HabrJan 25

Автопродление TLS тоже ломается

Текст в ленте: Много лет индустрия информационной безопасности старается улучшить стандарты шифрования в сети двумя способами: массовое распространение HTTPS как общего стандарта шифрования для всех сайтов — даже для тех, которым защита формально не требуется. Очень много времени было потрачено на то, чтобы убедить пользователей в важности тотального шифрования абсолютно всех коммуникаций; сокращение сроков выдачи сертификатов SSL/TLS, чтобы стимулировать пользователей внедрять автоматические процедуры/скрипты для автопродления сертификатов, чтобы исключить «человеческий фактор» и забывчивость сисадминов, которые забывают менять сертификаты. Но иногда этого недостаточно. К сожалению, автоматические скрипты продления сертификатов тоже могут выйти из строя.

https://habr.com/ru/companies/globalsign/articles/988804/

#tls #сертификат #acme #letsencrypt #шифрование #certbot #acmesh #dns #bazel

Автопродление TLS тоже ломается

Много лет индустрия информационной безопасности старается улучшить стандарты шифрования в сети двумя способами: массовое распространение HTTPS как общего стандарта шифрования для всех сайтов — даже...

Хабр
Show threadClark ShishidoJan 14

We're supposed to trust these issuers on reliable renewals? It'll be a 47-day window soon.
#acme #acmeSH #zerossl

I want reliable infrastructure.

Clark ShishidoDec 21
certificate issuer ZeroSSL is having an outage. acme.sh renewals are failing. #acmeSH #zerossl #certificates
status.zerossl.com shows:
bitshiftDec 6

🚀 New Release: #Ansible collection foundata.acmesh 1.2.1 🎉

🔐 Rootless service user, configurable storage paths
⏱️ Auto certificate renewal via systemd
📦 Pre-seed cert upload to avoid CA rate limits

Project: https://foundata.com/en/projects/ansible-collection-acmesh/

Examples: https://github.com/foundata/ansible-collection-acmesh/tree/main/roles/run#examples

Galaxy: https://galaxy.ansible.com/ui/repo/published/foundata/acmesh/

#acmesh #OpenSource #Automation #DevOps

Ansible collection: foundata.acmesh

Resources to manage and use acme.sh, as shell-based Automatic Certificate Management Environment (ACME) client. It allows the issuance and maintenance of X.509 certificates, commonly used for securing HTTPS/TLS/SSL services on web servers.

foundata
EddOct 25

Decided to turn this Toot (https://mastodon.eddmil.es/@iMeddles/115250286127637292) into a blogpost, with a slightly overly grumpy title. This details why I think acme.sh uses an insecure default, how people using acme.sh should remedy this, and why (despite the title) it's probably not *that* big of a deal:

https://i.am.eddmil.es/posts/acmesh-insecure/

#acme #acmesh #LetsEncrypt

Edd (@[email protected])

TiL that #acmesh, unlike just about any other #acme client I've used, doesn't rotate the private key at renewal by default. And by "TiL" I meant "just had to spend 20 mins reconfiguring a bunch of servers to do it correctly". That'll teach me to read the docs closer and not make assumptions. (I won't learn the lesson of course, but it'll teach me anyway)

Mastodon
EddSep 22
TiL that #acmesh, unlike just about any other #acme client I've used, doesn't rotate the private key at renewal by default. And by "TiL" I meant "just had to spend 20 mins reconfiguring a bunch of servers to do it correctly". That'll teach me to read the docs closer and not make assumptions. (I won't learn the lesson of course, but it'll teach me anyway)
Stefans WeblogMar 29, 2025

Für Home Assistant lässt sich mit dem Add-on Let's Encrypt ein eigenes SSL-Zertifikat erstellen, um die Kommunikation zwischen dem Server und den Clients abzusichern.

https://strobelstefan.de/blog/2025/03/29/home_assistant_-_lets_encrypt_zertifikate_automatisch_erstellen.html

#letsencrypt #acmesh #homeassistant

Home Assistant - Let's Encrypt Zertifikate automatisch erstellen - Stefans Weblog

Home Assistant - Let's Encrypt Zertifikate automatisch erstellen

Stefans WeblogMar 27, 2025

Let's Encrypt stellt die @Benachrichtigung für ablaufende Zertifikate ein.
Ein wunderbarer Grund den ganzen Prozess für die eigenen Systeme mit acme.sh zu automatisieren.

Ein Beispiel: Für die eigene Nextcloud wird von Certbot auf acme.sh gewechselt.

#letsencrypt #acmesh #nextcloud #raspberrypi

https://strobelstefan.de/blog/2025/03/27/nextcloud_und_acmesh_-_automatische_aktualisierung_von_lets_encrypt_zertifikaten.html

Nextcloud und acme.sh - automatische Aktualisierung von Let's Encrypt Zertifikaten - Stefans Weblog

Nextcloud und acme.sh - automatische Aktualisierung von Let's Encrypt Zertifikaten

Show threadHaraldMar 21, 2025

@tootbrute @sbb

In case you are interested how I solved having a publicly signed SSL certificate for a home server not connected to the Internet, here is what I did:

https://codeberg.org/harald/Codeschnipselnotizen/src/branch/main/notes/Public_Cert_In_Home_Network.md

The downside: there seems to be no way without having a registered domain. It took me unnecessary time to accept this. The upside: taking the step to get yourself a domain is simpler and cheaper than I was aware of and with the right tool, the rest was easy enough.

#dns #homeserver #acmesh #letsencrypt

Codeschnipselnotizen/notes/Public_Cert_In_Home_Network.md at main

Codeschnipselnotizen - Code snippets and notes

Forgejo: Beyond coding. We Forge.
DrScripttFeb 2, 2025

I started a discussion with fellow #sysadmin about updating #BIND / #named config to migrate from the overly permissive allow-update {…} stanzas to the more restricted update-policy {…} stanzas using targeted grant statements.

The idea being to allow the #acme client to only be able to update (add / delete) _acme-challenge TXT instead of any record in the zone.

Old:

allow-update {
TSIG_KEY_NAME;
};

New:

update-policy {
grant TSIG_KEY_NAME name _acme-challenge.example.net TXT;
};

#acmesh #certbot