Ervaring met automatisch vernieuwe letsencrypt

Vaak genoeg ingesteld, gaat altijd prima.
Overigens wel altijd een sensor in de monitoringsoftware op de geldigheidsduur van het certificaat, maar nog nooit nodig gehad...

DragonChaser schreef op dinsdag 25 februari 2020 @ 11:04:
[...]


Gaat dit ook goed bij grootschalige klanten? bijv. 10k users?. Hoeveel jaar gaat het al probleemloos?.

Wat hebben de aantal gebruikers te maken met het vernieuwen van certificaten? Wellicht is context hier wat handig.

DragonChaser schreef op maandag 24 februari 2020 @ 15:29:
Ben een beetje bang om dit bij klanten te doen, vandaar dat ik naar jullie ervaring vraag.

Stappenplan

* laat je certificate x dagen vantevoren automatisch verversen
* maak een monitoring-script (bv in je nagios oid) die checkt of al je certificaten langer dan x-1 geldig zijn
* zet het aan.
* leun achterover zolang het goed gaat: je krijgt automatisch een ping als het niet goed ging, en dan heb je nog x-1 dagen om het handmatig te fixen

Hier werkt het prima, zijn stapels scriptjes en programma's die het automagisch voor je kunnen doen, wacs.exe voor windows servers en stapels andere unix server oplossingen bijvoorbeeld: https://certbot.eff.org/

[ Voor 11% gewijzigd door ImNotnoa op 25-02-2020 11:23 ]

DragonChaser schreef op dinsdag 25 februari 2020 @ 11:13:
[...]


Impact analysis, voor kleinere klanten zouden we het wel kunnen overwegen maar als een systeem met 10k gebruikers problemen ondervind dan is dat een totaal andere koek. Wat ik lees over het algemeen op het internet, is dat de letsencrypt oplossing min of meer bedoeld is voor eigen apliccaties/small businesses.

maar hoe hoog is je impact, als je een x-aantal dagen(bijv. 5) voor het verlopen de automatische renewal laat lopen, en vervolgens je monitoring instelt dat ie een error geeft als een certificaat een geldigheid van minder dag x dagen heeft? Dan heb je toch nog x dagen om je probleem op te lossen?

DragonChaser schreef op dinsdag 25 februari 2020 @ 11:25:
Bedankt voor alle reacties iedereen, final question: zijn jullie klanten tegen gekomen die specifiek een letsencrypt certificaat wouden weigeren omdat het onproffesioneel lijkt tov de buitenwereld?.

Over het algemeen hebben mijn/onze klanten geen verstand van SSL-certificaten, daarom laten ze het aan ons over(MSP).

[ Voor 22% gewijzigd door Schumaster op 25-02-2020 11:28 ]

Ik ben wel geïnteresseerd in Nagios voorbeelden om geldigheid te monitoren. Heeft iemand die?

Schumaster schreef op dinsdag 25 februari 2020 @ 11:27:
[...]

maar hoe hoog is je impact, als je een x-aantal dagen(bijv. 5) voor het verlopen de automatische renewal laat lopen, en vervolgens je monitoring instelt dat ie een error geeft als een certificaat een geldigheid van minder dag x dagen heeft? Dan heb je toch nog x dagen om je probleem op te lossen?


[...]

5 dagen is wat te kort, het kan ook komen door een externe factor, DNS niet bereikbaar oid. Neem minimaal 14 dagen dan heb je net wat meer tijd om alles uit te zoeken.

[ Voor 76% gewijzigd door pennywiser op 25-02-2020 11:29 ]

DragonChaser schreef op dinsdag 25 februari 2020 @ 11:25:
Bedankt voor alle reacties iedereen, final question: zijn jullie klanten tegen gekomen die specifiek een letsencrypt certificaat wouden weigeren omdat het onproffesioneel lijkt tov de buitenwereld?.

Heel veel webhosters die gratis SSL aanbieden maken gebruik van certbot, op dit moment heeft 38% van de top zoveel websites een LetsEncrypt cert.*

32% in NL https://trends.builtwith....ority/country/Netherlands

Ik denk dat 95% van je klanten het geen bal uit maakt waar het certificaat vandaan komt, de andere 5% kun je vast prima overtuigen dat een LetsEncrypt cert net zo veilig is (of zelfs veiliger is omdat ze elke 90 dagen ververst worden ipv jaarlijks)

Bron: https://trends.builtwith.com/ssl/LetsEncrypt

pennywiser schreef op dinsdag 25 februari 2020 @ 11:28:
Ik ben wel geïnteresseerd in Nagios voorbeelden om geldigheid te monitoren. Heeft iemand die?

https://gist.github.com/cgmartin/49cd0aefe836932cdc96

[ Voor 29% gewijzigd door ImNotnoa op 25-02-2020 11:33 ]

pennywiser schreef op dinsdag 25 februari 2020 @ 11:28:
Ik ben wel geïnteresseerd in Nagios voorbeelden om geldigheid te monitoren. Heeft iemand die?

Google heeft je antwoord

[ Voor 7% gewijzigd door Schumaster op 25-02-2020 11:30 ]

Let's Encrypt certificaten zijn 3 maanden geldig. Zorg dat ze elke 2 maanden vernieuwd worden en je zit helemaal goed (2 maanden is volgens mij zelfs een advies van Let's Encrypt) Mijn websites draaien al zeker een jaar zonder problemen met een automatische vernieuwing per 2 maanden.

Monitoring instellen op -25 dagen geeft je ruim voldoende tijd.

DragonChaser schreef op dinsdag 25 februari 2020 @ 12:25:
Top bedankt iedereen, voor compleetheid is het ook wijs om onderstaande door te nemen. We gaan dus niet alles overzetten op letsencrypt maar een gedeelte.

https://aboutssl.org/free-ssl-vs-paid-ssl-certificate/

Ik ben op zich wel benieuwd welke diensten je dan niet wil voorzien van Let's Encrypt en waarom.

Alles valt uiteraard te automatiseren, ongeacht het gaat over LE certificaten of een betaalde variant. Zeker wanneer andere browsers het voorbeeld van Safari gaan volgen (nieuws: Apple-browsers gaan tls-certificaten weigeren die meer dan een jaar g...) is het zeker te overwegen om dit te automatiseren.'Even installeren en 2 / 3 jaar niet meer naar omkijken' is er dan niet meer bij.

[ Voor 4% gewijzigd door Ezechiel op 25-02-2020 13:00 ]

DragonChaser schreef op dinsdag 25 februari 2020 @ 11:13:
[...]


Impact analysis, voor kleinere klanten zouden we het wel kunnen overwegen maar als een systeem met 10k gebruikers problemen ondervind dan is dat een totaal andere koek. Wat ik lees over het algemeen op het internet, is dat de letsencrypt oplossing min of meer bedoeld is voor eigen apliccaties/small businesses.

Sorry maar een verschil tussen "grote" en "kleine" klanten maken w.b.t. het (merk) certificaat, dat lijkt me echt bullshit.

Let's encrypt certificaten zijn DV certificaten, en gewoon prima bruikbaar in alle situaties waar je met een DV-cert afkunt. Wil je (of je klant) een EV certificaat, dan moet je inderdaad een andere leverancier gebruiken. EV heeft zeker zijn nut (OV ook, maar beprekt gezien het minieme onderscheid browsers maken tov DV) maar de afweging of je dat nodig hebt hangt niet bepaald af van hoe groot je bent.

Verder lees ik tussen de regels door een beetje dat je al Let's encrypt gebruikt, maar het vernieuwingsproces niet geautomatiseerd hebt? Dat is wat mij betreft gewoon een rare keuze. De kans dat je een keer een certificaat vergeet te verlengen is oneindig veel groter zolang hier een menselijke tussenstap in zit.

[ Voor 7% gewijzigd door mcDavid op 25-02-2020 13:11 ]

DragonChaser schreef op maandag 24 februari 2020 @ 15:29:
letsencrypt is niet beschikbaar en de server probeert te vernieuwen.

Dan moet Let's Encrypt al 30 dagen onbereikbaar zijn; dan is er meer aan de hand

Als je de handleiding volgt dan draait er iedere 12 uur een renewal job, die 30 dagen voor het verlopen je cert vernieuwt. Als dat 60x fout gaat dan is de kans dat dit aan LE ligt erg klein.

DragonChaser schreef op dinsdag 25 februari 2020 @ 12:25:
Top bedankt iedereen, voor compleetheid is het ook wijs om onderstaande door te nemen. We gaan dus niet alles overzetten op letsencrypt maar een gedeelte.

https://aboutssl.org/free-ssl-vs-paid-ssl-certificate/

Die pagina staat vol met onzin die alleen maar bedoeld is om jou meer geld te laten betalen voor iets wat niets hoeft te kosten.

Hoe vaak denk je dat bezoekers van je sites kijken naar het certificaat wat je server stuurt? Nul keer per jaar. Het gebeurt gewoon niet. Zelfs ik doe 't niet. Als de verificatie van de browser OK is vindt iedereen het prima.

Overigens aangaande je vraag over sites met veel users: tweakers.net gebruikt Let's Encrypt.

Vanuit technisch oogpunt is er geen enkel verschil tussen een duur betaald EV certificaat en een gratis LE certificaat. En voor je bezoekers ook niet.

mcDavid schreef op dinsdag 25 februari 2020 @ 13:09:
[...]

EV heeft zeker zijn nut (OV ook, maar beprekt gezien het minieme onderscheid browsers maken tov DV) maar de afweging of je dat nodig hebt hangt niet bepaald af van hoe groot je bent.

EV heeft nul nut meer. De meeste browsers laten niet eens meer zien dat je een EV cert gebruikt of slechts zeer minimaal (groen ipv grijs slot). Ook dit is iets waar je bezoekers op geen enkele manier op letten. De meeste grote sites gebruiken derhalve ook geen EV certs meer.

[ Voor 31% gewijzigd door CyBeR op 26-02-2020 12:42 ]

Wat ik een klein beetje in de hele discussie mis, en wat toch echt een zeer belangrijk verschil tussen LetsEncrypt en betaalde certs is, is dat je niet meer verzekerd bent. De technische invulling is bij LetsEncrypt certs prima op orde, en voor heel veel doeleinden is het ook geen enkel bezwaar om dat toe te passen, maar niet overal.

Een cert van bijvoorbeeld Sectigo of thawte kan, indien er misbruik plaatsvind, aanzienlijke bedragen uitkeren, en grotendeels daarop is ook de prijs van het cert bepaald. Zo keert Thawte tot max $500000 uit en is dat bij Sectigo tot $10000
Voor een simpele domeinvalidatie op een informatieve website is dat wat overdreven. Voor (hele) grote webshops, banken of ander betalingsverkeer is dat toch een heel ander verhaal en ben je blij als er toch een bepaalde mate van garantie wordt afgegeven op de dienstverlening.

kroegtijger schreef op vrijdag 28 februari 2020 @ 15:53:
Wat ik een klein beetje in de hele discussie mis, en wat toch echt een zeer belangrijk verschil tussen LetsEncrypt en betaalde certs is, is dat je niet meer verzekerd bent.

Zou je voor mij een voorbeeld willen opzoeken van iemand die zo'n verzekering daadwerkelijk uitgekeerd gekregen heeft heeft? Of zelfs wat 't precies dekt?

Ga je 't moeilijk mee krijgen…

CyBeR schreef op vrijdag 28 februari 2020 @ 16:41:
[...]


Zou je voor mij een voorbeeld willen opzoeken van iemand die zo'n verzekering daadwerkelijk uitgekeerd gekregen heeft heeft? Of zelfs wat 't precies dekt?

Ga je 't moeilijk mee krijgen…

Valt wel mee, gewoon even opzoeken natuurlijk...
De dekking en voorwaarden van een aantal aanbieders op een rijtje:
https://www.sslcertificat...ntie_bij_SSL_certificaten

En qua uitkeren? Wel eens van Diginotar gehoord? Da's een fraai voorbeeld van hoe het mis kan lopen en je aanspraak op een uitkering kan maken.
https://www.ad.nl/tv-en-r...o-bij-diginotar~af60e85a/

Dat gaat dus aanzienlijk eenvoudiger bij een betaalde leverancier dan bij LetsEncrypt

kroegtijger schreef op vrijdag 28 februari 2020 @ 17:27:
En qua uitkeren? Wel eens van Diginotar gehoord? Da's een fraai voorbeeld van hoe het mis kan lopen en je aanspraak op een uitkering kan maken.

Van een failliet bedrijf? Succes

Los daarvan staat die claim los van enige garantie die het bedrijf bood, een claim neerleggen kan altijd. Ook bij Let's Encrypt. De vraag is of je een rechter zo ver krijgt er in mee te gaan, en of je meer geld hebt om advocaten te betalen dan de tegenpartij.

Paul schreef op vrijdag 28 februari 2020 @ 17:40:
[...]
Van een failliet bedrijf? Succes

De hack bij Diginotar was in Juni 2011. Het faillisement was in September 2011. Je had dus 3 maanden de tijd om het bij een bedrijf in te dienen die niet failliet was. Daarbij kan je dat ook bij faillisement natuurlijk nog altijd doen, alleen is het dan de curator die gaat kijken of je uberhaupt nog in aanmerking komt voor uitkering. Je gaat gewoon op de stapel bij de andere schuld-eisers.

Los daarvan staat die claim los van enige garantie die het bedrijf bood, een claim neerleggen kan altijd. Ook bij Let's Encrypt. De vraag is of je een rechter zo ver krijgt er in mee te gaan, en of je meer geld hebt om advocaten te betalen dan de tegenpartij.

Lees even goed de voorwaarden wat er aan het cert hangt. Als er een onbevoegde uitgave van het certificaat is, kan je aanspraak maken. Dat is precies wat er hier het geval was. Je "koopt" dus als het ware de garantie dat als iemand connectie maakt naar <domeinnaam.tld>, dat hij ook contact maakt met de server die daarvoor bedoeld is, en niet stiekem met een heel andere server verbinding maakt (over het algemeen dus een server van onbevoegden).
Bij het afnemen van een dergelijke gratis dienst is het aanzienlijk veel moeilijker om een dergelijke aansprakelijkheid tot stand te brengen. Voor (vanaf) €8,- per jaar koop je daarmee dus een hele hoop zekerheid in dat opzicht. Zet het maar eens af tegen wat je anders aan uren erin moet steken mocht het ooit zover komen.
En ja, natuurlijk is dat allemaal heel sterk afhankelijk van wat je wil beveiligen en of het daarmee de moeite is. Vaak dat zodra het betalingsverkeer betreft (webshops bijvoorbeeld) het al snel richting betaalde oplossingen gaat, puur om risico's te minimaliseren.

kroegtijger schreef op vrijdag 28 februari 2020 @ 17:27:
[...]

Valt wel mee, gewoon even opzoeken natuurlijk...
De dekking en voorwaarden van een aantal aanbieders op een rijtje:
https://www.sslcertificat...ntie_bij_SSL_certificaten

De leverancier van een certificaat garandeert dat het certificaat niet kan worden aangevraagd door een onbevoegde partij. Dit kunnen we garanderen omdat allerlei controles uit worden gevoerd. Mocht het toch zo zijn dat bovenstaand voorbeeld zich voor doet, dan wordt het genoemde bedrag vergoed aan de partij die schade heeft geleden.

Ok, maar daarvoor hoef je dus geen klant te zijn bij die toko.

DragonChaser schreef op maandag 24 februari 2020 @ 15:29:
Goedendag, ik ben onlangs geinformeerd dat je gratis letsencrypt SSL automatisch kan laten vernieuwen middels een cronjob. Nu is dit interessant voor mij omdat ik circa 100 certificaten per jaar vervang.

Na overleg met collega's vind ik het inderdaad riskant om nu meteen over te gaan. Ik vroeg me af naar jullie ervaringen? werkt dit vlekkeloos, kan ik problemen verwachten zoals bijv. letsencrypt is niet beschikbaar en de server probeert te vernieuwen.

Ben een beetje bang om dit bij klanten te doen, vandaar dat ik naar jullie ervaring vraag.

Mensen maken ook fouten, dat is geen garantie voor kwaliteit. Als je het goed regelt zou de computer het beter moeten doen dan je zelf met de hand kan doen. De computer zal braaf iedere procedure volgen, hoe omslachtig en saai ook. De computer heeft nooit vakantie en heeft nooit hoofdpijn.

De oplossing die je toch al nodig hebt heet monitoring. Je moet op een of andere manier automatisch controleren of alle certs nog goed zijn en tijdig voor vervanging zorgen, zeker als je er zo veel hebt.

Wist je trouwens dat Safari binnenkort (september) alleen nog (nieuwe) certificaten accepteert die minder dan een jaar geldig zijn? Dat hebben ze niet zelf bedacht maar is een afspraak tussen certificaatboeren en browsers, de rest zal het dus ook gaan doen. Waarschijnlijk gaan we daarna naar een nog kortere geldigheid toe. Zo wordt het verschil tussen LE en de traditionele leveranciers steeds kleiner.

Het automatiseren van SSL/TLS wordt ook steeds belangrijker. Tegenwoordig doen we steeds meer met de cloud en CDNs waardoor van minuut tot minuut kan veranderen welke systemen voor je werken. Daarvoor wil je kort geldige certificaten hebben die je snel kan aanvragen en die snel weer verlopen als ze zouden lekken.

kroegtijger schreef op vrijdag 28 februari 2020 @ 15:53:
Een cert van bijvoorbeeld Sectigo of thawte kan, indien er misbruik plaatsvind, aanzienlijke bedragen uitkeren, en grotendeels daarop is ook de prijs van het cert bepaald. Zo keert Thawte tot max $500000 uit en is dat bij Sectigo tot $10000

Ik heb nog nooit gehoord van iemand die daar gebruik van heeft gemaakt. Ik vermoed dat het stukje dat ze ook niet meer verzekeren dan hun eigen handelen en dat zou niet nodig moeten zijn. Als ze hun kerntaken niet goed en veilig volbrengen volgens contract dan kun je ze voor de rechter slepen wegens contractbreuk.

@CAPSLOCK2000 Amen!

Nu snap ik het dilemma van TS wel hoor. Veel mensen maken er een potje van en snappen totaal niet waar ze het over hebben. Ook niet gek als hosters dit soort bangmakerij (en onjuiste info) zelfs in nieuwsbrieven sturen: https://www.yourhosting.n...-betaald-ssl-certificaat/

Heb het nu draaien op 5 web sites van kleine MKB klanten met automatische vernieuwing, enige keer dat het down ging was toen er een andere api versie kwam. Nu al zo een 3 jaar stabiel. Verder draaien op 2 Exchange 2016 omgevingen. Ook geen downtime. Verder op een IIS omgeving. Op SharePoint nog niet getest..

Kortom, voldoet perfect en je hebt er geen omkijken naar.

en dat verhaal van Yourhosting is een lulverhaal. Persoonlijk vind ik de professionele uitstraling van Lets Encrypt veel hoger, omdat dit een zekere expertise vereist om het in te richten.

[ Voor 20% gewijzigd door Wim-Bart op 12-03-2020 01:49 ]