Ollivier Robert 🇺🇦😷🌈Apr 18, 2017

OK, #startssl, you win.

Just installed acme.sh to replace everything you manage to botch over to get LE certs instead.

(no I didn't need to spend my limited time in this right now)

Oh, thanks for the free certs the last few years but you fscked up, deal with it.
#mylife

Show threadaeris 🏳️‍🌈Apr 18, 2017
@Keltounet StartSSL is revoked from Firefox & Chrome.
https://www.developpez.com/actu/106108/Revocation-des-certificats-WoSign-StartCom-Google-emboite-le-pas-a-Mozilla-et-Apple-et-decide-de-bloquer-ces-certificats-a-partir-de-Chrome-56/
Show threadOllivier Robert 🇺🇦😷🌈Apr 18, 2017
@aeris trust me, I _know_.
Show threadaeris 🏳️‍🌈Apr 18, 2017
@Keltounet
Show threadOllivier Robert 🇺🇦😷🌈Apr 18, 2017
@aeris tu fais quoi au fait ? dns-01 ? webroot ?
Show threadHigorineth c'est pas net

@Keltounet @aeris @Dju

A chaque renouvellement LE,
(via https://zerossl.com/free-ssl/#crt )
Je dois revalider mes domaines.
Je trouve ça étrange car j'ai défini une clé d’authentification (que j'utilise).

C'est un effet secondaire de zerossl.com ou c'est blindé comme cela dans l'API LE ?

Apr 18, 2017 at 5:18pmWeb
Show threadaeris 🏳️‍🌈Apr 18, 2017
@Keltounet @Dju @_Alain_ LE nécessite une revalidation du domaine à chaque renouvellemement. C'est conçu de base comme ça dans ACME voire carrément CA/B.
Le possesseur du domaine a potentiellement changé depuis la dernière émission, tu dois donc à nouveau prouver que c'est bien à toi.
Show threadHigorineth c'est pas netApr 18, 2017
@aeris @Keltounet @Dju
Donc la clé RSA d'authentification sert ... a rien ...
à part me donner de faux espoirs
Show threadaeris 🏳️‍🌈Apr 18, 2017
@Keltounet @Dju @_Alain_ La clef RSA permet justement de dire que c'est la même personne. Pour la révocation par exemple. Elle ne prouve pas la possession du domaine.
Show threadHigorineth c'est pas netApr 18, 2017

@aeris @Keltounet @Dju

Je ne m'étais pas posé la question de la révocation, en effet.

Show threadHigorineth c'est pas netApr 26, 2017

@aeris

Juste pour ton info, si besoin.
Je viens de renouveler mes domaines.
J'ai commencé par le faire via l'interface web.

Puis je me suis intéressé à leur outils ligne de commande, et j'en ai profité pour tenter de faire plusieurs de mes domaines dans un seul csr, pour avoir un certificat multi domaines.

A ma grande surprise, je n'ai pas eu besoin de revalider les domaines. La clé permet bien de mémoriser les domaines validés ( sur une courte durée je pense).

Show threadHigorineth c'est pas netApr 18, 2017

@aeris @Keltounet @Dju

et petit truc pour la validation par DNS : penser à supprimer les enregistrements du renouvellements précédents quelques jours AVANT.
La propagation des nouveaux enregistrements est beaucoup plus rapide que la modification d'existants (on passe à travers la TTL des caches je suppose)

Show threadJulien 🐧Apr 18, 2017
@_Alain_ @aeris @Keltounet bien vrai. ou on modifier le TTL en le diminuant fortement :p
Show threadHigorineth c'est pas netApr 18, 2017

@Dju @aeris @Keltounet

dans les deux cas c'est à préparer un peu avant ;-)