[WLANnews] letsencrypt + freifunk.net
Marvin W
freifunk at larma.de
Fr Feb 3 20:55:10 CET 2017
Hi,
On Fr, Feb 3, 2017 at 7:25 , Andreas Bräu <ab at andi95.de> wrote:
> Ansonsten habe ich es so verstanden, dass Renewals nicht in die Rate
> Limits für neue Zertifikate hineinzählen. Sonst könnte man ja nur
> 20 Zertifikate pro Domain registrieren:
> https://letsencrypt.org/docs/rate-limits/
Wenn dem so ist, ist diese gesamte Diskussion eigentlich sogar
kontraproduktiv:
Wenn jemand etwas an der Struktur ändert, also etwa viele einzelne
Subdomains zusammenlegt, sind das neue Zertifikate die aufs Rate-Limit
gehen, während die aktuellen beim renew nicht zählen würden.
Vorhandene Strukturen sollten also nicht (deshalb) geändert werden.
Der einzige Grund warum wir das Limit erreichen ist, dass wir noch "in
der Umstellung" sind. Wenn alle Freifunk-Communities komplett auf Let's
encrypt umgestellt haben, wird sich die Anzahl der neuen Subdomains
wahrscheinlich in Grenzen halten, und renews sind ja kein Problem.
Natürlich sollten die, die die Umstellung noch nicht abgeschlossen
haben, sicherstellen, dass sie nicht haufenweise Test-Zertifikate
ausstellen.
Es macht sicherlich keinen Sinn zu fragen, wer denn so viele sinnlose
Zertifikate erzeugt, denn sicher wird niemand sehr oft neue domains
ausstellen und wenn nur neue domains/domain-Kombinationen zählen, ist
ein Fehler, sofern er denn geschehen ist, nicht "wieder gut" zu machen
-> die (sub-)domain(-kombi) hat ihre einmalige Auswirkung aufs rate
limit gemacht, eine Änderung macht (in Bezug auf das Rate-Limit)
nichts besser sondern maximal schlechter.
Also außer eine community würde automatisiert Zertifikate für neue
Knoten [knotenname].[community].freifunk.net generieren, aber davon
gehe ich mal nicht aus...
Grüße,
Marvin
Mehr Informationen über die Mailingliste WLANnews