Let's Encrypt Expiry Bot

[pvkan]

Hoi,

Ik heb al sinds de mogelijkheid er is een certificaat van Let's Encrypt op mijn NAS.
Al die tijd wordt om de 3 maanden het certificaat keurig automatisch verlengd.
Gisteren kreeg ik voor het eerst een email van Let's Encrypt Expiry Bot <expiry@letsencrypt.org> met
de mededeling dat binnenkort mijn SSL certificaat verloopt.
Nu klopt dat inderdaad, maar het is voor het eerst dat ik deze email krijg.
Betekent dit dat het verlengen niet langer automatisch verloopt ? Op zich niet zo erg, maar wel jammer.

Er is niets bijzonder gewijzigd aan mijn instellingen en ook poortje 80 staat keurig open tbv Let's Encrypt en Photostation.
Webstation draait ook, hoewel er verder geen website onder zit.

Heb ik hier alleen te maken met een nieuw (communicatie)gedrag van Let's Encrypt en gaat alles nog steeds automatisch of moet ik voortaan toch handmatig maatregelen nemen ?
Wie kent het antwoord ?

Peter

[Briolet]

In het begin hadden ze een bug waardoor ze niet 100% zeker waren dat er geupdate was. Toen stuurden ze voor de zekerheid altijd deze mail. Misschien nu weer, maar dat staat dan op hun website. Of anders op hun forum.

Heb je niet toevallig 10 à 11 week geleden een nieuw certificaat aangemaakt en de oude laten vervallen?

[pvkan]

Nope,

Het verlengen is altijd automatisch gegaan en ik heb niets veranderd aan het certificaat (geen domein wijziging oid).
Ik wacht anders stiekum gewoon even af wat er gebeurd.
Mijn NAS is toch niet publiekelijk toegankelijk dus de enige die mogelijk last krijgt van een vervallen certificaat ben ik zelf.
Dat komt wel goed...

Peter

[Gaffel]

Beste allemaal,
Ook ik heb zo'n bericht gekregen van lets encrypt.
Maar ik zie bij het certificaat dat de datum automatisch verlengd  is, dus ik denk dat dit in principe bij iedereen gebeurd.

Groeten,
Han

[pvkan]

@Gaffel : Mijn certificaat verloopt nog steeds op 2 juni, maar jouw ervaring stelt mij een beetje gerust ;-)

Peter

[Briolet]

Dan wil ik je alsnog ongerust maken. 

Bij mij zijn op 17 mei de certificaten vernieuwd. De oude liepen op 12 juni af. Dus zijn ze een kleine maand voor afloop vernieuwd door de nas. Het is volgens mij steeds zo dat ze 3 maand geldig zijn, maar al na ruim 2 maand vernieuwd worden. Ruim op tijd vernieuwen is ook het advies van let's encrypt zodat je bij storingen met hun server nog tijd hebt voor een nieuwe request.

Wat dat betreft is het jammer dat die request niet gewoon zichtbaar is in de task manager.

[pvkan]

Crap.... en bedankt

Peter

[Gaffel]

Hoi Peter,
Het klopt dat het veranderen van de eind data niet op de laatste dag gebeurt.
Dit gebeurt al weken ervoor zoals briolet beschreef.
Ik zou handmatig nog maar eens een nieuw certificaat aanmaken en dan even afwachten.
Kijk ook nog even of poort 80 geactiveerd staat.
Succes,
Groeten,
Han

[pvkan]

Hoi allemaal,

Ik heb echt geen idee waarom het certicaat niet automatisch verlengd is.
Alle instellingen zijn prima (firewall, portforwarding etc).

Ik heb als laatste redmiddel de volgende handmatige truuk doorgevoerd en dit werkte !
(bewijs dat de instellingen qua portforwarding en firewall in orde zijn).
Dit ook enigzins getriggerd door de opmerking van @Briolet. (request niet zichtbaar in de Taakplanner)

Voor de liefhebbers:
Ik heb een taak aangemaakt in de 'Taakplanner' van de NAS met Root-rechten.


Op het tabblad planning heb ik zomaar wat ingevuld, want ik start aan het einde de taak handmatig.

De taak voert het volgende commando uit (als root): syno-letsencrypt renew-all -vv


Vervolgens heb ik deze taak handmatig gestart ("Uitvoeren" button bovenin bij het taakoverzicht) en klap, boem.... certificaat verlengd.
Daarna de taak gedisabled anders wordt deze meegenomen in de sceduling. Ik heb de taak echter niet weggegooid; je weet nooit ;-)

Ik kan weer vooruit tot 18 augustus. Maar waarom dit handmatig dus gewoon werkt en automatisch niet is mij een raadsel.
Jammer dat de Taakplanner van DSM niet per kwartaal kan afvuren. Dan had ik het scriptje elke 3 maanden zelf automatisch laten starten

Peter

P.S. Dit truukje kan natuurlijk ook middels SSH, maar dit was even simpeler...;-)

[Briolet]

Misschien dat er bij jou, op het cruciale moment van verlenging, even geen internet toegang was. De nas zou het moeten blijven proberen na een mislukking, maar misschien gebeurd dat niet.

Op het Engelse forum vond ik iemand die beweerde dat dit alles in "/var/log/messages" gelogd wordt. Ik heb echter in mijn log gekeken, maar vond daar niets over letsencrypt. Ook niet in de oude log bestanden met de datum van juli vorig jaar.

Ik heb verder gezocht en en zie dat alle taken die gestart worden in de file "/var/log/synocrond-execute.log" gelogd worden. Dus niet de taken via de taakplanner maar de cron jobs. Daarin vind ik wel terug wanneer die update uitgevoerd wordt:

Code: [Selecteer]

05-17 08:42:49 running job: builtin-syno-letsencrypt-syno-letsencrypt: autorenew with command: /usr/syno/sbin/syno-letsencrypt renew-all as user root

Dan kun je in elk geval zien wanneer hij het updaten voor het laatst geprobeerd heeft.

Edit:

De taak zelf vond ik terug in /var/logs/synocrond.log

Mar 24 10:25:02 GedeeldeData synocrond: crondaemon.cpp:279 generated schedule for builtin-syno-letsencrypt-syno-letsencrypt: autorenew:
  {"cmd_list":["/usr/syno/sbin/syno-letsencrypt","renew-all"],"cmd_str":"/usr/syno/sbin/syno-letsencrypt renew-all","config":
    {"assure_execute":0,"cmd":"/usr/syno/sbin/syno-letsencrypt renew-all","expire":3,"expire_action":"skip","name":"builtin-syno-letsencrypt-syno-letsencrypt: autorenew","period":"weekly","user":"root"},"schedule":{"Minute":[13],"day":[-1],"hour":[16],"month":[-1],"week":[6]
    }
  }

Ik ben niet zo thuis in dit soort cron-code, maar ik heb de indruk dat dit wekelijks herhaald wordt. Als het dus mis gaat met de renewal, probeert hij het pas een week later weer. Dit wordt bevestigd door het "synocrond-execute.log" waarin ik zie dat de code elke week uitgevoerd wordt.

[pvkan]

Mmmm,

Misschien ben ik dan wel net iets te ongeduldig geweest en heeft de retry geen kans meer van mij gehad.
(Ik wist niet dat dit 1x per week gebeurde).

Nou ja, we gaan eens kijken wat er in augustus gaat gebeuren ;-)

Peter

[pvkan]

En toch vandaag (na 3 maanden) weer een emailtje van de 'Let's Encrypt Expiry Bot'.
Certificaat verloopt over 18 dagen en weer lijkt het automatisch updaten niet te lukken terwijl aan (de bij mij bekende) voorwaarden wordt voldaan.
Gelukkig heb ik mijn mini-scriptje nog gereed staan zoals ik hierboven een paar posts terug heb beschreven, dus die verlenging komt wel goed.

Maar het blijft vreemd...

Peter

[Phoenix77]

Ook een mailtje van de expiry bot gekregen.

@pvkan: is het bij jou uiteindelijk toch goed gegaan?

[pvkan]

Nope...

Op 17 augustus (1 dag voor de verloopdatum) was er nog niets gebeurd.
Omdat ik geen risico wilde nemen heb ik dus wederom het certificaat handmatig verlengd.

Peter

[Briolet]

Ik heb sinds de introductie op de nas, diverse certificaten gemaakt. De renewal is hier altijd goed gegaan.

Alleen als ik een certificaat weggooi en een nieuwe maak met toegevoegde subdomeinen, komen die herinneringsmailtjes. Dat is omdat ze natuurlijk niet weten dat ik het certificaat bewust niet verleng.

Misschien toch tijd voor een bugmelding.