[Netzwelt] SSL-Zertifizierungstelle Let's Encrypt kann bald die Arbeit aufnehmen

Die SSL-Zertifizierungstelle Let's Encrypt, welche durch die gemeinnützige Organisation Internet Security Research Group (ISRG) und diversen Sponsoren wie Mozilla, EFF, oder Cisco ist Leben gerufen wurde steht kurz davor den offiziellen Betrieb aufzunehmen. Let's Encrypt will ab Mitte 2015 allen interessierten Serverbetreibern ein kostenloses, von den Browsern sofort akzeptiertes TLS-Zertifikat anbieten. Vor kurzem wurden die hierfür nötigen Wurzelzertifikate erstellt.

Die Zertifikate der Nutzer werden über Zwischenstelle (Intermediate CA) ausgestellt, was der üblichen Praxis entspricht damit das Wurzelzertifikat offline bleiben kann. Die Zwischenzertifikate werden von Identrust (einem Dienstleister im Bankensektoren dessen Zertifikate in jedem gängigen Browser als vertrauenswürdig eingestuft werden) signiert. Somit sollte eine Seite die mit einem Zertifikat von Let's Encrypt versehen ist, ohne Eingreifen der Besucher mit https funktionieren. Let's Encrypt wird aber dennoch versuchen als das Wurzelzertifikat als vertrauenswürdig in den gängigen Browsern unterzubringen.

Vorerst werden RSA-Schlüssel verwendet. Diese sollen aber von ECDSA abgelöst werden. Auf der Seite des Seitenbetreibers sollen unter Linux zwei Befehle ausreichen um das Zertifikat zu erstellen. Einmal die Installation des Pakets lets-encrypt und anschließend mit dem Befehl lets-encrypt example.com (example.com steht hier für die betreffende Domain für die das Zertifikat ausgestellt werden soll). Mehr soll nicht nötig sein. Den genauen Ablauf kann man unter

You do not have permission to view link please Anmelden or Registrieren

nachlesen.

Quelle:

You do not have permission to view link please Anmelden or Registrieren

und

You do not have permission to view link please Anmelden or Registrieren

 

[eraser]

Cronjob alle 30 Tage:

renew.sh
[src=text]
# Renew Let's Encrypt SSL cert

ERRORLOG=`tail /var/log/letsencrypt/letsencrypt.log`

cd /DEINPFAD/letsencrypt/
./letsencrypt-auto --config /DEINPFAD/letsencrypt/cli.ini -d www.domain1.org -ddomain2.org certonly

if [ $? -ne 0 ]
then
sleep 5
echo -e "The Lets Encrypt Cert has not been renewed! \n \n" $ERRORLOG | mail -s "Lets Encrypt Cert Alert" DEINEMAILADRESSE
else
service apache2 reload
fi

exit 0

[/src]

cli.ini
[src=text]
# This is an example of the kind of things you can do in a configuration file.
# All flags used by the client can be configured here. Run Let's Encrypt with
# "--help" to learn more about the available options.

# Use a 4096 bit RSA key instead of 2048
rsa-key-size = 4096

# Always use the staging/testing server
server = https://acme-v01.api.letsencrypt.org/directory

# Uncomment and update to register with the specified e-mail address
email =DEINEMAILADRESSE
text = True
agree-dev-preview = True
agree-tos = True
verbose = True
renew-by-default
# Uncomment to use a text interface instead of ncurses
# text = True

# Uncomment to use the standalone authenticator on port 443
# authenticator = standalone
# standalone-supported-challenges = tls-sni-01

# Uncomment to use the webroot authenticator. Replace webroot-path with the
# path to the public_html / webroot folder being served by your web server.
# authenticator = standalone
# webroot-path = /usr/share/nginx/html
authenticator = webroot
webroot-path = /DEINPFAD/
[/src]

Habe mir das hier so zusammengeschustert und das sollte überall funktionieren. Alle 30 oder 60 Tage laufen lassen und fertig. Wenn was schief geht, gibt es eine Mail und man muss sich um nichts mehr kümmern.

 

[mathmos]

Und schon gibt es die ersten, größeren Probleme...

You do not have permission to view link please Anmelden or Registrieren

 

[eraser]

Ich nutze es zwar gerade auch nicht mehr, weil mir der Client nicht gefällt, aber man muss ja nicht den Standalone Webserver nutzen (in meiner Config oben wird er verwendet). Der Nachteil an der anderen Version ist, dass der Webserver zum Renew sonst kurz gestoppt werden muss. Finde ich aber jetzt auch nicht unbedingt dramatisch. Whatever, der Client ist wirklich nicht toll. Dafür ist halt alles kostenlos und soviel davon wie man mag. Da ist das schon meckern auf sehr hohem Niveau finde ich.

Was das Audit angeht: Sie haben ja noch Zeit und werden sich sicherlich daran halten. Finde ich jetzt nicht so wild ehrlich gesagt.

 

[drfuture]

Wenn man vergleicht wie lange andere Kooperationen für solche Projekte von der Planung bis zum GoLive brauchen ist das eh schon rekord zeit - und der Client wird ja weiter entwickelt.
fefe jammert eh an allem rum - er *muss* ja nicht python installieren - er kann sich ja auch ein normales Zertifikat bei Verisign kaufen ^^

Das mit den Terminen ist zwar *blöd* - aber ich sehe die Vertraulichkeit jetzt nicht wirklich gefedert - ist ja nicht so das Let`s Encrypt *irgendwer* ist - sondern große Firmen dahinter stehen. Wenn nun eine gerade eben neu gegründete Ltd. eine CA aufbauen wollen würde... inhaber und Anteilseigner unbekannt... dann würde ich mir mehr sorgen machen.

Alles in allem bleibt das eine geniale Sache und ein ambitioniertes Projekt... das es die ein oder anderen "Neider" geben wird - war klar ^^

 

[mathmos]

Problematisch finde ich eigentlich nur die Sache mit dem Audit und der damit vorhandenen Gefahr dass eventuell das Zertifikat erst einmal widerrufen wird (auch wenn ich davon ausgehe, dass nichts schief gehen wird). Das mit dem Client ist mir ehrlich gesagt egal. Genauso was Fefe mitzuteilen hat. Zumal es inzwischen ja auch schlankere Alternativen des Clients gibt.

 

[drfuture]

Um die Sache noch rund zu machen:

You do not have permission to view link please Anmelden or Registrieren

 

[mathmos]

Die ersten 100000 Zertifikate sind geknackt (also die Anzahl).

Inzwischen wurden mehr als 100000 Zertifikate erstellt.

You do not have permission to view link please Anmelden or Registrieren

You do not have permission to view link please Anmelden or Registrieren

 

[Pleitgengeier]

You do not have permission to view link please Anmelden or Registrieren

Gut dass du das editiert hast.
Das Wort "geknackt" ist im Zusammenhang mit Kryptographie etwas unglücklich gewählt

 

[mathmos]

Trend Micro hat einen Fall

You do not have permission to view link please Anmelden or Registrieren

bei dem böse Jungs ein Zertifikat von Let's Encrypt missbraucht haben. Ryan Hurst (nein nicht der Schauspieler) hat darauf mit einem, meiner Meinung nach sehr guten,

You do not have permission to view link please Anmelden or Registrieren

reagiert.

 

[alter_Bekannter]

Bei meinen Tests mögen die Browser die Zertifikate nicht ist das normal bei der offenen Beta?

Edit:
Scheint am Firefox zu hängen.

 

[eraser]

Dann hast du denke ich einen Fehler gemacht. Klappte bei mir überall.

 

[alter_Bekannter]

Sind vermutlich irgendwelche caches oder so.

 

[eraser]

Da wird nix gecached.

 

[drfuture]

Ach ja den Thread gibts ja auch noch ;D
Habe das nun auch für alle meine Domains für Webserver und Mail implementiert.
Hatte einiges durchprobiert und bin hierbei gelandet

You do not have permission to view link please Anmelden or Registrieren

ist für mich am brauchbarsten

 

[HanZ]

Ich bekomme leider immer folgenden Fehler. Bisher gibt es auch keine Lösungsvorschläge dafür. Jemand eine Idee, woran das liegt?

./letsencrypt-auto certonly --rsa-key-size 4096 -d MEINEDOMAIN.net -d www.MEINEDOMAIN.net
Checking for new version...
Requesting root privileges to run letsencrypt...
   sudo /home/x/.local/share/letsencrypt/bin/letsencrypt certonly --rsa-key-size 4096 -d MEINEDOMAIN.net -d www.MEINEDOMAIN.net
[sudo] password for x: 
Failed authorization procedure. MEINEDOMAIN.net (tls-sni-01): urn:acme:error:unauthorized :: The client lacks sufficient authorization :: Correct zName not found for TLS SNI challenge. Found '', www.MEINEDOMAIN.net (tls-sni-01): urn:acme:error:unauthorized :: The client lacks sufficient authorization :: Correct zName not found for TLS SNI challenge. Found ''

IMPORTANT NOTES:
 - The following errors were reported by the server:

   Domain: MEINEDOMAIN.net
   Type:   unauthorized
   Detail: Correct zName not found for TLS SNI challenge. Found ''

   Domain: www.MEINEDOMAIN.net
   Type:   unauthorized
   Detail: Correct zName not found for TLS SNI challenge. Found ''

   To fix these errors, please make sure that your domain name was
   entered correctly and the DNS A record(s) for that domain
   contain(s) the right IP address.

 

[mighty night]

Mir persönlich zu aufwendig, da zahle ich halt bei GoDaddy für ein Wildcard Zertifikat ein paar hunderter und habe dafür für 3 Jahre ruhe. Da bin ich halt bequem und faul.

 

[eraser]

Die Arbeit um das Zertifikat einzurichten mit dem Autoinstaller, wenn man sich auskennt beläuft sich vielleicht auf 10 Minuten. Dann kann man noch per Cronjob ein Script zur automatischen Erneuerung einbauen und hat nie wieder etwas zu machen für Lau.

Solltest du jemals Zertifikate brauchen, gib mir die "paar hunderter". Ich mach dir das gerne.

@Hanz: Dein Problem steht doch klar und deutlich in der Fehlermeldung.

 

[alter_Bekannter]

10 Minuten sind aber grosszügig bemessen, würde eher weniger tippen.

 

[HanZ]

You do not have permission to view link please Anmelden or Registrieren

Nunja... Domain stimmt, DNS A-Record laut Anbieter auch. Oder siehst du was, was ich nicht sehe?

 

[mighty night]

You do not have permission to view link please Anmelden or Registrieren

neee dann habe ich nur wieder Probleme ohne Ende, weil dann dies und das und jenes nicht geht und dazu habe ich null Bock.