Certbot DNS-Challenge + TTL

  • Hi Leute, ich habe letztens meinen VPN und SSH-Jumphost neu aufgesetzt und möchte den u.a. nutzen, um LE-Wildcard-Zert. für meine anderen Server zu beantragen und bereitzustellen.


    Ich brauche ca. 10 Zertifikate mit teils mehreren Domains, die ich der Einfachheit halber nacheinander beantrage. Die TTL meiner Domains beträgt immer 600 Sekunden. Ich nutze ausschließlich die NetCup-DNS-Server. Als Propagation Time im Certbot-Plugin für die NC-API habe ich 900 Sekunden eingestellt. Im schlimmsten Fall braucht mein Script also 2,5 Stunden. Eigentlich kein Problem, ich frage mich dennoch, ob ich nicht die TTL noch weiter herabsetzen könnte. Ich habe es mal mit 60 Sekunden probiert und 120 Sekunden Progagation Time, aber damit sind die ACME Challenges fehlgeschlagen. Es scheint sich also nicht jeder Resolver an die TTL zu halten.


    Welche TTL und Propagation Time nutzt ihr? Habe ich bedeutende Nachteile durch das Nutzen einer geringen TTL?

    Meine Minecraft-Plugins auf SpigotMC (Open Source): www.spigotmc.org/members/mfnalex.175238/#resources

    Discord: discord.jeff-media.com

  • acme.sh legt die records bei meinem Domain Anbieter (nicht netcup) mit 600s TTL an und wartet aber nur 120 Sekunden. Schließlich ist es ein neuer TXT Record der noch nie abgerufen wurde. Daher ist die Wahrscheinlichkeit extrem hoch, dass dieser direkt frisch vom DNS geholt wird und gar nicht cached ist.


    Ist bisher immer gut gegangen.

  • Danke für die Antwort. Wie gesagt hat bei mir 60Sek+120Sek nicht ausgereicht. Ich probier es mal die Tage mit 300+450 Sekunden und berichte dann nochmal.

    Meine Minecraft-Plugins auf SpigotMC (Open Source): www.spigotmc.org/members/mfnalex.175238/#resources

    Discord: discord.jeff-media.com

  • ich warte bei mir mit acme.sh 240 Sekunden; und die DNS-Einträge sind direkt am lokalen BIND

    (habe nur eine DNS-Delegation f. _acme-challenge.xxxx auf den lokalen BIND)

    Grüße / Greetings

    Walter H.


    RS, VPS, Webhosting - was man halt so braucht;)

  • Das Let's Encrypt Validierungssystem nutzt keine vachenden Resolver sondern fragt immer die authoritativen Nameserver der Domain ab. Allfällige Bedenken das man ja erst warten müsse bis irgendwelche Resolver ihre Caches verwerfen sind daher unangebracht. Sobald die authoritativen Nameserver den Record liefern (was bei einem typischen Master-Slave Setup nach wenigen Sekunden sein sollte) kann somit die Validierung erfolgen.

  • Also ich nutze hier bei netcup für acme.sh nen 300sec sleep. Das funktioniert ohne Probleme.


    Da ich die ganzen Zertifikate auch zentral auf einem VPS verwalte, hab ich anschließend quasi im renew script noch mal nen 300sec sleep bevor die Zertifikate ausgeliefert werden um Verzögerungen je nach Last auszugleichen.

    Meine Produkte: definitiv zu viele, RS, VPS, Domains, Webhosting, ...