Page 1 of 1
Multidomaincheck Lets's Encrypt
Posted: Wed 4. Mar 2020, 08:44
by ShortSnow
Guten Morgen,
Let's Encrypt ruft 3 Millionen Zertifikate zurück.
https://www.golem.de/news/tls-let-s-enc ... 46999.html
Ich habe heute morgen wegen dem Lets's Encrypt revoke, meine Domains durchgetestet auf folgendem Weg:
Initilacode von hier:
https://letsencrypt.org/caaproblem/
Code: Select all
curl -XPOST -d 'fqdn=letsencrypt.org' https://checkhost.unboundtest.com/checkhost
Ich habe mir folgendes Bashsript angelegt (leca-test.sh):
Code: Select all
#!/bin/bash
cat hosts.txt | while read line
do
curl -XPOST -d "fqdn=$line" https://checkhost.unboundtest.com/checkhost
done
Dazu im gleichem Verzeichniss eine Datei hosts.txt anlegen und Zeilenweise alle Domains rein, die getestet werden sollen.
Danach das Script mit
ausführbar machen und mit
starten.
An die Domainliste kommt man am schnellsten, indem man die Keyhelp DB -> Domains exportiert (z.B. MS CSV).
Viel Erfolg
Alternativ kann man auch das hier benutzen:
https://github.com/hannob/lecaa
Re: Multidomaincheck Lets's Encrypt
Posted: Wed 4. Mar 2020, 09:15
by Tobi
Werden fehlerhafte Zertifikate nicht vom nächtlichen SSL Cronjob automatisch ersetzt?
Muss ich das wirklich manuell durchtesten?
Re: Multidomaincheck Lets's Encrypt
Posted: Wed 4. Mar 2020, 09:22
by Jolinar
Tobi wrote: ↑Wed 4. Mar 2020, 09:15
Werden fehlerhafte Zertifikate nicht vom nächtlichen SSL Cronjob automatisch ersetzt?
Jupp.
Tobi wrote: ↑Wed 4. Mar 2020, 09:15
Muss ich das wirklich manuell durchtesten?
Nach dem Revoke haben die Webseiten/Mailserver bis zum Cronjob kein gültiges Zertifikat mehr. Sind zwar nur ein paar Stunden, aber...
BTW:
Das Problem gilt nur für Zertifikate, deren Ausstellung über CAA-Records verifiziert wird.
Re: Multidomaincheck Lets's Encrypt
Posted: Wed 4. Mar 2020, 09:25
by derFu
ShortSnow wrote: ↑Wed 4. Mar 2020, 08:44
Ich habe heute morgen wegen dem Lets's Encrypt revoke, meine Domains durchgetestet auf folgendem Weg:
Vielen Dank, ShortSnow. Geht ja recht fix auf dem Wege.
Re: Multidomaincheck Lets's Encrypt
Posted: Wed 4. Mar 2020, 09:43
by mhagge
Vielen Dank!
Auf Keyhelp-Servern war bei mir tatsächlich kein einziges Zertifikat betroffen, auf anderen musste ich aber ein paar erneuern
Re: Multidomaincheck Lets's Encrypt
Posted: Wed 4. Mar 2020, 09:45
by mhagge
Tobi wrote: ↑Wed 4. Mar 2020, 09:15
Werden fehlerhafte Zertifikate nicht vom nächtlichen SSL Cronjob automatisch ersetzt?
Muss ich das wirklich manuell durchtesten?
Nun, die SSL-Zertifikate sind ja nach wie vor vorhanden, wurden nur für ungültig erklärt. Ich bezweifele, dass das der Cronjob erkennen kann (das merken selbst manche Browser nicht, je nachdem wie der Mechanismus des erkennens von ungültigen Zertifikaten dort umgesetzt ist)
Re: Multidomaincheck Lets's Encrypt
Posted: Wed 4. Mar 2020, 11:06
by nikko
Alex nutzt, soweit ich weiß, eine eigene Routine für LE. Vermutlich dürfte daher nicht ein Zertifikat betroffen sein.
Re: Multidomaincheck Lets's Encrypt
Posted: Wed 4. Mar 2020, 12:27
by ShortSnow
Jolinar wrote: ↑Wed 4. Mar 2020, 09:22
BTW:
Das Problem gilt nur für Zertifikate, deren Ausstellung über CAA-Records verifiziert wird.
nikko wrote: ↑Wed 4. Mar 2020, 11:06
Alex nutzt, soweit ich weiß, eine eigene Routine für LE. Vermutlich dürfte daher nicht ein Zertifikat betroffen sein.
Das kann das alle Domains betreffen die einen CAA Zoneneintrag im DNS haben und damit die Zertifizierungstsellen legitimieren, bzw. beschränken, wer überhaupt Zertikate für eine Domain austellen darf.
Ich habe bei allen Domains CAA 0 issue "letsencrypt.org" eingetragen und (wird nicht aktuell von allen CA genutzt): CAA 0 iodef "caa@<domain>.<tld>"
Keyhelp installationen haben den nicht automatisch. Der muss manuell zum DNS hinzugefügt werden. Hätte ich im ersten Post ergänzen müssen
Aber wenn der erste Kunde anruft, mein Shop ist unsicher, dann haben das ggf. wer weiß wie viele Kunden gesehen... Deswegen lieber einmal zu viel getestet
Weitere Info dazu:
https://blog.effenberger.org/2018/06/09 ... absichern/
Re: Multidomaincheck Lets's Encrypt
Posted: Wed 4. Mar 2020, 12:28
by Tobi
Demnach brauch ich nix zu machen.
So gefällt mir das
Re: Multidomaincheck Lets's Encrypt
Posted: Wed 4. Mar 2020, 15:17
by nikko
Tobi wrote: ↑Wed 4. Mar 2020, 12:28
Demnach brauch ich nix zu machen.
So gefällt mir das
Läuft das Ding, fass es nicht an