A Let’s Encrypt nem küld több levlet a lejáratról

Linux-security

Ezt kaptam. Sajnálom, mert jó volt, most naptárazhatok. Tudom az acme script megújítja magától. Már ha összejön neki.

As a Let’s Encrypt Subscriber, you benefit from access to free, automated TLS certificates. One way we have supported Subscribers is by sending expiration notification emails when it’s time to renew a certificate.

We’re writing to inform you that we intend to discontinue sending expiration notification emails. You can learn more in this blog post. You will receive this reminder email again in the coming months:

https://letsencrypt.org/2025/01/22/Ending-Expiration-Emails

Here are some actions you can take today:

Automate with an ACME Client that supports Automated Renewal Information (ARI). ARI enables us to automatically renew your certificates ahead of schedule should the need arise:

https://letsencrypt.org/2024/04/25/guide-to-integrating-ari-into-existi…

Sign up for a third-party monitoring service that may provide expiration emails. We can recommend Red Sift Certificates Lite, which provides free expiration emails for up to 250 active certificates:

https://redsift.com/pulse-platform/certificates-lite

Opt in to emails. While we are deprecating expiration notification emails, you can opt in to continue to receive other emails. We’ll keep you informed about technical updates, and other news about Let’s Encrypt and our parent nonprofit, ISRG, based on the preferences you choose:

https://letsencrypt.org/opt-in/

All the best,
Let’s Encrypt

  • 1264 megtekintés

( dhary | 2025. 02. 26., sze – 08:27 )

ajánlanám inkább monitroing szolgáltatással ellenőriztetni.. vagy egy scripttel. azokkal jó eséllyel tudsz email mellett egy halom más formában is értesítést küldeni - nem csak magadnak, hanem mondjuk ha ügyfélnek szolgáltatsz, akkor a helyi erőknek is

Ebből szerintem nem fogod látni, hogy a szolgáltatás, (amire valóban szükség lehet) betöltötte-e megfelelően és a megújított tanúsítványt használja-e.

A zabbix-agent2 natívan is tud már tanúsítványt ellenőrizni, külső scriptek nélkül.

"If I had six hours to chop down a tree, I'd spend the first four hours sharpening the axe."

én ezt azért nem szeretem, mert attól, hogy a bot megújítja még nem 100% garancia arra, hogy a service ki is cserélte :) én speciel nem csak weboldalakra használom, sőt ismerek olyan helyet is ahol egy wildcard certet igényel a bot és a serviceknek (lehet ez bármi over TLS) kiszórja vagy a servicek húzzák be, cserélik ki. néha előfordul, hogy nem éri el, nem indul újra stb. az a tuti, ha mindig maga a szolgáltatás van szondáztatva :) szerintem

+1 használom én is, igaz eddig nem erre, de mostantól arra is beállítom. Tényleg jól működik.

A tömegek sohasem szomjúhozták az igazságot. A nekik nem tetsző bizonyságok elől elfordulnak és inkább a tévedést istenítik, ha ez őket elkápráztatja. Aki illúzióba ringatja őket, úr lesz fölöttük, de áldozatuk az, aki megpróbálja őket kiábrándítani.

Plusz sok az alkalmazásonkénti monitorozásra. Enni nem kér, a szopást meg megelőzheti. Sok minden meg automatán, de láttam már karón varjút:

1.) multi domain cert, az egyik domain megszűnt belőle, auto-update elhasalt

2.) cert lefrissült, de a szolgáltatás valamiért nem indult újra, vagyis nem olvasta be magának az új kulcsot

3.) nem csak a cert tud lejárni, de pl. vpn-nél, vagy client-side certificate használatánál a webszerver esetében is a CRL lejáratába is szaladtam már bele.

4.) Örök kedvenceim, a hálózati nyomtatók, amikre a szaros webfelületen kell feltölteni a certet, azt is PKCS12 formában, de csak akkor, ha éppen nem nyomtat senki, mert különben be se enged adminként.

 

( trey | 2025. 02. 26., sze – 08:27 )

Ezt kaptam. Sajnálom, mert jó volt, most naptárazhatok. Tudom az acme script megújítja magától. Már ha összejön neki.

A HUP-on mikor találkoztál tanúsítvány hibával? Megújítja. #worksforhup

trey @ gépház

Az legtöbb helyen nekem sem gond nekem se, de van pl olyan ahol synology nas újítgat, de akkora szigor, hogy csak megadott időre engedik ki a 80 és 443-at. Előre meg kell beszélni...

A tömegek sohasem szomjúhozták az igazságot. A nekik nem tetsző bizonyságok elől elfordulnak és inkább a tévedést istenítik, ha ez őket elkápráztatja. Aki illúzióba ringatja őket, úr lesz fölöttük, de áldozatuk az, aki megpróbálja őket kiábrándítani.

Nem csak hangzik, az is :D de nem én vagyok ott a góré.

A tömegek sohasem szomjúhozták az igazságot. A nekik nem tetsző bizonyságok elől elfordulnak és inkább a tévedést istenítik, ha ez őket elkápráztatja. Aki illúzióba ringatja őket, úr lesz fölöttük, de áldozatuk az, aki megpróbálja őket kiábrándítani.

És a certbot hogyan fér hozzá a levélhez és mire használja?

A tömegek sohasem szomjúhozták az igazságot. A nekik nem tetsző bizonyságok elől elfordulnak és inkább a tévedést istenítik, ha ez őket elkápráztatja. Aki illúzióba ringatja őket, úr lesz fölöttük, de áldozatuk az, aki megpróbálja őket kiábrándítani.

Így valóban érinti, ez igaz.

A tömegek sohasem szomjúhozták az igazságot. A nekik nem tetsző bizonyságok elől elfordulnak és inkább a tévedést istenítik, ha ez őket elkápráztatja. Aki illúzióba ringatja őket, úr lesz fölöttük, de áldozatuk az, aki megpróbálja őket kiábrándítani.

Nem érint. Ez csak információs levél volt, arról, hogy le fog járni, de maga a tanúsítvány kérés és megújítás folyamata nem változik semmit.

A tömegek sohasem szomjúhozták az igazságot. A nekik nem tetsző bizonyságok elől elfordulnak és inkább a tévedést istenítik, ha ez őket elkápráztatja. Aki illúzióba ringatja őket, úr lesz fölöttük, de áldozatuk az, aki megpróbálja őket kiábrándítani.