KeyHelp Community

Guten Morgen,

Let's Encrypt ruft 3 Millionen Zertifikate zurück.

https://www.golem.de/news/tls-let-s-enc ... 46999.html


Ich habe heute morgen wegen dem Lets's Encrypt revoke, meine Domains durchgetestet auf folgendem Weg:

Initilacode von hier: https://letsencrypt.org/caaproblem/
Ich habe mir folgendes Bashsript angelegt (leca-test.sh):
Dazu im gleichem Verzeichniss eine Datei hosts.txt anlegen und Zeilenweise alle Domains rein, die getestet werden sollen.

Danach das Script mit ausführbar machen und mit starten.

An die Domainliste kommt man am schnellsten, indem man die Keyhelp DB -> Domains exportiert (z.B. MS CSV).

Viel Erfolg

Alternativ kann man auch das hier benutzen: https://github.com/hannob/lecaa

Werden fehlerhafte Zertifikate nicht vom nächtlichen SSL Cronjob automatisch ersetzt?
Muss ich das wirklich manuell durchtesten?

Tobi wrote: ↑Wed 4. Mar 2020, 09:15 Werden fehlerhafte Zertifikate nicht vom nächtlichen SSL Cronjob automatisch ersetzt?

Jupp.

Tobi wrote: ↑Wed 4. Mar 2020, 09:15 Muss ich das wirklich manuell durchtesten?

Nach dem Revoke haben die Webseiten/Mailserver bis zum Cronjob kein gültiges Zertifikat mehr. Sind zwar nur ein paar Stunden, aber...

BTW:
Das Problem gilt nur für Zertifikate, deren Ausstellung über CAA-Records verifiziert wird.

ShortSnow wrote: ↑Wed 4. Mar 2020, 08:44
Ich habe heute morgen wegen dem Lets's Encrypt revoke, meine Domains durchgetestet auf folgendem Weg:

Vielen Dank, ShortSnow. Geht ja recht fix auf dem Wege.

Vielen Dank!

Auf Keyhelp-Servern war bei mir tatsächlich kein einziges Zertifikat betroffen, auf anderen musste ich aber ein paar erneuern

Tobi wrote: ↑Wed 4. Mar 2020, 09:15 Werden fehlerhafte Zertifikate nicht vom nächtlichen SSL Cronjob automatisch ersetzt?
Muss ich das wirklich manuell durchtesten?

Nun, die SSL-Zertifikate sind ja nach wie vor vorhanden, wurden nur für ungültig erklärt. Ich bezweifele, dass das der Cronjob erkennen kann (das merken selbst manche Browser nicht, je nachdem wie der Mechanismus des erkennens von ungültigen Zertifikaten dort umgesetzt ist)

Alex nutzt, soweit ich weiß, eine eigene Routine für LE. Vermutlich dürfte daher nicht ein Zertifikat betroffen sein.

Jolinar wrote: ↑Wed 4. Mar 2020, 09:22 BTW:
Das Problem gilt nur für Zertifikate, deren Ausstellung über CAA-Records verifiziert wird.

nikko wrote: ↑Wed 4. Mar 2020, 11:06 Alex nutzt, soweit ich weiß, eine eigene Routine für LE. Vermutlich dürfte daher nicht ein Zertifikat betroffen sein.

Das kann das alle Domains betreffen die einen CAA Zoneneintrag im DNS haben und damit die Zertifizierungstsellen legitimieren, bzw. beschränken, wer überhaupt Zertikate für eine Domain austellen darf.

Ich habe bei allen Domains CAA 0 issue "letsencrypt.org" eingetragen und (wird nicht aktuell von allen CA genutzt): CAA 0 iodef "caa@<domain>.<tld>"

Keyhelp installationen haben den nicht automatisch. Der muss manuell zum DNS hinzugefügt werden. Hätte ich im ersten Post ergänzen müssen Aber wenn der erste Kunde anruft, mein Shop ist unsicher, dann haben das ggf. wer weiß wie viele Kunden gesehen... Deswegen lieber einmal zu viel getestet

Weitere Info dazu: https://blog.effenberger.org/2018/06/09 ... absichern/

Demnach brauch ich nix zu machen.
So gefällt mir das

Tobi wrote: ↑Wed 4. Mar 2020, 12:28 Demnach brauch ich nix zu machen.
So gefällt mir das

Läuft das Ding, fass es nicht an