[WLANnews] letsencrypt + freifunk.net

Allan Wegan allanwegan at allanwegan.de
Sa Feb 4 23:49:44 CET 2017 

Moin Freifunkas


Nachdem in Beiträgen dieses Threads teilweise Unklarheit über die
Rate-Limits von Let's Encrypt sichtbar wurde:

Laut <https://letsencrypt.org/docs/rate-limits/> ist das relevante Limit
"Certificates per Registered Domain" (Abs. 3, Satz 1 & 2), das pro Woche
gilt (Abs. 3, Satz 1).
Die Woche ist hierbei definiert als die jeweiligen letzen 6 + den
aktuellen Tag ("We use a sliding window[...]", Kapitel Overrides, Abs.
1, Satz 2).
Ob Renewals fürs Rate-Limit zählen oder nicht, ist unklar. Jedenfalls
sind sie auch dann möglich, wenn dieses Limit bereits ausgereizt ist
(Abs. 6, Satz 1 & 2).

Zur Gültigkeitsdauer der Zertifikate konnte ich direkt auf
<https://letsencrypt.org/> erstmal keine Angaben finden.
Der Community-Board-Thread
<https://community.letsencrypt.org/t/pros-and-cons-of-90-day-certificate-lifetimes/>
und der englische Wikipedia-Artikel
<https://en.wikipedia.org/wiki/Let%27s_Encrypt> erwähnen aber 90 Tage -
und letzterer linkt als Quelle immerhin einen offiziellen Blog-Beitrag
(<https://letsencrypt.org/2015/11/09/why-90-days.html>) von 2015.
Das momentane Zertifikat von <https://hamburg.freifunk.net/> bestätigt
ebenfalls diese Angabe.


Ein einfaches Nutzungsschema wäre:

Zertifikate jeweils ab dem 3. Januar, März, Mai, Juli, September und
November erneuern, sodass im Fall eines Fehlers bei der Erneuerung ein
par Wochen Zeit zur Behebung bleiben.
Neue Zertifikate jeweils am 1., 8., 15. und 22. eines Monats ausstellen
lassen (insgesamt 80 Neuzertifikate pro Monat).

Falls Renewals zum Rate-Limit zählen, können in den entsprechenden
Monaten vom 3. bis zum 9. keine Neuzertifikate ausgestellt werden - was
einerseits experimentell zu ermitteln und andererseits auch
(hoffentlich) zu verschmerzen wäre. Das Schema ermöglicht auch in diesem
Falle immer noch 820 Neuzertifakate pro Jahr.


Unabhängig davon, welches Schema es letztlich wird, schlage ich vor sich
bundesweit auf ein einziges Schema zu einigen, dieses im Haupt-Wiki zu
dokumentieren und in den Communities zu verlinken.



Gruß aus Norderstedt
-- 
Allan Wegan
<http://www.allanwegan.de/>
Jabber: allanwegan at ffnord.net
 OTR-Fingerprint: E4DCAA40 4859428E B3912896 F2498604 8CAA126F
Jabber: allanwegan at jabber.ccc.de
 OTR-Fingerprint: A1AAA1B9 C067F988 4A424D33 98343469 29164587
ICQ: 209459114
 OTR-Fingerprint: 71DE5B5E 67D6D758 A93BF1CE 7DA06625 205AC6EC

-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 801 bytes
Beschreibung: OpenPGP digital signature
URL         : <http://lists.freifunk.net/pipermail/wlannews-freifunk.net/attachments/20170204/f7aa0877/attachment.sig>

Mehr Informationen über die Mailingliste WLANnews