Let's encrypt für abc.xyz.freifunk.net

Moin,
hab grade versucht für eine Hamburger Unterseite (statistik.hamburg.freifunk.net) ein Zertifikat zu bekommen, Ergebnis:
Error:
Certificate signature failed. Please start back at Step 1.
{„type“:„urn:acme:error:rateLimited“,„detail“:„Error creating new cert
:: Too many certificates already issued for: freifunk.net“,„status“:429}

Bevor sich also noch jemand die Mühe macht… sehen wir mal ob Let’s encrypt überhaupt bereit ist die Anzahl an Zertifikaten für einzelne Domains hochzusetzen.
Gruß
tokudan

Edit: Link zum entsprechenden Forumspost bei Let’s encrypt:

Frag doch einfach mal nach!?
Ist ja öffentliche Beta und die hoffen auf Rückmeldungen.

Hab ich schon gemacht, geht zur Zeit aber im Rauschen unter. Ich probiere es Anfang kommender Woche nochmal.

für *deinestadt.freifunk.net gibt es startcom ssl certs!

Ist uns bekannt, wenn möglich wollen wir aber auf dem System kein Wildcard-Zertifikat haben, da der Server eben nur statistik.hamburg.freifunk.net macht,

Die Empfehlung von Let’s encrypt lautet, dass freifunk.net in eine public suffix liste eingetragen wird:
Too many certificates already issued - rate limit? - #26 by jsha - Issuance Tech - Let's Encrypt Community Support

Das könnte durchaus Sinn machen, auch wenn freifunk.net kein Dynamic DNS Anbieter ist, sondern ein Sammelbecken für zahlreiche lokale Communities. Das Ergebnis wäre dann, dass nicht mehr alle Zertifikate für **.freifunk.net gezählt werden, sondern jede Subdomain von freifunk.net hätte einen eigenen Counter.

Sieht jemand Gründe dagegen?

1 Like

Dann antworte ich mal auf mich selbst.
Die Liste würde wohl auch dafür sorgen, dass Browser u.a. keine Cookies mehr direkt für freifunk.net annehmen.
Beispiele:
Restricting cookie setting
Restricting the setting of the document.domain property
Determining whether entered text is a search or a website URL (könnte dafür sorgen dass „freifunk.net“ als Suche behandelt wird…)
Zone determination (Internet Explorer)
ActiveX opt-in list security restriction
Webcrawler

Ich denke das hätte zuviele potenzielle Nebenwirkungen, daher ist die Liste für uns wohl nicht brauchbar.
Hoffen wir, dass Let’s encrypt bald mehr Zertifikate pro Domain zulässt.

1 Like

Ich wollte eben ein neues Let’s encrypt Zertifikat erstellen. Leider ist freifunk.net derzeit im Ratelimit:

{
  "type": "urn:acme:error:rateLimited",
  "detail": "Error creating new cert :: Too many certificates already issued for: freifunk.net",
  "status": 429
}

Wurde bereits versucht Kontakt mit Let’s Encrypt aufzunehmen?
Das ist ein ärgerliches Problem :

Ja würde (vor vielen Monden)
Ergebnis: Ist halt so, teilt doch Zertifikate/Kombiniert, wo es denn geht innerhalb der Domain/Community
Ja, man muss sie dann nicht nur verteilen, sondern sich für das das Renew auch noch Forwardings basteln, damit die Challenges aus allen Subdomains beim certbot ankommen.

spricht aber nichts dagegen das nochmal als problem bei letsencrypt aufzuwerfen.

externer Verweis:
das Problem wurde vor kurzem auch auf der wlan-news Mailingliste diskutiert. Bei letsencrypt gibt es dazu wohl auch ein Thema.

Das „Ergebnis“ dort war aber doch auch nicht greifbar.
Ausser dass noch mehr Beispiele angeführt wurden von Communites, die verschwenderisch Einzelzertifikate holen. Für jeden Plasterouter…

1 Like

Jede Community kann das ja nutzten und Lets Encrypt bietet einen weg um das zu umgehen. Aber dieser ist nicht gewünscht. Verstehe das Lets Encrypt vom automatisierten Prozess ansonsten kaum/keine ausnahmen macht, vor allem wenn es mit der Community Struktur Suffix liste super wäre.

Bezueglich der Nachteile, sind das fuer mich vorteile. Jeder hat cookies usw. auf seiner Domain. Meisten anderen machen dann Verein.org und community.verein.net Redirects usw gehen ja noch auf der .net. Das Thema hatten wir schonmal

Persönlich finde ich sehr gut das Lets Encrypt macht und die werden das Limit sicherlich nicht groß anheben oder ganz aufheben. Ausnahmen wegen weil jemand Feature das für Aufteilung von Domains vorgesehen ist nicht nutzten will wird es auch nicht geben.

1 Like

Bezugnehmend auf:

Frage ich hier nochmal nach, ob es noch ein LE und Freifunk Problem gibt? Wir aktualisieren regelmäßig und bisher 100% zuverlässig nord.freifunk.net

Das Kontingent ist halt häufig mal ausgeschöpft „pro secondlevel-domain“, es können halt nicht beliebig viele Zertifikate NEU erstellt werden in einem nicht näher bestimmten Taming/Migitation-Intervall.
(Das betrifft keine Renewals, sondern nur Creation und Expansion).

Und warum das? Weil einige Communities für jeden einzelnen Plaste-Router ein Zertifikat für dessen FQDN holen.
Eigentlich ja durchaus zu begründen. Aber nunja… dafür sollte man dann vielleicht doch eher mal schauen, ob man eine Freifunk-CA als Zwischenzertifizierungsstelle auf die Beine gestellt bekommt, wenn man doch anderswo als LIR auch mit „den Großen“ mitspielt.

Meine persönliche Meinung dazu:
Bullshit dafür hat man seine eigene Domain! Finde das gerade zu dreist dafür freifunk.net zu nutzen.

Ok das erklärt es vielleicht, wir renewen natürlich nur.

Das sind dann die nächsten Experten: Es gibt da eine größere Anzahl von Personen, deren Scripte offensichtlich kein Renew können, die machen jedes Mal neu…
(Und auch da fällt es schwer, nach „Ausnahme für Freifunk.net“ zu bitten.)

Ich kann nicht widersprechen.

1 Like

Ich werfe dafür mal unser damaliges Ticket in den Raum:

https://bug.freifunk.net/issues/1284

Das ist zwar noch offen, aber der wichtige Teil LE ist funktionsfähig umgesetzt. Vielleicht hilft das dem ein oder anderen bei der Installation.

1 Like

leider scheint acme-tiny seit letzten sommer komplett abandonend zu sein… ich werde mir mal acme.sh ansehen, denn mittelfristig muss ich anscheinend acme-tiny ersetzen wenn der zustand so bleibt.

Sollte man diese Communities ( die sind doch sicher Irgendwie bekannt) nicht mal anschreiben und bitten das zu unterlassen, wozu brauche ich für jeden plasterouter ein eigenes Zertifikat?

1 Like