Alors que j'essayais vainement de renouveller les deux certificats d'un de mes serveurs :
Le plugin -apache semblant avoir des problèmes avec mon frontend (Ipv4, plusieurs serveurs derrières une même IP, ceux qui ont déjà tenté l'aventure de l'hébergement doivent bien connaître ce "plaisir merveilleux limite érotique" des redirections de ports).
IMPORTANT NOTES:
- The following errors were reported by the server:
Domain: o2.0rion.netlib.re
Type: unauthorized
Detail: Incorrect validation certificate for TLS-SNI-01 challenge.
Requested b4a4236f6e72e2cf23daa1c466692666.0692b6660dfc1a5a549e6d48
9721571d.acme.invalid from 87.64.88.65:443. Received 1
certificate(s), first certificate had names "pifrontend"
To fix these errors, please make sure that your domain name was
entered correctly and the DNS A record(s) for that domain
Donc a cœur vaillant rien d'impossible : je lis la doc, cherche a éviter le challenge tls-sni-01 (port 443) qui fou sa moise en utilisant webroot qui lui ne passe que par 80 (vous la voyez la regression de sécurité? :D )
sudo letsencrypt certonly --webroot --webroot-path /var/www/html/ --domains o2.orion.netlib.re
An unexpected error occurred:
There were too many requests of a given type :: Error creating new cert :: Too many certificates already issued for: netlib.re
Please see the logfiles in /var/log/letsencrypt for more details.
Oh, what, tout les domaines .netlib.re sont concerné par cette connerie? Mais fuck les mois précédents il n'a signalé aucun problème lors de la création (par contre le renouvellement avec let's encrypt alpha avait foiré mais j'escomptais que la version "stable" réussirait ce moi-ci).
J'ai bien réussi a en renouveller un mais j'en voulais 2 ! donc apt-get purge, apt-get install, on recommence et pouff limite atteinte. (note: le frontend lui n'avais eu aucun soucis pour son renew @monthly (3 ou 4 certif))
Donc merci Let's Encrypt de montrer que l'apprentissage (qui provoque des erreurs hein, y a pas de magie) tu t'en branle.
Et désolé aux autres utilisateurs de netlib.re qui risque d'être, pénalisé pendant une semaine. (j'espère que non, je n'ai pas vérifié)
Et maintenant, je ne peux pas continuer de tenter de résoudre le problème tant que môsieur Let's Encrypt ne l'aura pas décidé, je ne peux que patienter, engranger la frustration et fustiger cette boite.
J'ai l'impression d'être devant une grille de sudoku qui me provoque "Attention, tu ne peux jouer que 5 coups par semaine trouduc.".
Si vous me cherchez je grignotte les claviers à côté de la porte => [].
![[]](http://img.ohmymag.com/b%e9b%e9/ce-bebe-mordille-le-clavier-d-un-ordinateur-portable_148795_w460.jpg){kind=link}
# T'es loin de la limite
Posté par ptit_poulet . Évalué à 2.
La limite haute se situe à 20 par semaine. Donc tu en es encore loin…
[^] # Re: T'es loin de la limite
Posté par EauFroide . Évalué à 1.
Je penses que c'est cette limite que j'ai atteint :
Donation Bitcoin : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat
# Staging
Posté par Sacha Trémoureux (site web personnel) . Évalué à 5.
Y a le staging pour apprendre. :)
(enfin je me suis fait avoir une fois comme toi)
[^] # Re: Staging
Posté par EauFroide . Évalué à -1.
si tu as des infos partage (en fr si possible) :)
Hier un de mes soucis était que let's encrypt fusionne des certificats et me donne le path mais quand j'ajoute ce path a mes vhost le certificat n'est valable que pour un seul hostname.
Par contre sur le frontend j'ai bien un dossier par vhost et aucune erreur.
Vivement ipv6 !!!!!!!!!!!!!!
Donation Bitcoin : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat
[^] # Re: Staging
Posté par Sacha Trémoureux (site web personnel) . Évalué à 2.
Euh bah je suis pas spécialement allé dans le détail.
Quand je parlais de staging, c'est un environnement de test avec des quotas bien plus hauts.
Tout est ici : https://letsencrypt.org/docs/staging-environment/
Tu dois faire tous tes tests comme ça.
Accessoirement, il ne faut pas confondre Lets Encrypt et son client un peu lourdingue sur les bords. Il y a plein d'autres clients : https://community.letsencrypt.org/t/list-of-client-implementations/2103 . J'utilise acme.sh pour l'instant.
Généralement, la petite technique c'est que ton reverse-proxy redirige/traite le /.well-known/acme-challenge/ à un seul endroit quelque soit le vhost.
L'IPv6 ne change pas trop la donne avec LetsEncrypt. Faut bien penser à rediriger les requêtes web (et donc ouvrir le 80/443) sur des conteneurs/VMs qui n'ont pas spécialement l'habitude de traiter du HTTP. Ou bien valider par DNS.
[^] # Re: Staging
Posté par EauFroide . Évalué à -1.
Oui c'est se que j'avais mis en place a coups de reverse proxy + tunnel ssh (toute ma procédure est expliquée en détails ici).
C'est juste que là, si j'ai bien compris, tls-sni-01 a un problème avec le CN présent sur le certificat envoyé par mon frontend lors du challenge sur 443.
Ça économiserais pas mal de crypto ^ ^ (mine de rien SSH et TLS bouffent) Mais IPv4 (ou plus tôt le fait qu'on a droit qu'à une seule IP) m'aura forcé à apprendre les redirections de port et tor :P
Moi se qui me ferais kiffer c'est un truc qui just work, s'installe a coups d'apt-get install avec tout 100% même chose (install+config+nom des logiciels) que se soit sur ubuntu, debian ou raspbian.
Et là le coups du ban c'est bien Let's Encrypt (serveur): j'étais en plein en train d'essayer de dompter ce client quand il m'a retiré mon jouet! :P
Donation Bitcoin : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat
[^] # Re: Staging
Posté par 🚲 Tanguy Ortolo (site web personnel) . Évalué à 5.
Un truc qu'il suffit d'installer pour que ça marche, c'est un peu l'esprit du client officiel, Certbot. Bon, il faut aussi le lancer. Mais il est conçu pour les cas simple, et il ne faut pas rêver, un client qu'il suffit d'installer et qui marche dans tous les cas, même avec plusieurs serveurs derrière un proxy inverse, un NAT, avec des ports différents et je ne sais quoi encore, ça n'existera pas. Pour les installation qui dépassent le simple serveur domestique, il faut plutôt compter sur les clients alternatifs qui permettent une grande personnalisation.
[^] # Re: Staging
Posté par EauFroide . Évalué à -1. Dernière modification le 07 février 2017 à 13:25.
Si le module -apache de Let's encrypt utilisait le challenge http-01 (comme webroot ou standalone *1) il n'y aurait pas eu de soucis. (et si Let's Encrypt avait permit la traduction de sa doc, elle serait sûrement plus facilement accessible).
Mais je trouve marrant que maintenant publier un simple site web en https est plus compliqué qu'un site derrière un Tor Hidden Service (il n'y aurait pas piwik sur le serveur, je penses que je n'utiliserais que ça qui est plus en phase avec le respect de la liberté d'expression)
*1 qui sont tout deux assez con pour générer un certificat sans me donner les path à ajouter dans mes vhost.
PS: anecdote, vous avez remarquez que les requêtes des challenges de Let's Encrypt proviennent toutes des USA (ça ne m’étonnerait même pas que les deux machines qui gèrent ces requêtes utilisent les même DNS)
Encore 5 jours de patience !
Donation Bitcoin : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat
# Public Suffix List
Posté par gouttegd (site web personnel) . Évalué à 4.
Oui, parce qu’apparemment
netlib.ren’est pas dans la Public Suffix List de Mozilla, sur laquelle se base Let’s Encrypt pour déterminer ce qu’est un « domaine enregistré » (comme expliqué ici). Du coup, la limite de 20 certificates par semaine par « domaine enregistré » s’applique au domainenetlib.reet non à ses sous-domaines.Il n’y a pas grand’chose à faire contre ça, si ce n’est proposer d’ajouter
netlib.reà la PSL.Tu peux toujours obtenir un certificat auprès de l’une quelconque des autres autorités de certification qui existent.
Ah oui, c’est vrai, il faudrait payer, et puis quoi encore ?
[^] # Re: Public Suffix List
Posté par EauFroide . Évalué à 0.
Merci pour ces explications @gouttegd, je proposerai a karchnu à l'occasion :) (je pense, sans certitude, que ca permettrait ainsi d'autoriser le javascript pour un sous domaine sans devoir l'autoriser pour tout netlib.re)
Il y a l'auto signé aussi :P (le seul service que ça dérange dans mon cas c'est le tracker javascript, tout le reste est encore accessible (sans alertes) via 4 ou 5 portes d'entrées ^ ^ )
Je ne te le fais pas dire! :D
Donation Bitcoin : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.