[WLANnews] letsencrypt + freifunk.net

Marvin W freifunk at larma.de
Fr Feb 3 19:19:20 CET 2017 

1. Die Zertifikate gelten 90 Tage, einige Communities erneuern ihre 
Zertifikate automatisiert monatlich (ich könnte dazu jetzt eine blame 
liste anfertigen, aber ich denke ich lasse das mal). Alle 2 Monate 
sollte auf jeden Fall reichen.
2. So wie ich das Rate-Limit-Regelwerk von Let's Encrypt verstanden 
habe, werden Zertifikatserneuerungen genauso auf das 20 Zertifikate pro 
Woche Limit gezählt wie neue Zertifikate, ist jedoch das Limit 
überschritten kann man weiterhin Zertifikate erneuern, aber keine 
neuen erzeugen.

Das sieht also für mich so aus, als gäbe es eine relativ einfache 
Lösung für das Rate Limiting: Alle Communities erneuern ihre 
Zertifikate in der selben Woche und das alle zwei Monate (also zum 
Beispiel immer am ersten jedes geraden Monats). In dieser Woche ist es 
dann folglich nicht möglich neue Zertifikate zu erzeugen, da durch die 
renews das 20er Limit erreicht werden würde - den Rest des 
2-Monatszeitrum sollte aber entsprechend relativ wenig los sein, sodass 
dann neue Zertifikate geholt werden können. Neu ist übrigens auch 
dann schon, wenn zu einem Multi-Zertifikat ein hostname hinzugefügt 
oder entfernt wird.
Wenn man wüsste wie Let's encrypt Wochen zählt, könnte es sogar 
sein, dass man das ganze noch optimieren kann indem man die Zertifikate 
alle am letzten Tag der Woche macht, aber das geht dann vielleicht 
tatsächlich etwas zu weit (und ist aufwendiger als Cronjob zu 
schreiben :P)

Grüße,
Marvin

On Fr, Feb 3, 2017 at 6:55 , jens <jens at viisauksena.de> wrote:
> die letsencrpt zertifikate gelten nur einen Monat, dann brauchst du 
> ein neues, und ich denk das wird dann von dem rate limit abgezogen, 
> nur eine Vermutung
> 
> On 03.02.2017 18:42, Andreas Bräu wrote:
>> Hallo zusammen,
>> 
>> wir haben ja bekanntlich das Problem, dass wir immer wieder mit den 
>> Rate Limits zu kämpfen haben. Pro Woche können wir 20 neue 
>> Zertifikate beantragen. Seit beinahe einem Jahr ist letsencrypt nun 
>> live. Das bedeutet, dass wir schon weit über 1000 Zertifikate haben 
>> müssten (man konnte ja auch schon vorher in der Beta-Phase 
>> Zertifikate bekommen, wenn da auch mit geringeren Ratelimits).
>> 
>> Mich interessiert nun: Wer beantragt so viele Zertifikate? Wofür 
>> setzt ihr sie ein?
>> 
>> Kann man hier ggf. noch optimieren und bei Diensten, die auf einem 
>> Server laufen ein Zertifikat mit mehreren Domains erstellen, anstatt 
>> für jede Subdomain ein eigenes Zertifikat zu beantragen?
>> 
>> Ich bin gespannt auf eure Rückmeldungen.
>> 
>> Viele Grüße
>> 
>> Andi
>> 
>> ps: wir haben schon 2x bei letsencrypt angefragt, die Limits zu 
>> erhöhen. Eine Antwort kam nie, im Formular schreiben sie auch, dass 
>> man eher nicht             mit einer Antwort rechnen sollte.
>> 
>>>> Andreas Bräu
>> 
>> XMPP: 	andibraeu at jabber.weimarnetz.de
>> Twitter:	@evAltenberga
>> Blog:	https://blog.andi95.de
>> PGP:	0xB7E04818
>> 
>> 
>> 
>> _______________________________________________
>> WLANnews mailing list
>> WLANnews at freifunk.net
>> Abonnement abbestellen? -> 
>> http://lists.freifunk.net/mailman/listinfo/wlannews-freifunk.net
>> 
>> Weitere Infos zu den freifunk.net Mailinglisten und zur An- und 
>> Abmeldung unter http://freifunk.net/mailinglisten
> 
> --
> make the world nicer, please use PGP encryption

Mehr Informationen über die Mailingliste WLANnews