Let's Encrypt Zertifikat: automatische vs manuelle Verlängerung

[wegomyway]

Ich hab keine Mail bekommen, bisher jedenfalls. Da ich nur 443 offen habe und sonst nix und die Verlängerung automatisch reibungslos klappte, wird das doch auch weiterhin klappen (per Script).

 

[Flessi]

Die Verlängerungen sind bisher seit Jahren automatisch erfolgt - dennoch habe ich am 28.01 und 03.02.25 diese Mail bekommen! (443 ist geöffnet)

 

[DKeppi]

Heute kam eine Mail von LE dass die keine Erinnerung mehr senden bevor es ausläuft ...

Deswegen hab ich mir HIER einen Account gemacht, um die Zertifikate zu überwachen

 

[patrickn]

Kann dazu jemand mehr sagen?

Letsencrypt rät davon ab, überhaupt Ports zu blocken. */.well-known/acme-challenge/* sollte weltweit gewährleistet werden, ansonsten DNS nutzen.

 

[Benie]

seither hatte ich diese eben immer kurz geöffnet, das Zertifikat erneuert und wieder geschlossen -

Welche DynDNS nutzt Du den?
Für Synology DynDNS muß für die Verlängerung seit geraumer Zeit, die DSM Version weiß ich nicht genau, überhaupt kein Port geöffnet werden.

 

[dil88]

Ich bin zwar nicht gefragt, aber ich verwende derzeit dnshome als DDNS-Anbieter und würde nicht so gern auf Synology wechseln. Die Sache mit den Ports wäre natürlich ein gutes Argument.

 

[Benie]

Warum würdest Du nicht so gern auf Synology wechseln?
Siehst Du da Nachteile?

 

[dil88]

Ich müsste in Familie und Bekanntenkreis neue URLs verteilen, das nervt schon sehr.

 

[patrickn]

Sachtmal, was für eine E-Mail habt ihr eigentlich bekommen?


Ich hab gerade auch eine bekommen, die informiert aber über das generelle Ende der "Info-Mail" bei Ablauf des Zertifikates.

As a Let’s Encrypt Subscriber, you benefit from access to free, automated TLS certificates. One way we have supported Subscribers is by sending expiration notification emails when it’s time to renew a certificate.
We’re writing to inform you that we intend to discontinue sending expiration notification emails. You can learn more in this blog post. You will receive this reminder email again in the coming months:
https://letsencrypt.org/2025/01/22/Ending-Expiration-Emails
Here are some actions you can take today:
Automate with an ACME Client that supports Automated Renewal Information (ARI). ARI enables us to automatically renew your certificates ahead of schedule should the need arise:
https://letsencrypt.org/2024/04/25/guide-to-integrating-ari-into-existing-acme-clients

 

[dil88]

Genau um die gehts.

 

[Benares]

Sowas in der Art hab ich kürzlich auch bekommen, hab es aber für Spam gehalten. Ich wüsste jetzt auch nicht, wo da meine eMail-Adresse hinterlegt ist/war.

 

[patrickn]

Jetzt hab ich den 1. Beitrag von heute hier auch noch mal komplett gelesen

 

[Benie]

neue URLs verteilen, das nervt schon sehr.

OK, ich dachte eher in Synology DynDNS verborgene Gründe.

 

[SynDiab]

Letsencrypt rät davon ab, überhaupt Ports zu blocken. */.well-known/acme-challenge/* sollte weltweit gewährleistet werden, ansonsten DNS nutzen.

Moin,

wie trägt man das in die Firewall rules ein? Ich muss aktuell die Firewall immer abschalten wenn ich das LE Zertifikat erneuern will. Ja, alles sehr strikt geblockt.

Danke!

 

[patrickn]

theoretisch sollte das mit dem iptables --string parameter gehen, falls es den noch gibt (und die DS ihn unterstützen, kernel und so)