[WLANnews] letsencrypt + freifunk.net
Ruben
freifunk at r.z11.de
Sa Feb 4 16:08:20 CET 2017
Egal, ob die renewals jetzt mitzählen oder nicht, Ich finde es eine gute
Idee, dass wir *alle am 1. des monats* erneuern. Dann sind wir schon mal
auf der sicheren Seite für die restlichen 3 Wochen.
Ich hab das bei nord.freifunk.net erstmal angepasst, dass der nur alle 2
Monate renewt immer am 1. des Monats mit diesem cron Eintrag:
30 4 1 */2 * root
/etc/acme-tiny/nord.freifunk.net/bin/renew-cert.sh && /etc/init.d/nginx
reload
Falls sich herrausstelen sollte, dass die renewals auch zu dem 20er
Limit zählen, dann wäre es tatsächlich sinnvoll mehrere
Subdomain-Zertifikate zu einem zusammenfassen, sonst besser nicht.
Gruß,
Ruben
On 03.02.2017 19:25, Andreas Bräu wrote:
>
> nord.freifunk.net <http://nord.freifunk.net> erneuert z.B. alle 7
> Tage seine Zertifikate
>
> Schaut doch bitte mal in eure Konfigurationen und passt das an. Die
> Zertifikate gelten schließlich 90 Tage.
>
> Ansonsten habe ich es so verstanden, dass Renewals nicht in die Rate
> Limits für neue Zertifikate hineinzählen. Sonst könnte man ja nur 20
> Zertifikate pro Domain registrieren:
> https://letsencrypt.org/docs/rate-limits/
On 03.02.2017 19:19, Marvin W wrote:
>
> 2. So wie ich das Rate-Limit-Regelwerk von Let's Encrypt verstanden
> habe, werden Zertifikatserneuerungen genauso auf das 20 Zertifikate
> pro Woche Limit gezählt wie neue Zertifikate, ist jedoch das Limit
> überschritten kann man weiterhin Zertifikate erneuern, aber keine
> neuen erzeugen.
>
> Das sieht also für mich so aus, als gäbe es eine relativ einfache
> Lösung für das Rate Limiting: Alle Communities erneuern ihre
> Zertifikate in der selben Woche und das alle zwei Monate (also zum
> Beispiel immer am ersten jedes geraden Monats). In dieser Woche ist
> es dann folglich nicht möglich neue Zertifikate zu erzeugen, da
> durch die renews das 20er Limit erreicht werden würde - den Rest des
> 2-Monatszeitrum sollte aber entsprechend relativ wenig los sein,
> sodass dann neue Zertifikate geholt werden können. Neu ist übrigens
> auch dann schon, wenn zu einem Multi-Zertifikat ein hostname
> hinzugefügt oder entfernt wird. Wenn man wüsste wie Let's encrypt
> Wochen zählt, könnte es sogar sein, dass man das ganze noch
> optimieren kann indem man die Zertifikate alle am letzten Tag der
> Woche macht, aber das geht dann vielleicht tatsächlich etwas zu weit
> (und ist aufwendiger als Cronjob zu
schreiben :P)
>
> Grüße, Marvin
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname : signature.asc
Dateityp : application/pgp-signature
Dateigröße : 819 bytes
Beschreibung: OpenPGP digital signature
URL : <http://lists.freifunk.net/pipermail/wlannews-freifunk.net/attachments/20170204/e16b7a26/attachment.sig>
Mehr Informationen über die Mailingliste WLANnews