Ankündigung

Einklappen
Keine Ankündigung bisher.

Lets Encrypt Cert Bot aktualisieren

Einklappen
X
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

    Lets Encrypt Cert Bot aktualisieren

    Das ist grade reingekommen:
    **Action is required to prevent your Let's Encrypt certificate renewals from breaking.** Your Let’s Encrypt client used ACME TLS-SNI-01 domain validation to issue a certificate in the past 60 days. TLS-SNI-01 validation is reaching end-of-life and will stop working on **February 13th, 2019.** You need to update your ACME client to use an alternative validation method (HTTP-01, DNS-01 or TLS-ALPN-01) before this date or your certificate renewals will break and existing certificates will start to expire.

    Der Cert Bot musste aktualisiert werden. Das ist bei Debian und Ubuntu folgenermassen zu machen: erstmal checken welcher Cert Bot aktiv ist, das machen wir mit:

    certbot --version

    Steht da was anderes als certbot 0.28.0 ist ein Handeln erforderlich!

    apt-get update add-apt-repository ppa:certbot/certbot
    hinzugügen und apt-get update bei ubuntu unterscheidet sich nun das apt-get upgrade, es muss dann ein apt-get dist-upgrade erfolgen. ( so war es bei mir mit Ubuntu 18.04 ) Nun sollte das Problem beseitigt sein und der Cert Bot auf den neusten Stand sein.

    wenn etwas möglich erscheint mach ich das, wenn das nicht klappt gehts ans unmögliche und ansonsten das undenkbare.
    Ich denke, also BING ich :)


    Support 24h Bereitschaft 0163 2161604 - NUR Für Kunden von SEO NW! Faires Hosting - Alternative Suchmaschinen

    #2
    ach ja das testen nicht vergessen:
    certbot renew --dry-run
    HTTP-01, DNS-01 or TLS-ALPN-01 sollte da stehen. bei mir ist es dann HTTP-01

    wenn etwas möglich erscheint mach ich das, wenn das nicht klappt gehts ans unmögliche und ansonsten das undenkbare.
    Ich denke, also BING ich :)


    Support 24h Bereitschaft 0163 2161604 - NUR Für Kunden von SEO NW! Faires Hosting - Alternative Suchmaschinen

    Kommentar


      #3
      Fehlt vor dem Kommando nicht ein "sudo" ????

      Kommentar


        #4

        es sei denn du benötigst es wenn du kein Root bist und dich als User einloggst oder halt Root Login verboten hast

        wenn etwas möglich erscheint mach ich das, wenn das nicht klappt gehts ans unmögliche und ansonsten das undenkbare.
        Ich denke, also BING ich :)


        Support 24h Bereitschaft 0163 2161604 - NUR Für Kunden von SEO NW! Faires Hosting - Alternative Suchmaschinen

        Kommentar


          #5
          das könnte hier auch noch fehlen bei Ubuntu
          apt-get install -y software-properties-common
          Beim Root ging es ohne Probleme durch, bin jetzt bei den V´s dran

          wenn etwas möglich erscheint mach ich das, wenn das nicht klappt gehts ans unmögliche und ansonsten das undenkbare.
          Ich denke, also BING ich :)


          Support 24h Bereitschaft 0163 2161604 - NUR Für Kunden von SEO NW! Faires Hosting - Alternative Suchmaschinen

          Kommentar


            #6
            Hä? Erst mal ne Gegenfrage.... Wo oder von wem hast Du die "Meldung" bekommen?

            Ich habe hier: certbot 0.10.2

            Und was hat das mit einem Update zu tun? Siehe meine Versionsnummer. Ich nutze schon immer "http-01 challenge".

            Kommentar


              #7
              Echt? So einen alten nutzt du? Ich leite dir die mail aber trotzdem mal weiter.
              Die Benachrichtigung habe ich von Lets Encrypt direkt erhalten. Kann sein das es bei dir kein Problem ist, du nutzt ja schon das korrekte Verfahren. Aber ich würde an deiner Stelle trotzdem mal schauen ob sich eine Aktualisierung lohnt, bzw auch notwendig ist.

              Hast gleich Mail

              wenn etwas möglich erscheint mach ich das, wenn das nicht klappt gehts ans unmögliche und ansonsten das undenkbare.
              Ich denke, also BING ich :)


              Support 24h Bereitschaft 0163 2161604 - NUR Für Kunden von SEO NW! Faires Hosting - Alternative Suchmaschinen

              Kommentar


                #8
                Das ist der neueste der da ist, eben sogar ein dist-upgrade gemacht. Kam nur php7.2, systemd und ein neuer Kernel rein.

                Kommentar


                  #9
                  vorher war es
                  ACME TLS-SNI-01

                  wenn etwas möglich erscheint mach ich das, wenn das nicht klappt gehts ans unmögliche und ansonsten das undenkbare.
                  Ich denke, also BING ich :)


                  Support 24h Bereitschaft 0163 2161604 - NUR Für Kunden von SEO NW! Faires Hosting - Alternative Suchmaschinen

                  Kommentar


                    #10
                    und http-01 nutzte ich schon immer bzw. habe ich da nie was verändert, das ist die Grundeinstellung von Debian, wohl auch deswegen, weil die TLS... seit Januar 2018 "vulnerability" ist. Habe nie eine Challenge selbst ausgewählt. Doch, die DNS einmal, aber die ging nicht bzw. dauert zu lange, weil DNS dann ja erst durch sein muss.

                    Kommentar


                      #11
                      ok... hm das ist eigenartig...
                      könnte es da einen Unterschied zwischen Debian und Ubuntu sein?

                      Ich muss mal schauen woran das liegt. Ich glaube ich war auf jeden fall 0.2x.0 und die ist bzw war da nicht so ganz kompatibel was ich wollte. 0.28.0 sollte eigentlich die neuste Version sein.

                      Aber ich schau mal

                      wenn etwas möglich erscheint mach ich das, wenn das nicht klappt gehts ans unmögliche und ansonsten das undenkbare.
                      Ich denke, also BING ich :)


                      Support 24h Bereitschaft 0163 2161604 - NUR Für Kunden von SEO NW! Faires Hosting - Alternative Suchmaschinen

                      Kommentar


                        #12
                        Klar sind das die Unterschiede zwischen Debian und Ubuntu. Siehe meinen Post darüber, habe ich noch mal ergänzt.

                        Kommentar


                          #13
                          Das Paket "certbot (0.28.0-1)" befindet sich bei Debian gerade in "sid", kommt also erst mit Debian 11, denn das aktuelle "testing" (Buster alias Debian 10) ist seit ein paar Tagen im freeze und kommt wohl im Sommer.

                          Ok, ich korrigiere mich. Auch im "Buster" ist das 0.28 schon mit dabei.

                          "Hast gleich Mail"
                          Die leitet wohl auch irgendwo falsch - nix da ;)

                          Edit 2: Du hattest vorher: Paket: certbot (0.23.0-1) [universe]

                          Mit "apt-get update add-apt-repository ppa:certbot/certbot" hast Du ja die Paketquelle gewechselt. Mache ich nie, denn die sind nicht getestet mit dem System, also nicht wirklich, nicht vom OS-Hersteller. Wobei Certbot wohl schon vernünftig entwickelt ist.

                          Das "You need to update your ACME client" war wohl anders gemeint, also nicht die Software updaten im Sinne von neue Version einspielen, sondern die Config ändern. Hättest ja nur die Challenge ändern müssen.

                          Kommentar


                            #14
                            Ok, dann hänge ich mich noch mal dran, denn ich raffe es noch immer nicht. Mir scheint aber, als ob hier einfach nur Panik gemacht wird. Das Update betrifft doch gar nicht alle. Es kommt drauf an, was für ein Plugin man nutzt. Hier mal die Übersicht verschiedener Versionen. Wie gesagt, ich habe 0.10.2 und würde nur ungern über Backports gehen.

                            Certbot Version 0.9.0

                            Plugin: Challenge types (and port)

                            apache: tls-sni-01 (443)
                            webroot: http-01 (80)
                            nginx: tls-sni-01 (443)
                            standalone: http-01 (80) or tls-sni-01 (443)
                            manual: http-01 (80), dns-01 (53) or tls-sni-01 (443)



                            Certbot Version 0.28.0.dev

                            Plugin: Challenge types (and port)

                            apache: tls-sni-01 (443)
                            webroot: http-01 (80)
                            nginx: tls-sni-01 (443)
                            standalone: http-01 (80) or tls-sni-01 (443)
                            DNS plugins: dns-01 (53)
                            manual: http-01 (80), dns-01 (53) or tls-sni-01 (443)


                            Certbot Version 0.29.0.dev

                            Plugin: Challenge types (and port)

                            apache: tls-sni-01 (443)
                            webroot: http-01 (80)
                            nginx: tls-sni-01 (443)
                            standalone: http-01 (80) or tls-sni-01 (443)
                            DNS plugins: dns-01 (53)
                            manual: http-01 (80), dns-01 (53) or tls-sni-01 (443)


                            Certbot Version 0.31.0.dev

                            Plugin: Challenge types (and port)

                            apache: http-01 (80)
                            webroot: http-01 (80)
                            nginx: http-01 (80)
                            standalone: http-01 (80)
                            DNS plugins: dns-01 (53)
                            manual: http-01 (80) or dns-01 (53)

                            Man sieht also, dass es eigentlich nur die betrifft, die das Plugin "apache" oder "nginx" nutzten, denn die konnten nix anderes oder eben "standalone" oder "manual" und dort tls-sni selbst auswählten.

                            Wer aber "webroot" nutzte (und das machst Du Alex meiner Kenntnis nach auch), der muss gar nichts ändern, denn "webroot" kennt nur http-01.

                            Was mich aber auch wundert ist, dass hier in der "Warnung" die Version 0.28.0 erwähnt wird, denn die kann das eigentlich auch nicht. Zumindest kann es die 0.29.0 nicht. Erst die 0.31.0 wurde geändert.

                            Und immer komischer wird das mit der 0.28.0, weil eben die 0.29.0 am 18. Dezember 2018 veröffentlicht wurde. Am 2.1.2019 die Version 0.30.0 und gestern, also am 24.1.2019, die Version 0.30.1. In der 0.28.0 vom 7. Dezember wurde nur die Warnung eingeführt: "Warn when using deprecated acme.challenges.TLSSNI01"

                            Kommentar


                              #15
                              Wollte mal ne Rückmeldung geben. Das war alles nur Panikmache. Mein Certbot 0.10.2 erneuert die Zertifikate wie immer, keine Probleme, erst vor zwei Tagen gemacht.

                              ..... Rest gelöscht, was Unsinn.... Man sollte bis 3 zählen können, hat Vorteile ;)

                              Kommentar

                              Lädt...
                              X

                              Das Rechtliche
                              Impressum | Widerruf | Datenschutz | Disclaimer | Links