Let's Encrypt muss drei Millionen Zertifikate zurückziehen

  • Betroffen sind nach meinem Verständnis nur Domains mit einem CAA-Record. Zertifikate für solche Domains sollten erneuert werden. "certbot renew --force-renewal" aktualisiert alle Let's Encrypt-Zertifikate; das ist im Zweifelsfall der einfachste Weg.

  • bringt nur wenig, oder?


    /opt/pdadmin/bin/letsencrypt --all


    verwendet trotzdem daniel@bradler.com


    Code
    > grep bradler /var/log/letsencrypt/letsencrypt.log
    …:DEBUG:certbot._internal.main:Arguments: ['--agree-tos', '--non-interactive', '--email', 'daniel@bradler.com', '--keep-until-expiring', '--expand', '--webroot', '-w', '/opt/pdadmin/etc/ssl-validation/', '-d', 'www.example.com', '-d', 'example.com']
  • Ich verwende eine eigene letsencrypt Implementierung mithilfe von dehydrated https://dehydrated.io/ (kann ich sehr empfehlen, ein acme client in purem bash). Der Grund dafür ist dass ich diese bereits gebaut habe bevor pd-admin letsencrypt an Board hatte und ich meinen eigene Lösung hier einfach liebgewonnen habe.


    Ich übermittle hier mit dehydrated beim generieren von Zertifikaten meine eigene E-Mail Adresse und habe für keine einzige Domain eine Warnung bekommen (andere Warnungen bekam ich in der Vergangenheit aber durchaus mal, zb. als mein cronjob mal länger nicht lief wegen eines Fehlers von mir).


    Daher (und aufgrund von dem was ich so gelesen habe) gehe ich derzeit auch davon aus dass nur Domains mit einem CAA Record betroffen sind. Meine heikelsten Kunden habe ich mit dem Testtool https://checkhost.unboundtest.com/ getestet, endgültig wissen werden wir es dann wohl erst morgen.

  • Nur wird nicht jedes Mal ein neuer Account erstellt. Oder zumindest habe ich dazu kein Hinweis gefunden. Dies passiert nur bei initialer Ausführung.

    Unter /etc/letsencrypt/accounts finden sich bei mir auch nicht unzählige Accounts, sondern nur ein Account.