[WLANnews] letsencrypt + freifunk.net

[Marvin W]

Hi,

On Fr, Feb 3, 2017 at 7:25 , Andreas Bräu <ab at andi95.de> wrote:
> Ansonsten habe ich es so verstanden, dass Renewals nicht in die Rate 
> Limits für neue Zertifikate hineinzählen. Sonst könnte man ja nur 
> 20 Zertifikate pro Domain registrieren: 
> https://letsencrypt.org/docs/rate-limits/


Wenn dem so ist, ist diese gesamte Diskussion eigentlich sogar 
kontraproduktiv:
Wenn jemand etwas an der Struktur ändert, also etwa viele einzelne 
Subdomains zusammenlegt, sind das neue Zertifikate die aufs Rate-Limit 
gehen, während die aktuellen beim renew nicht zählen würden. 
Vorhandene Strukturen sollten also nicht (deshalb) geändert werden.

Der einzige Grund warum wir das Limit erreichen ist, dass wir noch "in 
der Umstellung" sind. Wenn alle Freifunk-Communities komplett auf Let's 
encrypt umgestellt haben, wird sich die Anzahl der neuen Subdomains 
wahrscheinlich in Grenzen halten, und renews sind ja kein Problem. 
Natürlich sollten die, die die Umstellung noch nicht abgeschlossen 
haben, sicherstellen, dass sie nicht haufenweise Test-Zertifikate 
ausstellen.

Es macht sicherlich keinen Sinn zu fragen, wer denn so viele sinnlose 
Zertifikate erzeugt, denn sicher wird niemand sehr oft neue domains 
ausstellen und wenn nur neue domains/domain-Kombinationen zählen, ist 
ein Fehler, sofern er denn geschehen ist, nicht "wieder gut" zu machen 
-> die (sub-)domain(-kombi) hat ihre einmalige Auswirkung aufs rate 
limit gemacht, eine Änderung macht (in Bezug auf das Rate-Limit) 
nichts besser sondern maximal schlechter.

Also außer eine community würde automatisiert Zertifikate für neue 
Knoten [knotenname].[community].freifunk.net generieren, aber davon 
gehe ich mal nicht aus...

Grüße,
Marvin