Waarschuwing Cerificate Expired.

[PA2WN]

[PA3GNZ, Tjeerd]

Beheer is inmiddels op de hoogte.

[pe2aab]

Werk in uitvoering!

Er is net even wat meer aan de hand als een 'verlopen certificaat' maar tickets staan uit en John en Pascal zijn ermee bezig. Na de fix gaat dit in de toekomst (als het goed is uiteraard) ook niet meer voorkomen.

[pa5cal]

Het probleem zat hem in de continue verschuivende letsencrypt IP's (die zijn niet goed te whitelisten) en de blokkade op bots buiten europa. We hebben ondertussen contact met een leverancier van blocklists die mogelijk ons als non profit wil steunen en dat zou deze problemen permanent verhelpen.

Op hoop van zegen!

-P

[pe1hzg]

Ik heb het niet getest, maar ik vraag me af of een wildcard LE certificaat een oplossing is?

Omdat DNS en web bij verschillende partijen liggen, in combinatie met DNS-PERSIST-01 verificatie?

Merk op dat in de toekomst de levensduur van een SSL certificaat steeds korter wordt dus je wil dit automagisch goed laten gaan.
(en het is jammer dat LE de notificatie heeft uitgefaseerd - krijgen jullie geen mail bij een cert renewal, succesvol of niet?)

[PE1PQX]

Is inmiddels ook weer opgelost... (Zie ik hier)

[sottezero]

Dat kan nog een uitdaging worden wanneer over 20 maanden de certs nog maar 45 dagen houdbaar zijn.

[PA2EFR]

Bij een beetje provider gaat dat vanzelf.
En een handige jongen kan dat ook zelf instellen.

En hier zitten uitsluitend handige jongens.

Dus.

[pe1hzg]

Bij een beetje provider gaat dat vanzelf.
En een handige jongen kan dat ook zelf instellen.
En hier zitten uitsluitend handige jongens.

Ik ben bang dat je het te simpel ziet en de mensen die aan dit probleem werken, tekort doet.

zendamateur.com is een hobbyproject van goedwillende vrijwilligers. Vermoedelijk maakt het gebruik van "extra capaciteit" van mensen die toevallig op bepaalde plekken servers hebben en wat ruimte over hebben. We moeten die mensen dankbaar zijn.

Er zijn kant-en-klare certificaten, maar een hoster wil daar (extra) geld voor hebben. Tenzij jij daar een oplossing voor hebt, valt dat af.

Lets Encrypt (LE) zijn gratis certificaten. De reden dat ze gratis zijn is dat verificatie volledig automatisch gaat:

• Je stuurt een verzoek aan een server van LE voor een certificaat / verlenging
• LE zegt "da's goed, zorg dat deze tekst op een bepaalde plek op je website komt". Deze actie kan alleen de eigenaar van de website doen en daarmee bewijs je dat het certificaat verzoek inderdaad van jouw komt
• LE gaat jouw website bezoeken, naar de bepaalde plek en controleert of de tekst overeenkomt met wat LE zojuist in de vorige stap heeft opgegeven
• Komen die overeen, dan is het verzoek van de domein eigenaar en kan het certificaat gegeven worden

Om te voorkomen dat mensen dit systeem bespelen, is de plek waarvandaan de controle plaatsvindt steeds wisselend.

Pascal heeft last van webAI-crawlers die de website platgooien met vele requests en heeft toegang buiten Europa moeten blokkeren.

En dus kunnen ook de LE-testers (buiten Europa) de controle niet uitvoeren, waardoor de test faalt en het certificaat niet vernieuwd wordt. En dan verloopt het certificaat, hetgeen gebeurd is.

Er zijn andere manieren van verificatie, maar die zijn bij zendamateur.com lastig: DNS-01 kan niet omdat de hoster en de DNS operator verschillende partijen zijn. DNS-PERSIST-01 zou mogelijk moeten kunnen maar het is niet zeker of deze nieuwe manier al ingevoerd is.
En als je een andere manier van verificatie weet die zou kunnen werken dan moet je dat eens uitleggen.

Als jij daar als handige jongen een antwoord op hebt dan moet je dat vooral geven.
En anders denk ik dat je opmerking denigrerend is voor de mensen die het harde werk doen en hoop ik dat je je woorden terugneemt.

[PA2EFR]

Nee hoor, zo is dat niet bedoeld.
Maar ik bedoel dat ik de materie niet moeilijk vind en geen problemen met het aanmaken en installeren van certificaten heb.

Maar de certificaten zijn een terugkerend probleem omdat ze verlopen en pas daarna ververst worden.

In dat geval zou een seintje 2 weken tevoren toch handig zijn?

[PA2EFR]

Ik moest er even over nadenken en geloof dat ik de diepere problemen wel snap.
Die verificatie is natuurlijk noodzakelijk. En dan is het lastig als je moeilijk toegang tot DNS hebt.
Zelf houd ik hackers en spammers buiten de deur met een extra PHP script waardoor ik hun registratiepogingen blokkeer, maar de site wel helemaal open kan houden.