Let's encrypt für abc.xyz.freifunk.net

Dann antworte ich mal auf mich selbst.
Die Liste würde wohl auch dafür sorgen, dass Browser u.a. keine Cookies mehr direkt für freifunk.net annehmen.
Beispiele:
Restricting cookie setting
Restricting the setting of the document.domain property
Determining whether entered text is a search or a website URL (könnte dafür sorgen dass „freifunk.net“ als Suche behandelt wird…)
Zone determination (Internet Explorer)
ActiveX opt-in list security restriction
Webcrawler

Ich denke das hätte zuviele potenzielle Nebenwirkungen, daher ist die Liste für uns wohl nicht brauchbar.
Hoffen wir, dass Let’s encrypt bald mehr Zertifikate pro Domain zulässt.

1 „Gefällt mir“

Ich wollte eben ein neues Let’s encrypt Zertifikat erstellen. Leider ist freifunk.net derzeit im Ratelimit:

{
  "type": "urn:acme:error:rateLimited",
  "detail": "Error creating new cert :: Too many certificates already issued for: freifunk.net",
  "status": 429
}

Wurde bereits versucht Kontakt mit Let’s Encrypt aufzunehmen?
Das ist ein ärgerliches Problem :

Ja würde (vor vielen Monden)
Ergebnis: Ist halt so, teilt doch Zertifikate/Kombiniert, wo es denn geht innerhalb der Domain/Community
Ja, man muss sie dann nicht nur verteilen, sondern sich für das das Renew auch noch Forwardings basteln, damit die Challenges aus allen Subdomains beim certbot ankommen.

spricht aber nichts dagegen das nochmal als problem bei letsencrypt aufzuwerfen.

externer Verweis:
das Problem wurde vor kurzem auch auf der wlan-news Mailingliste diskutiert. Bei letsencrypt gibt es dazu wohl auch ein Thema.

Das „Ergebnis“ dort war aber doch auch nicht greifbar.
Ausser dass noch mehr Beispiele angeführt wurden von Communites, die verschwenderisch Einzelzertifikate holen. Für jeden Plasterouter…

1 „Gefällt mir“

Jede Community kann das ja nutzten und Lets Encrypt bietet einen weg um das zu umgehen. Aber dieser ist nicht gewünscht. Verstehe das Lets Encrypt vom automatisierten Prozess ansonsten kaum/keine ausnahmen macht, vor allem wenn es mit der Community Struktur Suffix liste super wäre.

Bezueglich der Nachteile, sind das fuer mich vorteile. Jeder hat cookies usw. auf seiner Domain. Meisten anderen machen dann Verein.org und community.verein.net Redirects usw gehen ja noch auf der .net. Das Thema hatten wir schonmal

Persönlich finde ich sehr gut das Lets Encrypt macht und die werden das Limit sicherlich nicht groß anheben oder ganz aufheben. Ausnahmen wegen weil jemand Feature das für Aufteilung von Domains vorgesehen ist nicht nutzten will wird es auch nicht geben.

1 „Gefällt mir“

Bezugnehmend auf:

Frage ich hier nochmal nach, ob es noch ein LE und Freifunk Problem gibt? Wir aktualisieren regelmäßig und bisher 100% zuverlässig nord.freifunk.net

Das Kontingent ist halt häufig mal ausgeschöpft „pro secondlevel-domain“, es können halt nicht beliebig viele Zertifikate NEU erstellt werden in einem nicht näher bestimmten Taming/Migitation-Intervall.
(Das betrifft keine Renewals, sondern nur Creation und Expansion).

Und warum das? Weil einige Communities für jeden einzelnen Plaste-Router ein Zertifikat für dessen FQDN holen.
Eigentlich ja durchaus zu begründen. Aber nunja… dafür sollte man dann vielleicht doch eher mal schauen, ob man eine Freifunk-CA als Zwischenzertifizierungsstelle auf die Beine gestellt bekommt, wenn man doch anderswo als LIR auch mit „den Großen“ mitspielt.

Meine persönliche Meinung dazu:
Bullshit dafür hat man seine eigene Domain! Finde das gerade zu dreist dafür freifunk.net zu nutzen.

Ok das erklärt es vielleicht, wir renewen natürlich nur.

Das sind dann die nächsten Experten: Es gibt da eine größere Anzahl von Personen, deren Scripte offensichtlich kein Renew können, die machen jedes Mal neu…
(Und auch da fällt es schwer, nach „Ausnahme für Freifunk.net“ zu bitten.)

Ich kann nicht widersprechen.

1 „Gefällt mir“

Ich werfe dafür mal unser damaliges Ticket in den Raum:

https://bug.freifunk.net/issues/1284

Das ist zwar noch offen, aber der wichtige Teil LE ist funktionsfähig umgesetzt. Vielleicht hilft das dem ein oder anderen bei der Installation.

1 „Gefällt mir“

leider scheint acme-tiny seit letzten sommer komplett abandonend zu sein… ich werde mir mal acme.sh ansehen, denn mittelfristig muss ich anscheinend acme-tiny ersetzen wenn der zustand so bleibt.

Sollte man diese Communities ( die sind doch sicher Irgendwie bekannt) nicht mal anschreiben und bitten das zu unterlassen, wozu brauche ich für jeden plasterouter ein eigenes Zertifikat?

1 „Gefällt mir“

Sollte man ja. Ich kenne nur die betroffenen Communities nicht.

Bei uns im Hackerspace wird acertmgr entwickelt. Kann auch Dienste Neustarten usw. Eventuell interessant.

Ich werde hier kein Fingerpointing betreiben.
Es gibt durchaus Gründe, die „ssl-Zertifikat in Plasteroutern“ rechtfertigen können. Und wenn man es platzmäßig hinbekommt (gibt ja mehr als nur Gluon im Freifunk-Umfeld), warum nicht.

Meiner Meinung nach ist es angesichts der bestehenden Limits (und dem Projekt/Finanzierungs-Modell bei LE) an der Grenze zu „unfair“ gegenüber anderen Leuten, die vielleicht nicht so aufgebuffte Cert-Scripte in der Cron laufen lassen.

Zeigt aber auch die Limits einer solchen Sammeldomain mit vielen, vielen Delegationen.
Und wo das Freibier nix kostet, da gibt’s eben unterschiedliche Arten des Konsums.
Nur wenn man keine Regeln (und auch keinen Kodex) aufgestellt hat dazu, dann ist es nicht statthaft, dort Forderungen aufzustellen im Nachgang.

http://lists.freifunk.net/pipermail/wlannews-freifunk.net/2017-March/004473.html

2 „Gefällt mir“

Danke @andibraeu das ist schön aber grundsätzlich sollte man sich da trotzdem mal einigen ob es nicht besser wäre nicht alles auf subdomain.freifunk.net laufen zu lassen, DNS Anfragen häufen sich Irgendwann auch mal.

ich meine btw einen „Workaround“ gefunden zu haben, der die Ratelimits von LE (naja… sagen wir mal) »umgeht« …

wenn ihr Zertifikate als C[ommon]N[name] blablubb.<eureDomain> mit S[ubject[A[lt]N[ame] blablubb.<community>.freifunk.net anlegt, dann geht das meiner bisherigen und aktuellen Erfahrung nach durch … (muss natürlich für die Challenge beides auf dem selben Server terminieren)

also ala:
# certbot .... -d blablubb.ffac.rocks -d blablubb.aachen.freifunk.net
nimmt das Kontingent von *.ffac.rocks - ist aber auch gültiges Zertifikat für *.aachen.freifunk.net

hab ich jetzt schon drei oder vier mal ohne Fehler seitens LE gemacht … (EDIT: kann natürlich auch mit dem Ausfüllen des Formulars von zwei Posts weiter oben zusammenhängen…)

4 „Gefällt mir“