Das längste Thema

  • des is ja spannend, es gibt ja des certwatch, des einem ein Mail schickt, wenn die Zertifikate x Tage vor dem Ablauf sind;

    beginnen tut des bei 29 Tage vor Ablauf;

    dass ma des in /etc/sysconfig/httpd einstellen kann,

    auf des muss ma ja mal kommen, weil Zertifikate ja auch f. posfix, ... verwendet werden;

    hab es jetzt auf 14 Tage eingestellt, Zeit genug die Let's Encrypt Dinger neu zu erstellen;


    https://www.seei.biz/adjust-certwatch-warning-period/

  • Und hat man sowas nicht sowieso im Monitoring?

    ja im certwatch-Mail ;)


    cltrmx ./cr-all.sh und ./upd.sh reicht doch

    sprich des alle paar Monate per cronjob zu machen und dann irgendwelche Logs durchschauen zu müssen ob es denn überhaupt fehlerfrei geklappt hat,

    is ma einfach zu kindisch, wenn ich es so direkt sehen kann;)

    (ich bin auch ein Gegner irgendwas unbeaufsichtigt automatisiert updaten zu lassen)

  • (ich bin auch ein Gegner irgendwas unbeaufsichtigt automatisiert updaten zu lassen)

    Kann ich sogar ein Stück weit nachvollziehen, aber ohne verlässliche Automatismen käme man doch zu nix anderem mehr als manuell ständig und überall Updates zu triggern / zu kontrollieren. Wenn ich mir allein nur vorstelle, auf all meinen Servern die LE Zertifikate manuell anzustoßen, bekomme ich Zuckungen.


    Ordentliches Monitoring dran, das mir rechtzeitig eine fehlgeschlagene Verlängerung meldet und das reicht mir dann auch. Dafür ist mir die Lebenszeit dann doch zu kostbar, aber jeder setzt eben andere Prioritäten. :)

  • Kann ich sogar ein Stück weit nachvollziehen, aber ohne verlässliche Automatismen käme man doch zu nix anderem mehr als manuell ständig und überall Updates zu triggern / zu kontrollieren. Wenn ich mir allein nur vorstelle, auf all meinen Servern die LE Zertifikate manuell anzustoßen, bekomme ich Zuckungen.


    Ordentliches Monitoring dran, das mir rechtzeitig eine fehlgeschlagene Verlängerung meldet und das reicht mir dann auch. Dafür ist mir die Lebenszeit dann doch zu kostbar, aber jeder setzt eben andere Prioritäten. :)

    eigentlich unglaublich, dass Zertifikatsaustausch noch immer vergessen/händisch gemacht wird und wer nicht aller (jahrelang) Warnhinweise ignoriert =O

    Beim Vorübersurfen die Verbrecher immer wieder mal notiert: Liste wird länger und länger ...

  • aber ohne verlässliche Automatismen käme man doch zu nix anderem mehr als manuell ständig und überall Updates zu triggern / zu kontrollieren.

    Du sagst es, es gibt halt keine verlässlichen Automatismen; :/

    weil sich darauf zu verlassen, dass einem da nix untergeschoben wird, was dann das Setup kaputt macht, und man dann mehr Ärger am Hals hat,

    bringt ja auch nix; ich wills vorher wissen was upgedatet wird ..., und nicht hintenach die Erkenntnis haben, dass es besser nicht upgedated werden hätte sollen;

    und das hintenach Kontrollieren der Logfiles kann auch ganz schön aufwendig sein ...


    kommt sich wahrscheinlich auf das Selbe 'raus, ob man eine Nachtschicht einlegt od. am nächsten Tag die Komplikationen der automatischen Updates korrigiert; und im worst case evtl. längere Ausfallzeiten hat ...

    Wenn ich mir allein nur vorstelle, auf all meinen Servern die LE Zertifikate manuell anzustoßen, bekomme ich Zuckungen.

    wieso nicht auch das Erstellen der Zertifikate zentralisieren?


    eigentlich unglaublich, dass Zertifikatsaustausch noch immer vergessen/händisch gemacht wird und wer nicht aller (jahrelang) Warnhinweise ignoriert

    Beim Vorübersurfen die Verbrecher immer wieder mal notiert: Liste wird länger und länger ...

    mal etwas halblang; die LE Geschichte ist strenggenommen nur ein Experiment;

    denn vertrauen kann man eigentlich nur OV Zertifikaten, und es wäre absolut kein Problem derartiges auch f. OV Zertifikate zu implementieren;

    aber dagegen sind die CAs die damit Unmengen an Geld scheffeln;


    oder würdest Du Deiner Bank vertrauen, wenn da bei https://banking.deinebank.deinland/  irgend ein DV Zert. zum Vorschein käme?

  • ich wills vorher wissen was upgedatet wird

    Na wollen wir doch mal beim Thema bleiben: primär ging es dir ja um Zertifikatsverlängerungen - da wird nix grundlegend neues installiert. Zumindest laufen die LE-Crons bei mir sehr zuverlässig. Und ja, auch wie du vorgeschlagen hast: an den meisten Stellen zentralisiert. Dennoch sitzt ein Monitoring an jedem Service und prüft, ob dort das Zertifikat i.O. ist. Spart mir letztendlich jede Menge Zeit ein.

    Ein OS würde ich auch nicht unbeaufsichtigt upgraden lassen, aber das ist doch ein ganz anderes Thema.

  • DerRené im Prinzip hast Du ja recht, ich spare mir eben das "Monitoring",

    lasse mich erinnern wenn es denn wieder mal Zeit ist die Zertifikate upzudaten, und sehe dann direkt ob die korrekt installiert wurden;

    f. Dinge die gerade mal 4 mal im Jahr passieren einen cronjob zu machen ist f. mich dann doch etwas seltsam;;)


    ich nutze auf einem vServer LE und am anderen Buypass, welche gleich nur 2 mal Jahr ablaufen;

  • Ist richtig, alle 90 Tage ist prinzipiell nicht die Welt, aber: 4x im Jahr * Anzahl der Services, die letztendlich mit dem Zertifikat arbeiten. Da kommt bei mir einiges zusammen und ich mag nicht händisch überall nachsehen, ob das Zertifikat ordentlich gesetzt wurde. :D


    Streng genommen sogar nicht alle 90, sondern alle 60 Tage. Ich update die Dinger ja nicht erst am letzten möglichen Tag, um dann noch unter Zeitdruck zu geraten. :)


    Bei nur einem Dienst, den ich täglich eh kontrolliere, würde ich mir das Monitorting womöglich auch sparen.

  • gerade weiter oben spreche ich noch davon und hier entdecke ich es =O


    wie vertrauenswürdig ist eine Bank, bei welcher LE Zertifikate zum Einsatz kommen?

    https://www.ssllabs.com/ssltes…html?d=banking.bigbank.de

    (analog bei auth.bigbank.eu od. (www.)bigbank.de

    selbiges mit TLD .at; auch ein A+ macht es nicht wirklich vertrauensvoller)

  • oder würdest Du Deiner Bank vertrauen, wenn da bei https://banking.deinebank.deinland/  irgend ein DV Zert. zum Vorschein käme?

    Das wäre mir ehrlich gesagt vollkommen egal, weil es darauf bei der Verschlüsselung nicht wirklich ankommt.


    Bei den Banken gibt es ganz andere Problembaustellen, die mir als Kunde regelmäßig Kopfschmerzen bereiten.


    Let's Encrypt als Zertifikat könnte man eventuell sogar positiv sehen. Dann ist wenigstens irgendwas "modern" ^^

  • Bei den Banken gibt es ganz andere Problembaustellen, die mir als Kunde regelmäßig Kopfschmerzen bereiten.

    welche wären das?


    wobei mir bereitet ehrlich gesagt so richtig Migräne, nur noch mit SSL zu verschlüsseln;

    und kein normales HTTP (Port 80) mehr zu verwenden;

  • Warum sollte eine Bankwebsite mit normalen Port 80 HTTP funktionieren?

    Das würde mir Kopfschmerzen bereiten!

    Oder versteh ich da was falsch?

    Ja das haste jetzt falsch verstanden, ich bezog es allgemein, nicht auf Bankwebsites;


    der Grund: so lange alles problemlos funktioniert, dann gibt es auch kein Problem,

    sollte aber z.B. der OCSP nicht erreichbar sein¹, dann darf

    eine Banking Site keinesfalls funktionieren, hingegen z.B. das Forum hier aber schon;

    und OCSPStapling hier als Lsg. zu präsentieren macht noch mehr Kopfweh;


    ¹ ob das jetzt ein Problem im DNS od. bei der CA selbst ist, ist dabei unerheblich;