[WLANnews] letsencrypt + freifunk.net

Andreas Bräu ab at andi95.de
Fr Feb 3 19:25:22 CET 2017 

Hi Alexander,

danke, den Link habe ich auch schon entdeckt. Heute funktioniert er endlich mal für die gesamte Domain freifunk.net :)

Ich hab das Ergebnis mal in eine ods-datei gepackt. Da könnt ihr selbst mal schauen.

Bei einigen Domains scheint es auf Konfigurationsfehler zu geben. Da wurden an einem zig neue Zertifikate registriert. Beispiele:

springe.freifunk.net
firmware.wiesbaden.freifunk.net
map.leichlingen.freifunk.net
cloud.bremen.freifunk.net
Paderborn/hochstift scheint auch alles doppelt zu machen

nord.freifunk.net erneuert z.B. alle 7 Tage seine Zertifikate

Schaut doch bitte mal in eure Konfigurationen und passt das an. Die Zertifikate gelten schließlich 90 Tage.

Ansonsten habe ich es so verstanden, dass Renewals nicht in die Rate Limits für neue Zertifikate hineinzählen. Sonst könnte man ja nur 20 Zertifikate pro Domain registrieren: https://letsencrypt.org/docs/rate-limits/ <https://letsencrypt.org/docs/rate-limits/>

> Note that the Renewal Exemption also means you can gradually increase the number of certificates available to your subdomains. You can issue 20 certificates in week 1, 20 more certificates in week 2, and so on, while not interfering with renewals of existing certificates.


Viele Grüße

Andi




> Am 03.02.2017 um 18:52 schrieb Alexander Dietrich <alexander at dietrich.cx>:
> 
> Moin Andi,
> 
> hier ist eine Liste vermutlich aller Zertifikate (inkl. Verlängerungen, die nicht gegen das Rate Limit zählen) unter "freifunk.net": https://crt.sh/?q=%25.freifunk.net <https://crt.sh/?q=%25.freifunk.net>
> Sieht so aus, als ob durch Zusammenfassung durchaus Zertifikate "eingespart" werden könnten (auch in Hamburg *hust* wir jonglieren allerdings gerade mit Servern).
> 
> Viele Grüße,
> Alexander
> 
> ---
> PGP Key: https://dietrich.cx/pgp <https://dietrich.cx/pgp> | 0x52FA4EE1722D54EB
> 
> 
> On 2017-02-03 18:42, Andreas Bräu wrote:
> 
>> Hallo zusammen,
>> 
>> wir haben ja bekanntlich das Problem, dass wir immer wieder mit den Rate Limits zu kämpfen haben. Pro Woche können wir 20 neue Zertifikate beantragen. Seit beinahe einem Jahr ist letsencrypt nun live. Das bedeutet, dass wir schon weit über 1000 Zertifikate haben müssten (man konnte ja auch schon vorher in der Beta-Phase Zertifikate bekommen, wenn da auch mit geringeren Ratelimits).
>> 
>> Mich interessiert nun: Wer beantragt so viele Zertifikate? Wofür setzt ihr sie ein?
>> 
>> Kann man hier ggf. noch optimieren und bei Diensten, die auf einem Server laufen ein Zertifikat mit mehreren Domains erstellen, anstatt für jede Subdomain ein eigenes Zertifikat zu beantragen?
>> 
>> Ich bin gespannt auf eure Rückmeldungen.
>> 
>> Viele Grüße
>> 
>> Andi
>> 
>> ps: wir haben schon 2x bei letsencrypt angefragt, die Limits zu erhöhen. Eine Antwort kam nie, im Formular schreiben sie auch, dass man eher nicht mit einer Antwort rechnen sollte.
>> 
>>>> Andreas Bräu
>> 
>> XMPP:  andibraeu at jabber.weimarnetz.de <xmpp:andibraeu at jabber.weimarnetz.de>
>> Twitter: @evAltenberga <https://twitter.com/evaltenberga>
>> Blog: https://blog.andi95.de <https://blog.andi95.de/>
>> PGP: 0xB7E04818
>> 
>> _______________________________________________
>> WLANnews mailing list
>> WLANnews at freifunk.net <mailto:WLANnews at freifunk.net>
>> Abonnement abbestellen? -> http://lists.freifunk.net/mailman/listinfo/wlannews-freifunk.net <http://lists.freifunk.net/mailman/listinfo/wlannews-freifunk.net>
>> 
>> Weitere Infos zu den freifunk.net Mailinglisten und zur An- und Abmeldung unter http://freifunk.net/mailinglisten <http://freifunk.net/mailinglisten>
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <http://lists.freifunk.net/pipermail/wlannews-freifunk.net/attachments/20170203/3ae201ac/attachment-0002.html>
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : freifunk.net-letsencrypt.ods
Dateityp    : application/vnd.oasis.opendocument.spreadsheet
Dateigröße  : 82550 bytes
Beschreibung: nicht verfügbar
URL         : <http://lists.freifunk.net/pipermail/wlannews-freifunk.net/attachments/20170203/3ae201ac/attachment-0001.ods>
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <http://lists.freifunk.net/pipermail/wlannews-freifunk.net/attachments/20170203/3ae201ac/attachment-0003.html>
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 801 bytes
Beschreibung: Message signed with OpenPGP
URL         : <http://lists.freifunk.net/pipermail/wlannews-freifunk.net/attachments/20170203/3ae201ac/attachment-0001.sig>

Mehr Informationen über die Mailingliste WLANnews