Let's Encrypt User Agent

Seite 1 von 1 - Forum: Linux and other OS auf overclockers.at

URL: https://www.overclockers.at/linux/lets-encrypt-user-agent_251390/page_1 - zur Vollversion wechseln!

GrandAdmiralThrawn schrieb am 29.05.2018 um 15:37

Heyho,

Aus bestimmten Gründen würde ich gerne den User Agent von Let's Encrypt kennen, also genau genommen den UA des Dienstes, der bei der HTTP Domain Validation auf den eigenen Host zugreift, um dort die öffentlichen Schlüssel zu überprüfen (ich fahr keine Validierung über DNS).

Ich hab's wohl leider selber nicht (mehr) in meinen Access Logs vom letzten Renewal, aber vielleicht hat schon Mal jemand ein paar dieser Zugriffe mitgelogged, und könnte mir User Agent und als Bonus vielleicht noch den Hostnamen des Dienstes sagen, der da von Seiten Let's Encrypts' zugreift?

Ich habe testweise versucht, mein noch sehr neu aufgefrischtes Zert nochmal neu auszufassen um eine Validierung auszulösen, aber dabei meinte er, er "bräuchte zu diesem Zeitpunkt noch keine Validierung", also bin ich so leider nicht rangekommen.

Wär super, falls das jemand in seinen Access Logs hätte, danke!

Smut schrieb am 29.05.2018 um 15:39

du kannst das re-issue forcen.
so würdest einen zugriff provozieren.
hth

GrandAdmiralThrawn schrieb am 29.05.2018 um 15:49

Also du meinst kein Renewal, sondern komplett von vorne? Hm...

Ich greif das ned so gerne an, weil er dann meine ganzen Server natürlich auch wieder runter- und rauffährt, daher wär's mir fast lieber, wenn das jemand aus seinen Logs schürfen könnte.. Wenn nicht, dann muß ich's eh so machen.

Grund ist nur, daß da ein .htaccess Filter läuft, der alle möglichen UAs blocked. Jetzt will ich halt klarerweise nicht, daß Let's Encrypt geblocked wird, das wär etwas kontraproduktiv. Kommt eh eine Warn-eMail daher mit der Zeit, aber trotzdem.

watercool schrieb am 29.05.2018 um 15:51

Hilft das? https://community.letsencrypt.org/t...on-fail/29017/7

--
The IP address can be any random address (it’s a limited sub=set currently, but in the future could be any.

checking on my servers from the recent hits the useragent was “Mozilla/5.0 (compatible; Let’s Encrypt validation server; +https://www.letsencrypt.org)” I don’t know if there are plans to change that though
---

GrandAdmiralThrawn schrieb am 29.05.2018 um 15:55

Wieeeso habe ich das bei meiner Sucherei wieder nicht finden können, ich blinds Hendl..

Danke vielmals jedenfalls, das hab ich gesucht!

Jetzt kann ich ein bissl UA spoofen und testen gehen!

Smut schrieb am 29.05.2018 um 16:10

hier noch aus den logs:

Code:

64.78.149.164 - - [06/May/2018:16:25:36 +0200] "GET /.well-known/acme-challenge/<challenge> HTTP/1.1" 404 10780 "-" "Mozilla/5.0 (compatible; Let's Encrypt validation server; +[url]https://www.letsencrypt.org[/url])"

edit:
es ist ein 404, jedoch ist der request legitim.

GrandAdmiralThrawn schrieb am 29.05.2018 um 18:05

Danke!

Ich nehm Mal an, die...

Code:
[url][/url]

...Tags in dem UA sind irgendein Parserfehler vom Forum hier?

Die IPs soll man ja eben nicht whitelisten, ich dachte mir man könnte ja evtl. die Domain nehmen. outbound2.letsencrypt.org, damit kann man schon arbeiten, *.letsencrypt.org usw.

Aber der UA ist ohnehin sauber, und wird von meinen Filtern ordentlich durchgelassen, hab's mit einem spoofed UA im Firefox getestet. Brauch ich nicht extra manuell rumpfuschen, was gut ist! .htaccess is nämlich irgendwie nicht so meine Stärke, da unterlaufen mir permanent Fehler..

Smut schrieb am 29.05.2018 um 20:22

~~Nein. URL ist auch im Apache log so hinterlegt.~~

edit: zu langer tag. tatsächlich, hat das forum reingepfuscht. dachte, dass ich mit dem code tag das url parsing udgl. unterbinde.