Christian Kruse: StartSSL fliegt aus Firefox und Safari raus

Hallo alle,

StartCom fliegt zusammen mit dem kürzlich gekauften WoSign aus Mozilla raus. Apple hat ähnliches angekündigt.

Ist vielleicht relevant für den ein oder anderen.

LG,
CK

  1. Ist vielleicht relevant für den ein oder anderen.

    Ja. Für das Forum.

    Alternativ-Text

    1. Hallo Tagwächter,

      Ist vielleicht relevant für den ein oder anderen.

      Ja. Für das Forum.

      Nicht nur, aber auch. Ich weiss.

      LG,
      CK

      1. Nicht nur, aber auch. Ich weiss.

        Ich habe mein Zertifikat von LetsEncrypt (mit verschiedenen Subdomains) und automatische Updates per cronjob eingerichtet. Wenn also Hilfe gebraucht werden sollte...

        1. Hallo Tagwächter,

          Nicht nur, aber auch. Ich weiss.

          Ich habe mein Zertifikat von LetsEncrypt (mit verschiedenen Subdomains) und automatische Updates per cronjob eingerichtet. Wenn also Hilfe gebraucht werden sollte...

          Das gleiche haben wir wohl auch vor, über dehydrated.

          LG,
          CK

          1. Hallo Tagwächter,

            Nicht nur, aber auch. Ich weiss.

            Ich habe mein Zertifikat von LetsEncrypt (mit verschiedenen Subdomains) und automatische Updates per cronjob eingerichtet. Wenn also Hilfe gebraucht werden sollte...

            Das gleiche haben wir wohl auch vor, über dehydrated.

            Hm. Vorteile gegenüber certbot?

            1. Hallo Tagwächter,

              Nicht nur, aber auch. Ich weiss.

              Ich habe mein Zertifikat von LetsEncrypt (mit verschiedenen Subdomains) und automatische Updates per cronjob eingerichtet. Wenn also Hilfe gebraucht werden sollte...

              Das gleiche haben wir wohl auch vor, über dehydrated.

              Hm. Vorteile gegenüber certbot?

              Weniger Komplexität, es wird kein Dienst nach aussen geöffnet, keine Abhängigkeiten ausser den Standard-Userland-Tools, einfacher.

              LG,
              CK

              1. Weniger Komplexität, es wird kein Dienst nach aussen geöffnet, keine Abhängigkeiten ausser den Standard-Userland-Tools, einfacher.

                Soweit ich das jetzt noch weiß hat auch letsencrypt / certbot nur ein paar Pythonlibs nachgezogen, keinen Dienst geöffnet. Https auf Port 443 war schon offen - sonst hätte ich auch am Router, respektive der Firewall was tun müssen. Und nmap/fopen sagen mir auch was wie "Nichts Neues in Westen" (Das Ding steht doch tatsächlich westlich von mir...)

                Naja. Und für mich war es, abgesehen von einer Panne mit dem Update-Skript (die Sache mit dem '--agree-tos' übersehen), auch "einfach".

                Aber "He!" - es gibt da eine ganze Menge Clients und warum sollte der von mir benutzte der "einzig wahre" sein? Nur weil ich mich als "Frühstarter" für den damals einzig verfügbaren entschied muss der ja nicht der beste sein...

        2. Hallo und guten Abend,

          Nicht nur, aber auch. Ich weiss.

          Ich habe mein Zertifikat von LetsEncrypt (mit verschiedenen Subdomains) und automatische Updates per cronjob eingerichtet. Wenn also Hilfe gebraucht werden sollte...

          Ja, ich bitte haben muss :-)

          Zertifikat ist abgelaufen und Subdomains konnte ich bisher auch nicht abdecken.
          Wie sieht das inzwischen aus mit VirtualHosts auf einer IP uns Zertifikaten?

          Grüße
          TS

          --
          es wachse der Freifunk
          http://freifunk-oberharz.de
          1. Ja, ich bitte haben muss :-)

            https://certbot.eff.org/

            Subdomains konnte ich bisher auch nicht abdecken.

            https://community.letsencrypt.org/t/one-certificate-for-many-domains/20921

            Zertifikat ist abgelaufen

            Ich habe einfach mit

            ~> sudo -i
            # crontab -e
            

            zu den Cronjobs folgenden hinzugefügt:

            25 10 25 /2 *    /root/bin/zertifikat_erneuern
            

            Also jeden zweiten Monat (weil 90 Tage gültig) und zu einer Zeit, wo die Amis bestenfalls das erste, wirklich ganz frühe Frühstück verputzen.

            /root/bin/zertifikat_erneuern enthält das hier:

            #!/bin/sh
            cd /root/letsencrypt
            date > /var/log/letsencrypt.log
            ./letsencrypt-auto renew -m USER@SERVER.ORG --agree-tos >> /var/log/letsencrypt.log
            

            Du wirst die Mailadresse anpassen und das ./letsencrypt-auto durch ./certbot-auto ersetzen wollen. Ich muss das wohl auch mal tun ... letsencrypt hat mir irgendwann certbot als Update geliefert.

            Wie sieht das inzwischen aus mit VirtualHosts auf einer IP uns Zertifikaten?

            Das ging eigentlich schon immer. Aber der angegebene Domainname muss auf einem öffentlichem DNS zu der öffentlichen IP auflösen, von der die Zert-Anfrage an letsencrypt zu kommen scheint und wohl auch erreichbar sein...

            1. Hallo und gute Nacht,

              schon mal vielen Dank. Ich schaue es mir morgen an, wenn ich wieder sitzen kann. Die Bandscheibe...

              Wie sieht das inzwischen aus mit VirtualHosts auf einer IP und Zertifikaten?

              Das ging eigentlich schon immer. Aber der angegebene Domainname muss auf einem öffentlichem DNS zu der öffentlichen IP auflösen, von der die Zert-Anfrage an letsencrypt zu kommen scheint und wohl auch erreichbar sein...

              ... das würde bedeuten, dass ich z.B. für meine Domains zweierkiste.de und bitworks.de und harzliebe.de usw. jeweils ein Zertifikat ergattern könnte, obwohl die auf einer IP liegen?

              Grüße
              TS

              --
              es wachse der Freifunk
              http://freifunk-oberharz.de
              1. Hallo TS,

                ... das würde bedeuten, dass ich z.B. für meine Domains zweierkiste.de und bitworks.de und harzliebe.de usw. jeweils ein Zertifikat ergattern könnte, obwohl die auf einer IP liegen?

                Das kommt auf deine Clients an. SNI können alle modernen Systeme. Windows XP mit IE muss aber leider draussen bleiben.

                LG,
                CK

                1. Windows XP mit IE muss aber leider draussen bleiben.

                  Nicht ganz. Denn wenn es dem Benutzer nicht durch eine Regel verboten wird kann der den vermeintlich falschen Schlüssel durchaus manuell akzeptieren.

            2. #!/bin/sh
              cd /root/letsencrypt
              date > /var/log/letsencrypt.log
              ./letsencrypt-auto renew -m USER@SERVER.ORG --agree-tos >> /var/log/letsencrypt.log
              

              Also:

              • cd /root/letsencrypt : oder wohin auch immer certbot installiert wurde.
              • -m : beim ersten Abholen der Zertifikate angegebene Mailadresse (sonst hält das Skript an - schlecht für cronjob)
              • --agree-tos : Übergehen des Akzeptierens der AGB (sonst hält das Skript an - schlecht für cronjob)
              • >> /var/log/letsencrypt.log : Umleitung der Ausgaben.

              Hierzu weiteres:

              • Es wird außerdem nach /var/log/letsencrypt/letsencrypt.log geloggt. Das ist aber eher fürs Debuggen, nichts für den ersten "Ging/Ging-Nicht-Blick".

              Freilich könnte man auch ...

              #!/bin/sh
              tmpfile=`mktemp`;
              cd /root/letsencrypt;
              date > /var/log/letsencrypt.log;
              ./letsencrypt-auto renew -m USER@SERVER.ORG --agree-tos | tee ${tmpfile} | >> /var/log/letsencrypt.log;
              mail -s "Zertifikat-Update" root@localhost < ${tmpfile};
              rm ${tmpfile};
              

              ... notieren um jemanden (hier den Root) explizit zu unterrichten.

      2. Tach!

        Ist vielleicht relevant für den ein oder anderen.

        Ja. Für das Forum.

        Nicht nur, aber auch. Ich weiss.

        Das Forum wurde ja schon vor ein paar Tagen umgestellt, die anderen Seiten (Wiki, Blog) sind nun auch nachgezogen.

        dedlfix.