Community wildcard und forum SSL

Endlich ist es soweit: Apple entziehen WoSign und StartCom das Vertrauen. Mozilla hat sich schon länger dafür ausgesprochen, aber noch nichts gemacht.

*.freifunk.net ist StartCom
forum.freifunk.net ist WoSign

Weiß jemand, ob der Förderverein freie Netze da schon dran ist? Die stellen ja netterweise die Zertifikate zur Verfügung.

Wäre echt praktisch, wenn wir unsere Zertifikate einfach so austauschen könnten bevor es Probleme macht. Dank HSTS (was wir natürlich direkt brav ausgerollt haben) kann man ja nicht mal mehr die Warnung wegklicken.

1 Like

Eine Umstellung auf LE sollte doch nur eine Fingerübung sein inzwischen.
Muss halt nur wer tun.

Let’s encrypt hat aber doch rate limiting, das ist ziemlich doof, wenn jetzt dutzende Subdomains auf einmal ihre Zertifikate (und dann jeweils alle 90 Tage wieder) tauschen müssen :smiley:

Oder ist das inzwischen kein Problem mehr?

Ich habe das intern weitergegeben.

Rate-limits kann man anpassen.

Laut wiki hat der FFFN seine StartCOM verifizierung nicht verlängert.

Entsprechend soll LE verwendet werden. Wie du selbst sagst, läuft man da schnell in Limits, wenn jetzt alle mal schnell auf LE umsteigen und es dann am besten noch falsch machen und für jede Subdomain ein eigenes Zertifikat ausstellen.

Deswegen sollte sich vielleicht mal wer darum kümmern, dass Freifunk auf folgender Liste landet:
https://publicsuffix.org/list/

Basierend darauf werden nämlich die Ratelimits von Let’s encrypt gesetzt. Einfach einen PR eröffnen und hoffen :wink:

PS: Die Renewal Intervalle sind weniger das Problem. Da sind die Ratelimits wesentlich höher. Nur wissen halt die wenigsten, dass man biszu 100 DNS Namen in die Zertifikate packen kann und dafür nur ein Certifikats-Request gebraucht wird. Was bei 20 möglichen neuen Zertifikaten also biszu 2000 Subdomains darstellt.

1 Like

Also renew ist einfach ein „certbot renew“ und der geht alle durch. Gibt auch genug Scripte die Services neustarten/neuladen.

Beispiel ohne massenhaft dependencys GitHub - moepman/acertmgr: Automated Certificate Manager using ACME

Ich finde es persönlich sehr gut, wenn jede community eigenes cert hat und keine Wildcard mehr genutzt wird. Jeder hat dann Zertifikate für Domains die er unter Kontrolle hat. Wir haben Beispielsweise für Plakate und andere Zwecke neben *.freifunk auch eine kurze Domain und beide sind im Zertifikat.

@Sheogorath also das Limit sollte kein Problem sein. Viele Communitys nutzten entweder eine andere Domain oder haben schon auf letsencrypt umgestellt.

So funktioniert es leider nicht, das das Limit „pro 2nd-level-Domain“ gilt.
d.h. irgendwelche Subdomains fallen dann in jedem Fall nach hinten runter…
mit dem Effekt dass dann x Leute ständig retries machen, in der Hoffnung, dass wieder ein Slot frei wird.

Sind irgendwelche Probleme bekannt?
Also wir haben nach ein paar Monaten letsencrypt umgestellt und kein ein Problem gehabt.

Ja, es sind die angesprochenen Probleme bekannt.
Für wieviele ff-Subdomains nutzt ihr das?
Und vor allem, wieviele verschiedene Zertifikate?
Schafft ihr es, die über mehrere Maschinen zu aggregieren? Wenn ja wie?

P. S. : Wer ist „wir“?

der aktuelle Stand ist übrigens, dass ab dem 21. Oktober keine neuen WoSign/StartCom Zertifikate mehr von künftigen Firefox-Versionen akzeptiert werden.
Das ist ein Entwurf und es ist zudem möglich, dass WoSign und/oder StartCom nächstes Jahr mit neuen root-Zertifikaten wieder aufgenommen werden, wenn sie die Anforderungen erfüllen.

1 Like

Hallo,

Comunity Regensburg:
DNS Name: ffrgb.net
DNS Name: grafana.regensburg.freifunk.net
DNS Name: regensburg.freifunk.net
DNS Name: www.ffrgb.net
DNS Name: www.regensburg.freifunk.net

Gibt noch noch ein zweites, alles andere läuft mehr oder weniger via Proxy unter regensburg.freifunk.net/ subfolder/ raus. Also wir verschwenden nichts. Zwischendurch gab es durch eine Umstellung ein force update der Zertifikate, ist aber etwas her.

Ja, es sind die angesprochenen Probleme bekannt.
→ In Theorie oder auch in Praxis? Ist logisch das Limit kommen kann.

View the Public Suffix List -werde ich mal ein PR machen- . Sehr interessant Learn more about the Public Suffix List
→ PR is raus, fehlen noch paar Sachen aussenrum - kümmere mich
Edit: Wird vermutlich nichts @Sheogorath. Problem ist das die Domain keine Cookies mehr haben kann (also freifunk.net)

1 Like

gab es da nicht die Möglichkeit, direkt bei Let’s Encrypt Ausnahmen für Domains zu beantragen?
Ich habe das nicht gebraucht bisher, aber ich meine mal davon gelesen zu haben. Vielleicht wird man aber dann auf das verwiesen, was @xaver schon gepostet hat…

Es ist soweit:
http://www.golem.de/news/wosign-und-startcom-mozilla-macht-ernst-mit-dem-rauswurf-1610-123829.html

freu habs schon auf heise gelesen - ist ueberfaellig :slight_smile:
Toll ist die lets encrypt stats und der anstieg Let's Encrypt Stats - Let's Encrypt

wie von @dago angsprochen:

Da sollten wir nun wirklich nach einer Lösung suchen.
Wenn Hilfe gebraucht wird, hier sind vermutlich mehrere Personen anwesend, die in anderen Kontexten eigene Discourse-Instanzen fahren. (ggf. kann ich Freiwillige hier aufzählen.)

Da war aber auch noch imho wichtiger:

1 Like

Dem scheint immer noch so zu sein.

docker-container sind die IoT-Geräte der Serveradmins.
no updates, ever. (häufig jedenfalls)
Falls ich mich falsch erinnere und das Forum hier nicht in einem Docker-container läuft - shame on me.

zwar nicht falsch, aber discourse in docker kann man zumindest hinsichtlich SSL auf Stand halten.