Moin,
hab grade versucht für eine Hamburger Unterseite (statistik.hamburg.freifunk.net) ein Zertifikat zu bekommen, Ergebnis:
Error:
Certificate signature failed. Please start back at Step 1.
{„type“:„urn:acme:error:rateLimited“,„detail“:„Error creating new cert
:: Too many certificates already issued for: freifunk.net“,„status“:429}
Bevor sich also noch jemand die Mühe macht… sehen wir mal ob Let’s encrypt überhaupt bereit ist die Anzahl an Zertifikaten für einzelne Domains hochzusetzen.
Gruß
tokudan
Edit: Link zum entsprechenden Forumspost bei Let’s encrypt:
Ist uns bekannt, wenn möglich wollen wir aber auf dem System kein Wildcard-Zertifikat haben, da der Server eben nurstatistik.hamburg.freifunk.net macht,
Das könnte durchaus Sinn machen, auch wenn freifunk.net kein Dynamic DNS Anbieter ist, sondern ein Sammelbecken für zahlreiche lokale Communities. Das Ergebnis wäre dann, dass nicht mehr alle Zertifikate für **.freifunk.net gezählt werden, sondern jede Subdomain von freifunk.net hätte einen eigenen Counter.
Dann antworte ich mal auf mich selbst.
Die Liste würde wohl auch dafür sorgen, dass Browser u.a. keine Cookies mehr direkt für freifunk.net annehmen.
Beispiele:
Restricting cookie setting
Restricting the setting of the document.domain property
Determining whether entered text is a search or a website URL (könnte dafür sorgen dass „freifunk.net“ als Suche behandelt wird…)
Zone determination (Internet Explorer)
ActiveX opt-in list security restriction
Webcrawler
Ich denke das hätte zuviele potenzielle Nebenwirkungen, daher ist die Liste für uns wohl nicht brauchbar.
Hoffen wir, dass Let’s encrypt bald mehr Zertifikate pro Domain zulässt.
Ja würde (vor vielen Monden)
Ergebnis: Ist halt so, teilt doch Zertifikate/Kombiniert, wo es denn geht innerhalb der Domain/Community
Ja, man muss sie dann nicht nur verteilen, sondern sich für das das Renew auch noch Forwardings basteln, damit die Challenges aus allen Subdomains beim certbot ankommen.
Das „Ergebnis“ dort war aber doch auch nicht greifbar.
Ausser dass noch mehr Beispiele angeführt wurden von Communites, die verschwenderisch Einzelzertifikate holen. Für jeden Plasterouter…
Jede Community kann das ja nutzten und Lets Encrypt bietet einen weg um das zu umgehen. Aber dieser ist nicht gewünscht. Verstehe das Lets Encrypt vom automatisierten Prozess ansonsten kaum/keine ausnahmen macht, vor allem wenn es mit der Community Struktur Suffix liste super wäre.
Bezueglich der Nachteile, sind das fuer mich vorteile. Jeder hat cookies usw. auf seiner Domain. Meisten anderen machen dann Verein.org und community.verein.net Redirects usw gehen ja noch auf der .net. Das Thema hatten wir schonmal
Persönlich finde ich sehr gut das Lets Encrypt macht und die werden das Limit sicherlich nicht groß anheben oder ganz aufheben. Ausnahmen wegen weil jemand Feature das für Aufteilung von Domains vorgesehen ist nicht nutzten will wird es auch nicht geben.
Das Kontingent ist halt häufig mal ausgeschöpft „pro secondlevel-domain“, es können halt nicht beliebig viele Zertifikate NEU erstellt werden in einem nicht näher bestimmten Taming/Migitation-Intervall.
(Das betrifft keine Renewals, sondern nur Creation und Expansion).
Und warum das? Weil einige Communities für jeden einzelnen Plaste-Router ein Zertifikat für dessen FQDN holen.
Eigentlich ja durchaus zu begründen. Aber nunja… dafür sollte man dann vielleicht doch eher mal schauen, ob man eine Freifunk-CA als Zwischenzertifizierungsstelle auf die Beine gestellt bekommt, wenn man doch anderswo als LIR auch mit „den Großen“ mitspielt.
Das sind dann die nächsten Experten: Es gibt da eine größere Anzahl von Personen, deren Scripte offensichtlich kein Renew können, die machen jedes Mal neu…
(Und auch da fällt es schwer, nach „Ausnahme für Freifunk.net“ zu bitten.)
leider scheint acme-tiny seit letzten sommer komplett abandonend zu sein… ich werde mir mal acme.sh ansehen, denn mittelfristig muss ich anscheinend acme-tiny ersetzen wenn der zustand so bleibt.
Sollte man diese Communities ( die sind doch sicher Irgendwie bekannt) nicht mal anschreiben und bitten das zu unterlassen, wozu brauche ich für jeden plasterouter ein eigenes Zertifikat?