Rainer "friendica" Sokoll

Großes Kino mit #DNS und #LetsEncrypt

Mein Wildcard-Zertifikat für *.sokoll.com war ausgelaufen. Nun wird das aber seit Ewigkeiten automatisch erneuert mit dehydrated, nur diesmal nicht. dehydrated läuft auf einem anderen Rechner als der Nameserver.
Damit das funktioniert, hat dehydrated einen Hook, der via nsupdate den TXT-RR, den LE sehen möchte, in die Zone _acme-challenge.sokoll.com schreibt. Diese muß dynamisch sein, sonst funktioniert das nicht. Dymaisch heißt, es wird nicht in das Zonenfile geschrieben (ich verwende bind mit flat files), sondern in das Journal, also nach _acme-challenge.sokoll.com.jnl (weil das Zonenfile _acme-challenge.sokoll.com heißt)
Dazu muß aber der User named Schreibrechte auf das Verzeichnis haben. Nach einem Opensuse-update gehörte das aber auf einmal root bei mir. Und damit fiel dann die gesamte Orchestrierung in sich zusammen, und es gab kein neues Zertifikat.
Das Debugging hat dann etwas gedauert. Zum Glück hatte ich auf die Staging-URL bei LE umgestellt, sonst wäre ich ins Rate Limiting gelaufen und hätte warten müssen.

Denke über Selbstenterbung nach.

Jun 3 at 6:56amWeb
Show threadDavid Sardari16h ago

@rainer ugh, hoffentlich kommt dies bald: https://letsencrypt.org/2026/02/18/dns-persist-01

Noch ist die RFC nicht verabschiedet.

DNS-PERSIST-01: A New Model for DNS-based Challenge Validation

When you request a certificate from Let’s Encrypt, our servers validate that you control the hostnames in that certificate using ACME challenges. For subscribers who need wildcard certificates or who prefer not to expose infrastructure to the public Internet, the DNS-01 challenge type has long been the only choice. DNS-01 works well. It is widely supported and battle-tested, but it comes with operational costs: DNS propagation delays, recurring DNS updates at renewal time, and automation that often requires distributing DNS credentials throughout your infrastructure.