Multidomaincheck Lets's Encrypt

Für Modifikationen in und um KeyHelp.
Post Reply
User avatar
ShortSnow
Posts: 251
Joined: Thu 15. Nov 2018, 00:45

Multidomaincheck Lets's Encrypt

Post by ShortSnow »

Guten Morgen,

Let's Encrypt ruft 3 Millionen Zertifikate zurück.

https://www.golem.de/news/tls-let-s-enc ... 46999.html


Ich habe heute morgen wegen dem Lets's Encrypt revoke, meine Domains durchgetestet auf folgendem Weg:

Initilacode von hier: https://letsencrypt.org/caaproblem/

Code: Select all

curl -XPOST -d 'fqdn=letsencrypt.org' https://checkhost.unboundtest.com/checkhost
Ich habe mir folgendes Bashsript angelegt (leca-test.sh):

Code: Select all

#!/bin/bash
cat hosts.txt | while read line
do
  curl -XPOST -d "fqdn=$line" https://checkhost.unboundtest.com/checkhost
done
Dazu im gleichem Verzeichniss eine Datei hosts.txt anlegen und Zeilenweise alle Domains rein, die getestet werden sollen.

Danach das Script mit

Code: Select all

chmod +x leca-test.sh
ausführbar machen und mit

Code: Select all

./leca-test.sh
starten.

An die Domainliste kommt man am schnellsten, indem man die Keyhelp DB -> Domains exportiert (z.B. MS CSV).

Viel Erfolg

Alternativ kann man auch das hier benutzen: https://github.com/hannob/lecaa
User avatar
Tobi
Community Moderator
Posts: 2813
Joined: Thu 5. Jan 2017, 13:24

Re: Multidomaincheck Lets's Encrypt

Post by Tobi »

Werden fehlerhafte Zertifikate nicht vom nächtlichen SSL Cronjob automatisch ersetzt?
Muss ich das wirklich manuell durchtesten?
Gruß,
Tobi


-----------------------------
wewoco.de
Das Forum für Reseller, Digital-Agenturen, Bildschirmarbeiter und Mäuseschubser
User avatar
Jolinar
Community Moderator
Posts: 3560
Joined: Sat 30. Jan 2016, 07:11
Location: Weimar (Thüringen)
Contact:

Re: Multidomaincheck Lets's Encrypt

Post by Jolinar »

Tobi wrote: Wed 4. Mar 2020, 09:15 Werden fehlerhafte Zertifikate nicht vom nächtlichen SSL Cronjob automatisch ersetzt?
Jupp.

Tobi wrote: Wed 4. Mar 2020, 09:15 Muss ich das wirklich manuell durchtesten?
Nach dem Revoke haben die Webseiten/Mailserver bis zum Cronjob kein gültiges Zertifikat mehr. Sind zwar nur ein paar Stunden, aber...

BTW:
Das Problem gilt nur für Zertifikate, deren Ausstellung über CAA-Records verifiziert wird.
Wenn jemand inkompetent ist, dann kann er nicht wissen, daß er inkompetent ist. (David Dunning)

Data Collector für Community Support
___
Ich verwende zwei verschiedene Schriftfarben in meinen Beiträgen /
I use two different font colors in my posts:
  • In dieser Farbe schreibe ich als Moderator und gebe moderative Hinweise oder begründe moderative Eingriffe /
    In this color, I write as a moderator and provide moderative guidance or justify moderative interventions
  • In dieser Farbe schreibe ich als Community Mitglied und teile meine private Meinung und persönlichen Ansichten mit /
    In this color, I write as a community member and share my personal opinions and views
derFu
Posts: 99
Joined: Sat 28. Apr 2018, 18:46

Re: Multidomaincheck Lets's Encrypt

Post by derFu »

ShortSnow wrote: Wed 4. Mar 2020, 08:44
Ich habe heute morgen wegen dem Lets's Encrypt revoke, meine Domains durchgetestet auf folgendem Weg:
Vielen Dank, ShortSnow. Geht ja recht fix auf dem Wege.
User avatar
mhagge
Community Moderator
Posts: 487
Joined: Wed 8. Aug 2018, 15:19

Re: Multidomaincheck Lets's Encrypt

Post by mhagge »

Vielen Dank!

Auf Keyhelp-Servern war bei mir tatsächlich kein einziges Zertifikat betroffen, auf anderen musste ich aber ein paar erneuern
User avatar
mhagge
Community Moderator
Posts: 487
Joined: Wed 8. Aug 2018, 15:19

Re: Multidomaincheck Lets's Encrypt

Post by mhagge »

Tobi wrote: Wed 4. Mar 2020, 09:15 Werden fehlerhafte Zertifikate nicht vom nächtlichen SSL Cronjob automatisch ersetzt?
Muss ich das wirklich manuell durchtesten?
Nun, die SSL-Zertifikate sind ja nach wie vor vorhanden, wurden nur für ungültig erklärt. Ich bezweifele, dass das der Cronjob erkennen kann (das merken selbst manche Browser nicht, je nachdem wie der Mechanismus des erkennens von ungültigen Zertifikaten dort umgesetzt ist)
nikko
Posts: 914
Joined: Fri 15. Apr 2016, 16:11

Re: Multidomaincheck Lets's Encrypt

Post by nikko »

Alex nutzt, soweit ich weiß, eine eigene Routine für LE. Vermutlich dürfte daher nicht ein Zertifikat betroffen sein.
The software said: Requires Win Vista®, 7®, 8® or better. And so I installed Linux.
User avatar
ShortSnow
Posts: 251
Joined: Thu 15. Nov 2018, 00:45

Re: Multidomaincheck Lets's Encrypt

Post by ShortSnow »

Jolinar wrote: Wed 4. Mar 2020, 09:22 BTW:
Das Problem gilt nur für Zertifikate, deren Ausstellung über CAA-Records verifiziert wird.
nikko wrote: Wed 4. Mar 2020, 11:06 Alex nutzt, soweit ich weiß, eine eigene Routine für LE. Vermutlich dürfte daher nicht ein Zertifikat betroffen sein.
Das kann das alle Domains betreffen die einen CAA Zoneneintrag im DNS haben und damit die Zertifizierungstsellen legitimieren, bzw. beschränken, wer überhaupt Zertikate für eine Domain austellen darf.

Ich habe bei allen Domains CAA 0 issue "letsencrypt.org" eingetragen und (wird nicht aktuell von allen CA genutzt): CAA 0 iodef "caa@<domain>.<tld>"

Keyhelp installationen haben den nicht automatisch. Der muss manuell zum DNS hinzugefügt werden. Hätte ich im ersten Post ergänzen müssen :-) Aber wenn der erste Kunde anruft, mein Shop ist unsicher, dann haben das ggf. wer weiß wie viele Kunden gesehen... Deswegen lieber einmal zu viel getestet :D

Weitere Info dazu: https://blog.effenberger.org/2018/06/09 ... absichern/
User avatar
Tobi
Community Moderator
Posts: 2813
Joined: Thu 5. Jan 2017, 13:24

Re: Multidomaincheck Lets's Encrypt

Post by Tobi »

Demnach brauch ich nix zu machen.
So gefällt mir das 😂🤣😅
Gruß,
Tobi


-----------------------------
wewoco.de
Das Forum für Reseller, Digital-Agenturen, Bildschirmarbeiter und Mäuseschubser
nikko
Posts: 914
Joined: Fri 15. Apr 2016, 16:11

Re: Multidomaincheck Lets's Encrypt

Post by nikko »

Tobi wrote: Wed 4. Mar 2020, 12:28 Demnach brauch ich nix zu machen.
So gefällt mir das 😂🤣😅
Läuft das Ding, fass es nicht an :lol:
The software said: Requires Win Vista®, 7®, 8® or better. And so I installed Linux.
Post Reply