News Let's-Encrypt: Electronic Frontier Foundation übernimmt den Client

[fethomm]

Mit dem Ende des Beta-Stadiums von Let's Encrypt vor einem Monat fiel auch der Beschluss, den Client an die Electronic Frontier Foundation als Mitbegründer von Let's Encrypt zu übergeben. Die Stiftung stellt nun mit Certbot den künftigen Client zur Absicherung von Webseiten vor.

Zur News: Let's-Encrypt: Electronic Frontier Foundation übernimmt den Client

 

[Benj]

Ist m.E. eine tolle Sache. Für mich hat es vieles enorm vereinfacht, insbesondere seitdem es ein Plugin für Plesk 12 gibt.

 

[MarcDK]

Eine super Sache. Ich habe es seit ein paar Tagen auf all meinen privaten Webseiten installiert. So sind die Daten der Nutzer jetzt sicher.

 

[menace_one]

Bei mir läuft LE seit 3 Monaten vollautomatisch und stabil, echt eine prima Sache.

 

[PUNK2018]

Bei mir läuft LE seit 3 Monaten vollautomatisch und stabil, echt eine prima Sache.

Vollautomatisch heißt? Mit erneuerung des Zertifikats? Muss ich mal nach nem Skritp schauen ^^

 

[Kinman]

Ich nutze LE auch schon seit ein paar Wochen und bin super zufrieden.

lg Kinman

 

[mauorrizze]

Vollautomatisch heißt? Mit erneuerung des Zertifikats? Muss ich mal nach nem Skritp schauen ^^

Ich hab mir aus acme-tiny eigene Skripte gebastelt. Der offizielle Client ist komfortabler, aber riesengroß und brauchte damals weitreichenden root-Zugriff, daher habe mich für dieses 200-Zeilen-Skript entschieden. Außerdem gab's am Anfang noch keinen fertigen NGINX-Support, musste also so oder so auf weitere Skripte zurückgreifen.

Meine eigenen (bash & Python) Skripte muss ich hin und wieder nachbessern, aber sie kümmern sich auch um Email- und DANE-Kram und erledigen die häufigen Key-Rollover automatisch, laden BIND und NGINX neu. Ich brauch nur je Domain/Site ein bis zwei Cronjobs anlegen, das hat bisher schon mehrmals gut funktioniert, wenn nicht gerade das in meinen Skripten hardkodierte Intermediate-Certificate seitens LE ausgetauscht wird...

Die Liste der im Artikel verlinkten ACME-Clients wird immer länger, dort findet man sicherlich gute Anhaltspunkte und Beispiele, wie man Sachen automatisieren kann.
Dieses ACME-Protokoll ist das Beste an LE und vermutlich das, was es so erfolgreich macht.

 

[ManOki]

Für Leute, die auch lieber ein Skript verwenden wollen, aber keine Lust haben, eins selbst zu schreiben/pflegen:
https://www.21x9.org/letsencrypt-sh/

Gibts sogar bereits als Debian jessie-backport:
https://packages.debian.org/jessie-backports/letsencrypt.sh

Leider geht immer noch nicht no-ip.org ... sonst hätte ich auch schon ein laufendes LE auf meinem Server.

{"type":"urn:acme:error:rateLimited","detail":"Error creating new cert :: Too many certificates already issued for: no-ip.org","status":429}

 

[Kyze]

Ja schade, dass es nicht für die DynDNS-Dienste funktioniert.
Bin ebenfalls bei No-IP (ddns.net) und komme nicht an eines ran.

Habe also aktuell nur ein Selbstsigniertes, werde mir dann wieder eins mit LE holen wenn ich mal meine eigene Domain habe (in Planung )

 

[Benj]

Ja schade, dass es nicht für die DynDNS-Dienste funktioniert.
Bin ebenfalls bei No-IP (ddns.net) und komme nicht an eines ran.

Habe also aktuell nur ein Selbstsigniertes, werde mir dann wieder eins mit LE holen wenn ich mal meine eigene Domain habe (in Planung )

Warum funktioniert es nicht für DynDNS-Domains? Solange du die Kontrolle darüber hast, sollte das doch irgendwie gehen.

 

[Kyze]

Warum funktioniert es nicht für DynDNS-Domains? Solange du die Kontrolle darüber hast, sollte das doch irgendwie gehen.

Kontrolle hab ich ja, allerdings kommt die gleiche Fehlermeldung die ManOki auch schon gepostet hat.
Es wurden einfach schon zu viele Zertifikate für die Domains ausgegeben (in meinem Fall ddns.net) und dann gibt es halt keine weiteren.

Es gibt wohl auch eine Liste von Domänen die von dieser Regelung nicht betroffen sind, darunter auch die "richtigen" DynDNS-Domänen (also von dyndns.org). Bei denen sollte es also gehen.

Aber bevor ich für DynDNS bezahle, hole ich mir gleich für 0,xx€ im Monat eine Domain mit DDNS bei Strato oder so, da hab ich mehr von.

 

[Kampfbiene]

Aber bevor ich für DynDNS bezahle, hole ich mir gleich für 0,xx€ im Monat eine Domain mit DDNS bei Strato oder so, da hab ich mehr von.

Kann ich empfehlen, funktioniert wirklich tadellos. DynDNS wurde kostenpflichtig, und so wird es womöglich bei NoIP irgendwann ohnehin auch (bzw. nerven sie bei mir wegen des monatlichen "ja, ich nutze das noch", da meine IP sich seltenst ändert). Die paar Euro pro Jahr habe ich da wirklich gerne investiert.

 

[QXARE]

Wirklich eine super Sache, habe vor einigen Tagen mein erstes Zertifikat von denen installiert und ist bereits mit Websockets im Einsatz. Um die Erneuerung muss ich mich allerdings noch kümmern.

 

[Alex2005]

Super Sache. Habe mein Homepage und Subdomains auch umgestellt. All-inkl hat das schön einfach mittels einen klick im kas realisiert. Und verlängert wird automatisch. Schöner Nebeneffekt ist dass ich den Leuten die auf die vereinsverwaltung zugreifen erklären muss, dass sie das selbsterstellte Zertifikat akzeptieren müssen.

 

[da_reini]

Kontrolle hab ich ja, allerdings kommt die gleiche Fehlermeldung die ManOki auch schon gepostet hat.
Es wurden einfach schon zu viele Zertifikate für die Domains ausgegeben (in meinem Fall ddns.net) und dann gibt es halt keine weiteren.

Es gibt wohl auch eine Liste von Domänen die von dieser Regelung nicht betroffen sind, darunter auch die "richtigen" DynDNS-Domänen (also von dyndns.org). Bei denen sollte es also gehen.

Aber bevor ich für DynDNS bezahle, hole ich mir gleich für 0,xx€ im Monat eine Domain mit DDNS bei Strato oder so, da hab ich mehr von.

Hatte ich früher auch. Das Problem tritt auf wenn der dyndns provider die domain nicht als public domain bei LE auszeichnet. DuckDNS macht das zB. Da funktioniert das bei mir wunderbar. Kann ich nur empfehlen.

 

[Kyze]

Okay, DuckDNS sieht ja erstmal nicht verkehrt aus. Scheint sich sogar in die Fritzbox integrieren zu lassen.

Schaue ich mir mal an, danke für den Tipp!