[WLANnews] letsencrypt + freifunk.net

Ruben freifunk at r.z11.de
Sa Feb 4 16:08:20 CET 2017 

Egal, ob die renewals jetzt mitzählen oder nicht, Ich finde es eine gute
Idee, dass wir *alle am 1. des monats* erneuern. Dann sind wir schon mal
auf der sicheren Seite für die restlichen 3 Wochen.

Ich hab das bei nord.freifunk.net erstmal angepasst, dass der nur alle 2
Monate renewt immer am 1. des Monats mit diesem cron Eintrag:

 30 4 1 */2 *  root
/etc/acme-tiny/nord.freifunk.net/bin/renew-cert.sh && /etc/init.d/nginx
reload

Falls sich herrausstelen sollte, dass die renewals auch zu dem 20er
Limit zählen, dann wäre es tatsächlich sinnvoll mehrere
Subdomain-Zertifikate zu einem zusammenfassen, sonst besser nicht.

Gruß,
Ruben

On 03.02.2017 19:25, Andreas Bräu wrote:
> 
> nord.freifunk.net <http://nord.freifunk.net> erneuert z.B. alle 7 
> Tage seine Zertifikate
> 
> Schaut doch bitte mal in eure Konfigurationen und passt das an. Die 
> Zertifikate gelten schließlich 90 Tage.
> 
> Ansonsten habe ich es so verstanden, dass Renewals nicht in die Rate
>  Limits für neue Zertifikate hineinzählen. Sonst könnte man ja nur 20
>  Zertifikate pro Domain registrieren: 
> https://letsencrypt.org/docs/rate-limits/


On 03.02.2017 19:19, Marvin W wrote:
> 
> 2. So wie ich das Rate-Limit-Regelwerk von Let's Encrypt verstanden 
> habe, werden Zertifikatserneuerungen genauso auf das 20 Zertifikate 
> pro Woche Limit gezählt wie neue Zertifikate, ist jedoch das Limit 
> überschritten kann man weiterhin Zertifikate erneuern, aber keine 
> neuen erzeugen.
> 
> Das sieht also für mich so aus, als gäbe es eine relativ einfache 
> Lösung für das Rate Limiting: Alle Communities erneuern ihre 
> Zertifikate in der selben Woche und das alle zwei Monate (also zum 
> Beispiel immer am ersten jedes geraden Monats). In dieser Woche ist 
> es dann folglich nicht möglich neue Zertifikate zu erzeugen, da
> durch die renews das 20er Limit erreicht werden würde - den Rest des
>  2-Monatszeitrum sollte aber entsprechend relativ wenig los sein, 
> sodass dann neue Zertifikate geholt werden können. Neu ist übrigens 
> auch dann schon, wenn zu einem Multi-Zertifikat ein hostname 
> hinzugefügt oder entfernt wird. Wenn man wüsste wie Let's encrypt 
> Wochen zählt, könnte es sogar sein, dass man das ganze noch 
> optimieren kann indem man die Zertifikate alle am letzten Tag der 
> Woche macht, aber das geht dann vielleicht tatsächlich etwas zu weit 
> (und ist aufwendiger als Cronjob zu
schreiben :P)
> 
> Grüße, Marvin

-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 819 bytes
Beschreibung: OpenPGP digital signature
URL         : <http://lists.freifunk.net/pipermail/wlannews-freifunk.net/attachments/20170204/e16b7a26/attachment.sig>

Mehr Informationen über die Mailingliste WLANnews