[WLANnews] letsencrypt + freifunk.net

p47r1ck p47r1ck at gmx.net
Sa Feb 4 00:52:48 CET 2017 

Hallo Andi,


die ganzen Analysen wurden auch schon in vorherigen Antworten genannt,
daher nur kurz...

- Ich kann mir gut vorstellen, dass da regelmäßig in das 20er Limit pro
Woche gelaufen wird, ohne dass jmd. bewusst böse Dinge tut, wegen vieler
Subdomains (teilweise auch nur als forward auf nicht-freifunk.net
verwendet) und vielen renewalsinnerhalb einer Woche vor Ablauf 90 Tage.


Vorschläge:

- Das Problem aushalten, bis alle ihre Umstellunge durch haben

- (von den communities umzusetzen) Prüfen ob das renewal richtig
verwendet wird und ob die Zeitabstände nicht zu kurz gewählt sind

Alternativen:

- (von den communities umzusetzen) SAN Zertifikate (100 names per
certificate) verwenden, wo möglich, was einige communities anscheinend
bereits machen und nicht Einzelzertifikate für jede sub.subdomain (Der
Umstellungsprozess birgt dann natürlich ggf. (zumindest zeitliche)
Risiken wegen dem Ratelimit Problem, bzw. verstärkt dieses auch noch, ob
man dann über die Alt names seine subdomains transparent machen möchte
ist auch eine nicht zu unterschätzende Frage)

- oder Public Suffix List für freifunk.net (wenn man die "Kontrolle" da
noch mehr abgeben möchte)


Gruß,

Patrick


Am 03.02.2017 um 18:42 schrieb Andreas Bräu:
> Hallo zusammen,
>
> wir haben ja bekanntlich das Problem, dass wir immer wieder mit den
> Rate Limits zu kämpfen haben. Pro Woche können wir 20 neue Zertifikate
> beantragen. Seit beinahe einem Jahr ist letsencrypt nun live. Das
> bedeutet, dass wir schon weit über 1000 Zertifikate haben müssten (man
> konnte ja auch schon vorher in der Beta-Phase Zertifikate bekommen,
> wenn da auch mit geringeren Ratelimits).
>
> Mich interessiert nun: Wer beantragt so viele Zertifikate? Wofür setzt
> ihr sie ein?
>
> Kann man hier ggf. noch optimieren und bei Diensten, die auf einem
> Server laufen ein Zertifikat mit mehreren Domains erstellen, anstatt
> für jede Subdomain ein eigenes Zertifikat zu beantragen?
>
> Ich bin gespannt auf eure Rückmeldungen.
>
> Viele Grüße
>
> Andi
>
> ps: wir haben schon 2x bei letsencrypt angefragt, die Limits zu
> erhöhen. Eine Antwort kam nie, im Formular schreiben sie auch, dass
> man eher nicht mit einer Antwort rechnen sollte.
>
>> Andreas Bräu
>
> XMPP: andibraeu at jabber.weimarnetz.de <xmpp:andibraeu at jabber.weimarnetz.de>
> Twitter:@evAltenberga <https://twitter.com/evaltenberga>
> Blog:https://blog.andi95.de <https://blog.andi95.de/>
> PGP:0xB7E04818
>
>
>
> _______________________________________________
> WLANnews mailing list
> WLANnews at freifunk.net
> Abonnement abbestellen? -> http://lists.freifunk.net/mailman/listinfo/wlannews-freifunk.net
>
> Weitere Infos zu den freifunk.net Mailinglisten und zur An- und Abmeldung unter http://freifunk.net/mailinglisten

-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <http://lists.freifunk.net/pipermail/wlannews-freifunk.net/attachments/20170204/c09f076b/attachment.html>
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 473 bytes
Beschreibung: OpenPGP digital signature
URL         : <http://lists.freifunk.net/pipermail/wlannews-freifunk.net/attachments/20170204/c09f076b/attachment.sig>

Mehr Informationen über die Mailingliste WLANnews