am 30.04.2021 um 21:20

Jein, wir verwenden mittlerweile das DNS Anycast Netz der nic.at (Rcode Zero)

Wenn er eh einen autoritiven Nameserver hat (wenns mit DB ist dann wahrscheinlich power DNS) dann hat er die ebenfalls selbst in der Hand.

Wichtig ist nur den TXT Record nach der Validierung wieder zu entfernen.

Roman schrieb am 06.05.2021 um 05:18

Ich krieg leider wieder auf Firefox und Edge die Meldung das das Zertifikat abgelaufen ist, Chrome lässt sich überreden die Seite trotzdem zu öffnen.

davebastard schrieb am 06.05.2021 um 06:12

ja same here auf ff mobil

Wyrdsom schrieb am 06.05.2021 um 07:23

Auch gerade bekommen die Nachricht von FF.

mat schrieb am 06.05.2021 um 08:18

Funktioniert wieder.

Ich hab halt momentan echt keine Zeit über. Alles passiert weils pressiert.

DAO schrieb am 06.05.2021 um 08:32

mit minimalen aufwand kannst das automatisieren.

davebastard schrieb am 06.05.2021 um 08:47

ich glaub das weiß er

DAO schrieb am 06.05.2021 um 08:50

und wird dennoch seit jahren nicht gemacht?

davebastard schrieb am 06.05.2021 um 08:52

naja das versteh ich schon ich würd auch arbeit einem hobbyprojekt vorziehen