Forum général.test [Troll] Let's Encrypt Tome IV

Posté par . Licence CC by-sa
Tags : aucun
-4
6
fév.
2017

Alors que j'essayais vainement de renouveller les deux certificats d'un de mes serveurs :
Le plugin -apache semblant avoir des problèmes avec mon frontend (Ipv4, plusieurs serveurs derrières une même IP, ceux qui ont déjà tenté l'aventure de l'hébergement doivent bien connaître ce "plaisir merveilleux limite érotique" des redirections de ports).

IMPORTANT NOTES:
 - The following errors were reported by the server:

   Domain: o2.0rion.netlib.re
   Type:   unauthorized
   Detail: Incorrect validation certificate for TLS-SNI-01 challenge.
   Requested b4a4236f6e72e2cf23daa1c466692666.0692b6660dfc1a5a549e6d48
   9721571d.acme.invalid from 87.64.88.65:443. Received 1
   certificate(s), first certificate had names "pifrontend"

   To fix these errors, please make sure that your domain name was
   entered correctly and the DNS A record(s) for that domain

Donc a cœur vaillant rien d'impossible : je lis la doc, cherche a éviter le challenge tls-sni-01 (port 443) qui fou sa moise en utilisant webroot qui lui ne passe que par 80 (vous la voyez la regression de sécurité? :D )

sudo letsencrypt certonly --webroot --webroot-path /var/www/html/ --domains o2.orion.netlib.re
An unexpected error occurred:
There were too many requests of a given type :: Error creating new cert :: Too many certificates already issued for: netlib.re
Please see the logfiles in /var/log/letsencrypt for more details.

Oh, what, tout les domaines .netlib.re sont concerné par cette connerie? Mais fuck les mois précédents il n'a signalé aucun problème lors de la création (par contre le renouvellement avec let's encrypt alpha avait foiré mais j'escomptais que la version "stable" réussirait ce moi-ci).
J'ai bien réussi a en renouveller un mais j'en voulais 2 ! donc apt-get purge, apt-get install, on recommence et pouff limite atteinte. (note: le frontend lui n'avais eu aucun soucis pour son renew @monthly (3 ou 4 certif))

Donc merci Let's Encrypt de montrer que l'apprentissage (qui provoque des erreurs hein, y a pas de magie) tu t'en branle.
Et désolé aux autres utilisateurs de netlib.re qui risque d'être, pénalisé pendant une semaine. (j'espère que non, je n'ai pas vérifié)

Et maintenant, je ne peux pas continuer de tenter de résoudre le problème tant que môsieur Let's Encrypt ne l'aura pas décidé, je ne peux que patienter, engranger la frustration et fustiger cette boite.
J'ai l'impression d'être devant une grille de sudoku qui me provoque "Attention, tu ne peux jouer que 5 coups par semaine trouduc.".
Si vous me cherchez je grignotte les claviers à côté de la porte => [].

  • # T'es loin de la limite

    Posté par . Évalué à 2.

    La limite haute se situe à 20 par semaine. Donc tu en es encore loin…

    • [^] # Re: T'es loin de la limite

      Posté par . Évalué à 1.

      Je penses que c'est cette limite que j'ai atteint :

      We also have a Duplicate Certificate limit of 5 certificates per week.

      Donation Bitcoin : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat

  • # Staging

    Posté par (page perso) . Évalué à 5.

    Y a le staging pour apprendre. :)

    (enfin je me suis fait avoir une fois comme toi)

    • [^] # Re: Staging

      Posté par . Évalué à -1.

      si tu as des infos partage (en fr si possible) :)

      Hier un de mes soucis était que let's encrypt fusionne des certificats et me donne le path mais quand j'ajoute ce path a mes vhost le certificat n'est valable que pour un seul hostname.
      Par contre sur le frontend j'ai bien un dossier par vhost et aucune erreur.

      Vivement ipv6 !!!!!!!!!!!!!!

      Donation Bitcoin : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat

      • [^] # Re: Staging

        Posté par (page perso) . Évalué à 2.

        Euh bah je suis pas spécialement allé dans le détail.
        Quand je parlais de staging, c'est un environnement de test avec des quotas bien plus hauts.
        Tout est ici : https://letsencrypt.org/docs/staging-environment/

        Tu dois faire tous tes tests comme ça.

        Accessoirement, il ne faut pas confondre Lets Encrypt et son client un peu lourdingue sur les bords. Il y a plein d'autres clients : https://community.letsencrypt.org/t/list-of-client-implementations/2103 . J'utilise acme.sh pour l'instant.

        Généralement, la petite technique c'est que ton reverse-proxy redirige/traite le /.well-known/acme-challenge/ à un seul endroit quelque soit le vhost.

        L'IPv6 ne change pas trop la donne avec LetsEncrypt. Faut bien penser à rediriger les requêtes web (et donc ouvrir le 80/443) sur des conteneurs/VMs qui n'ont pas spécialement l'habitude de traiter du HTTP. Ou bien valider par DNS.

        • [^] # Re: Staging

          Posté par . Évalué à -1.

          Généralement, la petite technique c'est que ton reverse-proxy redirige/traite le /.well-known/acme-challenge/ à un seul endroit quelque soit le vhost.

          Oui c'est se que j'avais mis en place a coups de reverse proxy + tunnel ssh (toute ma procédure est expliquée en détails ici).
          C'est juste que là, si j'ai bien compris, tls-sni-01 a un problème avec le CN présent sur le certificat envoyé par mon frontend lors du challenge sur 443.

          L'IPv6 ne change pas trop la donne avec LetsEncrypt.

          Ça économiserais pas mal de crypto ^ ^ (mine de rien SSH et TLS bouffent) Mais IPv4 (ou plus tôt le fait qu'on a droit qu'à une seule IP) m'aura forcé à apprendre les redirections de port et tor :P

          Accessoirement, il ne faut pas confondre Lets Encrypt et son client un peu lourdingue sur les bords

          Moi se qui me ferais kiffer c'est un truc qui just work, s'installe a coups d'apt-get install avec tout 100% même chose (install+config+nom des logiciels) que se soit sur ubuntu, debian ou raspbian.
          Et là le coups du ban c'est bien Let's Encrypt (serveur): j'étais en plein en train d'essayer de dompter ce client quand il m'a retiré mon jouet! :P

          Donation Bitcoin : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat

          • [^] # Re: Staging

            Posté par (page perso) . Évalué à 5.

            Un truc qu'il suffit d'installer pour que ça marche, c'est un peu l'esprit du client officiel, Certbot. Bon, il faut aussi le lancer. Mais il est conçu pour les cas simple, et il ne faut pas rêver, un client qu'il suffit d'installer et qui marche dans tous les cas, même avec plusieurs serveurs derrière un proxy inverse, un NAT, avec des ports différents et je ne sais quoi encore, ça n'existera pas. Pour les installation qui dépassent le simple serveur domestique, il faut plutôt compter sur les clients alternatifs qui permettent une grande personnalisation.

            • [^] # Re: Staging

              Posté par . Évalué à -1. Dernière modification le 07/02/17 à 13:25.

              Si le module -apache de Let's encrypt utilisait le challenge http-01 (comme webroot ou standalone *1) il n'y aurait pas eu de soucis. (et si Let's Encrypt avait permit la traduction de sa doc, elle serait sûrement plus facilement accessible).
              Mais je trouve marrant que maintenant publier un simple site web en https est plus compliqué qu'un site derrière un Tor Hidden Service (il n'y aurait pas piwik sur le serveur, je penses que je n'utiliserais que ça qui est plus en phase avec le respect de la liberté d'expression)

              *1 qui sont tout deux assez con pour générer un certificat sans me donner les path à ajouter dans mes vhost.

              PS: anecdote, vous avez remarquez que les requêtes des challenges de Let's Encrypt proviennent toutes des USA (ça ne m’étonnerait même pas que les deux machines qui gèrent ces requêtes utilisent les même DNS)

              Encore 5 jours de patience !

              Donation Bitcoin : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat

  • # Public Suffix List

    Posté par (page perso) . Évalué à 4.

    Too many certificates already issued for: netlib.re
    […]
    Oh, what, tout les domaines .netlib.re sont concerné par cette connerie?

    Oui, parce qu’apparemment netlib.re n’est pas dans la Public Suffix List de Mozilla, sur laquelle se base Let’s Encrypt pour déterminer ce qu’est un « domaine enregistré » (comme expliqué ici). Du coup, la limite de 20 certificates par semaine par « domaine enregistré » s’applique au domaine netlib.re et non à ses sous-domaines.

    Il n’y a pas grand’chose à faire contre ça, si ce n’est proposer d’ajouter netlib.re à la PSL.

    je ne peux que patienter, engranger la frustration et fustiger cette boite.

    Tu peux toujours obtenir un certificat auprès de l’une quelconque des autres autorités de certification qui existent.

    Ah oui, c’est vrai, il faudrait payer, et puis quoi encore ?

    • [^] # Re: Public Suffix List

      Posté par . Évalué à 0.

      Merci pour ces explications @gouttegd, je proposerai a karchnu à l'occasion :) (je pense, sans certitude, que ca permettrait ainsi d'autoriser le javascript pour un sous domaine sans devoir l'autoriser pour tout netlib.re)

      Tu peux toujours obtenir un certificat auprès de l’une quelconque des autres autorités de certification qui existent.

      Il y a l'auto signé aussi :P (le seul service que ça dérange dans mon cas c'est le tracker javascript, tout le reste est encore accessible (sans alertes) via 4 ou 5 portes d'entrées ^ ^ )

      il faudrait payer, et puis quoi encore ?

      Je ne te le fais pas dire! :D

      Donation Bitcoin : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.