ACME-Methode für Let's Encrypt-Zertifiate, welche alle Subdomains abdecken? [Gelöst]

Debian macht sich hervorragend als Web- und Mailserver. Schau auch in den " Tipps und Tricks"-Bereich.
Antworten
jmar83
Beiträge: 962
Registriert: 20.06.2013 20:20:15
Wohnort: CH
Kontaktdaten:

ACME-Methode für Let's Encrypt-Zertifiate, welche alle Subdomains abdecken? [Gelöst]

Beitrag von jmar83 » 24.05.2022 02:21:35

Hallo zusammen

Ist zwar nicht direkt ne Linux-Frage, aber evtl. weiss das jemand von euch?

Wieso muss ich, wenn der Let's Encrypt Bot nach x Monaten das Zertifikat neu anfordert, ständig den _acme.domain.com-DNS-TXT-Record wieder neu von Hand in der DNS-Konfig der entsprechenden Domain eintragen?

KERNFRAGE: Wieso kann dieser nicht einfach immer der Selbe sein...? Wenn ich z.B. bei Google Seiten eintrage (ich weiss, ist ein anderes Thema, aber letztendlich geht's auch um Verifikation), muss ich ja auch nicht ständig wenn sich das ändert das statische Google HTML-Verifikations-File ODER die ensprechenden Meta-Tags ändern?

Wieso kann der _acme.domain.com-DNS-TXT-Record nicht einfach auf ewig der Selbe bleiben? Finde das ein wenig mühsam (aktuell verwende ich Plesk) - es würde aber (theoretisch zumindest) Möglichkeiten geben den _acme.domain.com-DNS-TXT-Record automaisch per API (falls der DNS-Anbieter das unterstützt, was bei dns.he.net der Fall wäre) upzudaten BEVOR das Wildcard-Zertifikat neu ausgestellt wird.

Besten Dank für eure Feedbacks! :-)
Zuletzt geändert von jmar83 am 24.05.2022 10:27:12, insgesamt 1-mal geändert.
Freundliche Grüsse, Jan

Benutzeravatar
oln
Beiträge: 483
Registriert: 05.01.2021 09:41:24

Re: ACME-Methode für Let's Encrypt-Zertifiate, welche alle Subdomains abdecken?

Beitrag von oln » 24.05.2022 07:23:52

Moin,
die Frage warum das so sein muss ist denke mal klar. Ein Zertifikat ist halt etwas um zu zertifizieren. Und da sollte man sich schon vergewissern ob die Domain noch in der Hand des Antragstellers ist.
Ob dein DNS-Anbieter von z.B. Certbot unterstützt wird, kannst du hier nachlesen.
Wenn du deine Domain nicht zu einem der Anbieter umziehen kannst/möchtest, dann bleit noch der Weg mit challenge-alias und einer weiteren Domain(so habe ich das) und acme.sh. Der Bot kann das. Ich weiß nicht ob der Certbot das vielleicht auch schon kann.
Gruß Ole
AbuseIPDB

jmar83
Beiträge: 962
Registriert: 20.06.2013 20:20:15
Wohnort: CH
Kontaktdaten:

Re: ACME-Methode für Let's Encrypt-Zertifiate, welche alle Subdomains abdecken?

Beitrag von jmar83 » 24.05.2022 10:03:37

Aber bei Google muss ich ja z.B. auch nicht jedes mal das stat HTML-Verfikationsfile ODER die Meta-Tags ODER den DNS-TXT-Record ändern...

Einmal ein solches Token abzulegen wäre sicher genug und somit sinnvoller? *

Oder, anders formuliert: Wo liegt mein Denkfehler *, wenn ich dies so sehe...?
Freundliche Grüsse, Jan

Benutzeravatar
oln
Beiträge: 483
Registriert: 05.01.2021 09:41:24

Re: ACME-Methode für Let's Encrypt-Zertifiate, welche alle Subdomains abdecken?

Beitrag von oln » 24.05.2022 10:20:13

Es geht um den Stellenwert den ein Zertifikat hat. Wenn dir jemand die Google identität klaut, dann logt er deinen Trafic. Wenn dir aber jemand die Zertifikatsidentität klaut ist das schon gravierender. Der könnte Unterzertifikate erstellen oder in deinem Namen etwas signieren usw.
Gruß Ole
AbuseIPDB

jmar83
Beiträge: 962
Registriert: 20.06.2013 20:20:15
Wohnort: CH
Kontaktdaten:

Re: ACME-Methode für Let's Encrypt-Zertifiate, welche alle Subdomains abdecken?

Beitrag von jmar83 » 24.05.2022 10:27:01

Vielen Dank für die Klarstellung!! :THX: :THX: :THX:
Freundliche Grüsse, Jan

Antworten