Lets Encrypt Cert Bot aktualisieren

    Das ist grade reingekommen:
    **Action is required to prevent your Let's Encrypt certificate renewals from breaking.** Your Let’s Encrypt client used ACME TLS-SNI-01 domain validation to issue a certificate in the past 60 days. TLS-SNI-01 validation is reaching end-of-life and will stop working on **February 13th, 2019.** You need to update your ACME client to use an alternative validation method (HTTP-01, DNS-01 or TLS-ALPN-01) before this date or your certificate renewals will break and existing certificates will start to expire.

    Der Cert Bot musste aktualisiert werden. Das ist bei Debian und Ubuntu folgenermassen zu machen: erstmal checken welcher Cert Bot aktiv ist, das machen wir mit:

    certbot --version

    Steht da was anderes als certbot 0.28.0 ist ein Handeln erforderlich!

    apt-get update add-apt-repository ppa:certbot/certbot
    hinzugügen und apt-get update bei ubuntu unterscheidet sich nun das apt-get upgrade, es muss dann ein apt-get dist-upgrade erfolgen. ( so war es bei mir mit Ubuntu 18.04 ) Nun sollte das Problem beseitigt sein und der Cert Bot auf den neusten Stand sein.

    wenn etwas möglich erscheint mach ich das, wenn das nicht klappt gehts ans unmögliche und ansonsten das undenkbare.

    - nun stolz rauchfrei - Ich denke also Bing ich!

    Support 24h Bereitschaft 0173 6107465 - NUR Für Kunden von SEO NW!

    das könnte hier auch noch fehlen bei Ubuntu
    apt-get install -y software-properties-common
    Beim Root ging es ohne Probleme durch, bin jetzt bei den V´s dran

    wenn etwas möglich erscheint mach ich das, wenn das nicht klappt gehts ans unmögliche und ansonsten das undenkbare.

    - nun stolz rauchfrei - Ich denke also Bing ich!

    Support 24h Bereitschaft 0173 6107465 - NUR Für Kunden von SEO NW!

    Hä? Erst mal ne Gegenfrage.... Wo oder von wem hast Du die "Meldung" bekommen?

    Ich habe hier: certbot 0.10.2

    Und was hat das mit einem Update zu tun? Siehe meine Versionsnummer. Ich nutze schon immer "http-01 challenge".

    Wenn ein Mensch nicht um dich kämpft, hat er nur gewartet, dass du gehst. ;(

    Echt? So einen alten nutzt du? Ich leite dir die mail aber trotzdem mal weiter.
    Die Benachrichtigung habe ich von Lets Encrypt direkt erhalten. Kann sein das es bei dir kein Problem ist, du nutzt ja schon das korrekte Verfahren. Aber ich würde an deiner Stelle trotzdem mal schauen ob sich eine Aktualisierung lohnt, bzw auch notwendig ist.

    Hast gleich Mail

    wenn etwas möglich erscheint mach ich das, wenn das nicht klappt gehts ans unmögliche und ansonsten das undenkbare.

    - nun stolz rauchfrei - Ich denke also Bing ich!

    Support 24h Bereitschaft 0173 6107465 - NUR Für Kunden von SEO NW!

    und http-01 nutzte ich schon immer bzw. habe ich da nie was verändert, das ist die Grundeinstellung von Debian, wohl auch deswegen, weil die TLS... seit Januar 2018 "vulnerability" ist. Habe nie eine Challenge selbst ausgewählt. Doch, die DNS einmal, aber die ging nicht bzw. dauert zu lange, weil DNS dann ja erst durch sein muss.

    Wenn ein Mensch nicht um dich kämpft, hat er nur gewartet, dass du gehst. ;(

    ok... hm das ist eigenartig...
    könnte es da einen Unterschied zwischen Debian und Ubuntu sein?

    Ich muss mal schauen woran das liegt. Ich glaube ich war auf jeden fall 0.2x.0 und die ist bzw war da nicht so ganz kompatibel was ich wollte. 0.28.0 sollte eigentlich die neuste Version sein.

    Aber ich schau mal

    wenn etwas möglich erscheint mach ich das, wenn das nicht klappt gehts ans unmögliche und ansonsten das undenkbare.

    - nun stolz rauchfrei - Ich denke also Bing ich!

    Support 24h Bereitschaft 0173 6107465 - NUR Für Kunden von SEO NW!

    Das Paket "certbot (0.28.0-1)" befindet sich bei Debian gerade in "sid", kommt also erst mit Debian 11, denn das aktuelle "testing" (Buster alias Debian 10) ist seit ein paar Tagen im freeze und kommt wohl im Sommer.

    Ok, ich korrigiere mich. Auch im "Buster" ist das 0.28 schon mit dabei.

    "Hast gleich Mail"
    Die leitet wohl auch irgendwo falsch - nix da ;)

    Edit 2: Du hattest vorher: Paket: certbot (0.23.0-1) [universe]

    Mit "apt-get update add-apt-repository ppa:certbot/certbot" hast Du ja die Paketquelle gewechselt. Mache ich nie, denn die sind nicht getestet mit dem System, also nicht wirklich, nicht vom OS-Hersteller. Wobei Certbot wohl schon vernünftig entwickelt ist.

    Das "You need to update your ACME client" war wohl anders gemeint, also nicht die Software updaten im Sinne von neue Version einspielen, sondern die Config ändern. Hättest ja nur die Challenge ändern müssen.

    Wenn ein Mensch nicht um dich kämpft, hat er nur gewartet, dass du gehst. ;(

    Ok, dann hänge ich mich noch mal dran, denn ich raffe es noch immer nicht. Mir scheint aber, als ob hier einfach nur Panik gemacht wird. Das Update betrifft doch gar nicht alle. Es kommt drauf an, was für ein Plugin man nutzt. Hier mal die Übersicht verschiedener Versionen. Wie gesagt, ich habe 0.10.2 und würde nur ungern über Backports gehen.

    Certbot Version 0.9.0

    Plugin: Challenge types (and port)

    apache: tls-sni-01 (443)
    webroot: http-01 (80)
    nginx: tls-sni-01 (443)
    standalone: http-01 (80) or tls-sni-01 (443)
    manual: http-01 (80), dns-01 (53) or tls-sni-01 (443)


    Certbot Version 0.28.0.dev

    Plugin: Challenge types (and port)

    apache: tls-sni-01 (443)
    webroot: http-01 (80)
    nginx: tls-sni-01 (443)
    standalone: http-01 (80) or tls-sni-01 (443)
    DNS plugins: dns-01 (53)
    manual: http-01 (80), dns-01 (53) or tls-sni-01 (443)


    Certbot Version 0.29.0.dev

    Plugin: Challenge types (and port)

    apache: tls-sni-01 (443)
    webroot: http-01 (80)
    nginx: tls-sni-01 (443)
    standalone: http-01 (80) or tls-sni-01 (443)
    DNS plugins: dns-01 (53)
    manual: http-01 (80), dns-01 (53) or tls-sni-01 (443)


    Certbot Version 0.31.0.dev

    Plugin: Challenge types (and port)

    apache: http-01 (80)
    webroot: http-01 (80)
    nginx: http-01 (80)
    standalone: http-01 (80)
    DNS plugins: dns-01 (53)
    manual: http-01 (80) or dns-01 (53)

    Man sieht also, dass es eigentlich nur die betrifft, die das Plugin "apache" oder "nginx" nutzten, denn die konnten nix anderes oder eben "standalone" oder "manual" und dort tls-sni selbst auswählten.

    Wer aber "webroot" nutzte (und das machst Du Alex meiner Kenntnis nach auch), der muss gar nichts ändern, denn "webroot" kennt nur http-01.

    Was mich aber auch wundert ist, dass hier in der "Warnung" die Version 0.28.0 erwähnt wird, denn die kann das eigentlich auch nicht. Zumindest kann es die 0.29.0 nicht. Erst die 0.31.0 wurde geändert.

    Und immer komischer wird das mit der 0.28.0, weil eben die 0.29.0 am 18. Dezember 2018 veröffentlicht wurde. Am 2.1.2019 die Version 0.30.0 und gestern, also am 24.1.2019, die Version 0.30.1. In der 0.28.0 vom 7. Dezember wurde nur die Warnung eingeführt: "Warn when using deprecated acme.challenges.TLSSNI01"

    Wenn ein Mensch nicht um dich kämpft, hat er nur gewartet, dass du gehst. ;(

    Wollte mal ne Rückmeldung geben. Das war alles nur Panikmache. Mein Certbot 0.10.2 erneuert die Zertifikate wie immer, keine Probleme, erst vor zwei Tagen gemacht.

    ..... Rest gelöscht, was Unsinn.... Man sollte bis 3 zählen können, hat Vorteile ;)

    Wenn ein Mensch nicht um dich kämpft, hat er nur gewartet, dass du gehst. ;(