Zertifikat wird nicht verlängert

kroerig · 10. Juni 2017

Hallo Support,

ich habe heute eine Mail erhalten, dass ein LE Zertifikat demnächst ausläuft und nicht verlängert wurde.

Ich bin dann einfach mal in die Zertifikatsverwaltung habe das Zertifikat neu gespeichert. In der Hoffnung, dass dann eine neue Anfrage gestellt und die Verlängerung ausgelöst wird.

Stattdessen erhalte ich aber nur eine Meldung

Code

HTTP ist für diese Domain nicht aktiviert

Das ist auch richtig so, der Host für den dieses Zertifikat erstellt wurde ist nur per SSL erreichbar.

Wie bekomme ich jetzt das Zertifikat automatisch verlängert?

Klaus Rörig

lebenszeit · 11. Juni 2017

+1 für ACME via (nur) https

aziegler · 12. Juni 2017

das geht vermutlich nicht, ich fand gerade folgendes dazu:
"HTTP-01 is defined by the ACME standard to require HTTP on port 80"
anscheinend sieht der Standard dies nur so vor, dass Port 80 genutzt werden muss

antondollmaier · 12. Juni 2017

Zitat von aziegler

das geht vermutlich nicht, ich fand gerade folgendes dazu:
"HTTP-01 is defined by the ACME standard to require HTTP on port 80"
anscheinend sieht der Standard dies nur so vor, dass Port 80 genutzt werden muss

Genau, für HTTPS gibt es ja auch TLS-SNI-02.

kroerig · 12. Juni 2017

Was denn jetzt? Geht oder geht nicht?

Ich habe alle Webhostings so eingerichtet, dass HTTP auf HTTPS umgeleitet wird. Wenn LE damit nicht umgehen kann, kann ich es nicht nutzen, und meinen Kunden nicht anbieten, sonst habe ich ständig Supportaufwand, den mir keiner bezahlt. Dann halt wieder HTTP ohne S.

antondollmaier · 12. Juni 2017

Zitat von kroerig

Ich habe alle Webhostings so eingerichtet, dass HTTP auf HTTPS umgeleitet wird.

Da klappt die HTTP-Validierung problemlos. Haben wir nirgends anders.

Achtung: HTTP-Zugriff muss aktiv sein, und wenn es nur ein 301-Redirect ist.

kk · 12. Juni 2017

Zitat von kroerig
Code
HTTP ist für diese Domain nicht aktiviert
Das ist auch richtig so, der Host für den dieses Zertifikat erstellt wurde ist nur per SSL erreichbar.

Wie bekomme ich jetzt das Zertifikat automatisch verlängert?

HTTP muss aktiviert sein, eine Weiterleitung auf HTTPS ist aber kein Problem (LiveConfig konfiguriert das so, dass die Authorisierung für Let's Encrypt damit funktioniert).

Wenn HTTP für eine Domain deaktiviert ist, dürfte eher das zu einem erhöhten Supportaufwand führen (schließlich gibt es dann im Browser eine Fehlermeldung, wenn man die gewünschte Domain per HTTP ansurfen möchte).

Viele Grüße

-Klaus Keppler

kroerig · 12. Juni 2017

Ja, bei denen klappt es auch, aber halt nicht bei "spezial"-Hostings, die nur über HTTPS genutzt werden sollen.

Ich habe jetzt nicht den ganzen Aufsatz unter https://tools.ietf.org/html/dr…-acme-acme-06#section-8.3 gelesen.

Ist TLS-SNI-02 schon verfügbar, oder kommt das noch? Genauso die DNS-Validierung, die wäre mir eigentlich am liebsten.

kroerig · 12. Juni 2017

Zitat von kk

Wenn HTTP für eine Domain deaktiviert ist, dürfte eher das zu einem erhöhten Supportaufwand führen (schließlich gibt es dann im Browser eine Fehlermeldung, wenn man die gewünschte Domain per HTTP ansurfen möchte).

Nein, das sind URLs, die nie direkt aufgerufen werden und z.B. nur APIs oder andere Ressourcen bereitstellen, die von über HTTPS bereitgestellten Seiten genutzt werden.

antondollmaier · 12. Juni 2017

Zitat von kroerig

Ja, bei denen klappt es auch, aber halt nicht bei "spezial"-Hostings, die nur über HTTPS genutzt werden sollen.

HTTP-Redirect rein und fertig.

Zitat

Ist TLS-SNI-02 schon verfügbar, oder kommt das noch? Genauso die DNS-Validierung, die wäre mir eigentlich am liebsten.

Ist in LiveConfig aktuell nicht drinnen.

aziegler · 12. September 2017

Zitat von kk

Wenn HTTP für eine Domain deaktiviert ist, dürfte eher das zu einem erhöhten Supportaufwand führen

Quatsch
Wir haben einen Kunden, der Cloudflare vor seine Seite schaltet, Cloudflare macht auch den Port 80 -> 443 redirect.

Da müsste LiveConfig nun also TLS-SNI-02 auf Port 443 anbieten

(und ja, man will LE trotz Cloudflare, damit die Verbindung von Cloudflare zum Server auch halbwegs trusted und verschlüsselt ist!)

Nosxxx · 13. September 2017

Das geht auch via self signed oder die von cloudflare angebotenen SSL Zertifikate. Zumindest laut meinem Wissenstand.

lebenszeit · 13. September 2017

Zitat von kroerig

URLs, die nie direkt aufgerufen werden und z.B. nur APIs oder andere Ressourcen bereitstellen, die von über HTTPS bereitgestellten Seiten genutzt werden.

Volle Zustimmung, diese Funktion fehlt.

aziegler · 22. Juli 2018

Zitat von aziegler

Quatsch
Da müsste LiveConfig nun also TLS-SNI-02 auf Port 443 anbieten

nachdem TLS-SNI-* ja wegen einer Sicherheitslücke deaktiviert wurde, gibt es für den selben Zweck nun das neue TLS-ALPN-01.

https://datatracker.ietf.org/d…-tls-alpn/?include_text=1

Wäre klasse, wenn das bei Gelegenheit mal eingebaut werden könnte, eben für die Fälle in denen Port 80 nicht offen ist.

Zertifikat wird nicht verlängert

Jetzt mitmachen!

Benutzer online in diesem Thema