Let's Encrypt Expire Bot

[dirklammers]

Ik heb een vraag aan jullie.
Mijn Drive-server is via een eigen domeinnaam bereikbaar zodat (een beperkte groep) mensen hierop kan inloggen om documenten te delen.
Al ruim een jaar is er voor dat domein een Let's Encrypt certificaat werkzaam, zodat HTTPS-verbindingen tot stand komen. Ik heb dat nooit gecontroleerd, maar ik neem aan dat dit certificaat steeds automatisch werd verlengd.

Vorige week kreeg ik een mailtje van de Let's Encrypt Expire Bot, dat op 13 september a.s. het certificaat verloopt. Vreemd, nog nooit zo'n mailtje gekregen.
Als ik probeer het certificaat handmatig ter verlengen, dan mislukt dat met een opmerking dat poort 80 of 443 naar de NAS moet verwijzen.
Nou dat is geregeld, want er is 1) nooit iets veranderd de laatste tijd en 2) ik kan via DS-Photo nog steeds (extern) foto's uploaden via poort 80.

Ook in de firewall zijn geen instellingen gewijzigd.

Wat zou er aan de hand kunnen zijn ??

Groet, Dirk

[Birdy]

Probeer het eens met poort 443 en/of lees Ik kan het Let's Encrypt -certificaat niet registreren of verlengen. Wat kan ik doen?

[dirklammers]

Dank voor je snelle reactie Birdy. Ik heb de tests in de door jou aangegeven pagina uitgevoerd en alles is oké. Daar zal dus het probleem niet zitten.
Maar ik snap niet wat je bedoelt met

Probeer het eens met poort 443

Hoe kan ik beïnvloeden welke poort gebruikt wordt  als ik vanuit DSM gewoon om een verlenging van het certificaat vraag ?

Groet,

Dirk

[Babylonia]

In de door @Birdy aangehaalde helpfile heeft men het alleen over poort 80.
Neem aan dat die voor de verlenging van het Let's Encrypt certificaat voldoende zou moeten zijn.

Omdat een Let's Encrypt certificaat maar 3 maanden geldig is, kan men misschien bij een "te lange periode" voorafgaand,
meer dan 14 dagen??  mogelijk nog geen nieuw certificaat aanvragen??   Misschien een week speling nemen?

[dirklammers]

Ik heb ook eigenlijk geen reden om het certificaat te verlengen, want dat zal in het verleden altijd wel automatisch zijn gegaan. Na elke drie maanden dus. Maar ik werd getriggerd door het mailtje van de expire bot. Krijg ik anders nooit. Vandaar dat ik dacht om het certificaat gewoon eens handmatig te verlengen ....

We wachten wel af wat er 13 september gaat gebeuren. (Tijdelijk) geen HTTPS is ook geen ramp voor ons gebruik.

Groet,  Dirk

[Briolet]

Na elke drie maanden dus

Eigenlijk na elke 2 maand omdat de verlenging al een maand voor het aflopen begint.  Elke week wordt een script gestart die kijkt welke certificaten een update nodig hebben. Gaat dat 2 x mis dan zit je al twee week verder en komen de waarschuwingen van Let's Encrypt zelf.

Of poort 443 mogelijk is, weet ik eigenlijk niet. De handleiding was op dit punt vaak fout/onduidelijk.  Vroeger was het alleen poort 80. Later kon het ook met poort 443. (Te testen door te verlengen met poort 80 dicht).
Weer later kon het niet meer met poort 443, terwijl dit nog wel in de handleiding stond.

Bij mijn laatste test werkte 443 dus niet meer, maar dit kan nu al weer anders zijn. Gewoon via poorr 80 verlengen moet altijd goed zijn.

[André PE1PQX]

In de door @Birdy aangehaalde helpfile heeft men het alleen over poort 80.
Neem aan dat die voor de verlenging van het Let's Encrypt certificaat voldoende zou moeten zijn.

Dat zou je denken, echter moet 443 ook open staan naar de USA omdat je anders de certificering niet voor elkaar krijgt.
Om een SSL (dus HTTPS) te kunnen gebruiken moet je ook poort 443 open hebben, anders werkt het gewoon niet.

Voor zover ik kan nagaan worden de certificaten door Let's Encrypt in de USA gegenereerd of gechecked, en daar is ook weer poort 443 voor nodig.
(Proefondervindelijk vastgesteld een tijd terug....)

[Babylonia]

Zo verwonderlijk is het niet.  Alle twee heb je nodig - poort 80  en  poort 443
Het zijn aan elkaar gelieerde poorten voor gebruik van een website.
Men laat een onbeveiligde connectie (poort 80 - http) omleiden naar een beveiligde verbinding via poort 443 (https).

Voor de "vernieuwing" van het SSL certificaat heb je (volgens info) poort 80 nodig.
Voor het gebruik van het certificaat zelf en de controle erop of het functioneert uiteraard poort 443,
want daar staat die SSL certificering voor.  Gebruik van een versleutelde verbinding via https.

[dirklammers]

Hall allen,

ik blijf elke 3 maanden tobben met de vernieuwing van het certificaat. Als ik de firewall uit zet en handmatig vernieuw gaat het goed.
Daar zit het dus ergens .....
Maar volgens mij staat alles in de firewall goed. Ik heb althans de poorten 80 EN 443 open staan ook voor USA. Zie bijgaande schermafdruk.
Wie weet raad ?

Groet, Dirk

[Briolet]

Let's Encrypt wil niet garanderen dat ze altijd vanaf hetzelfde IP werken.  Voor hetzelfde geld doen ze de controle vanuit een server in zuid-Afrika of Spanje, om maar een dwarsstraat te noemen.

[Briolet]

Toch even gechecked door een van mijn certificaten te vernieuwen en kijken wat Darkstat aangeeft

Er vind verkeer plaats met het IP 172.65.32.248. Op dat IP is een certificaat geïnstalleerd op naam van "acme-v02.api.letsencrypt.org".  Dan lijkt het me dit IP te zijn waarover de vernieuwing geïnitieerd wordt. En dat IP zit in de VS.

Een seconde later was er verbinding met 35.85.24.17.  (ec2-35-85-24-17.us-west-2.compute.amazonaws.com) via poort 443. Ik denk dat dit dan het IP voor de controle is. En dit is ook de VS. 



Ander verkeer zie ik niet en het certificaat is wel vernieuwd. 

Overigens duurt het vernieuwen bij mij wel een minuut en dan krijg ik de melding dat het vernieuwen mislukt is. Maar, het nieuwe certificaat staat er dan wel. De foutmelding is dus onterecht.

[Birdy]

Let's Encrypt loopt via Amazon.com ?

[dirklammers]

Moet ik dan poort 80/443 voor meer landen open zetten of helemaal geen landen-beperking instellen ? Is dat niet riskant 

Groet, Dirk

[Briolet]

Als het met de firewall uit wel goed gaat, zou ik eerst proberen of firewall aan met port 80/443 voor alle landen ook goed gaat. Dan weet je welk deel van de firewall dit blokkeert.

@Birdy, Dat is de enige conclusie die ik kan trekken omdat dit het enige IP was dat binnen kwam tijdens de certificaat vernieuwing. Maar het kan ook toeval zijn.

Hier werkt de vernieuwing eigenlijk niet goed. Ik heb meerdere Let's Encrypt certificaten. Ik heb net 1 vernieuwd, maar er kwam geen nieuw certificaat.  Daarna heb ik een ander proberen te vernieuwen en daar kwam ook geen nieuwe. Maar na de tweede poging was er wel een ander certificaat vernieuwd, welke ik niet geselecteerd had voor vernieuwing. Lekker duidelijk allemaal, maar niet heus. 

Ik dacht wel onthouden te hebben dat de opdracht tor vernieuwing genegeerd wordt als hij nog 4 week geldig is, maar al mijn certificaten hadden dezelfde geldigheid. Maar goed, dat Amazon IP kwam niet meer terug. Misschien dan toch toeval.

[dirklammers]

Als ik voor alle landen poort 80/443 toegankelijk maakt krijg ik inderdaad (handmatig) een nieuw certificaat.
Kennelijk is VS open zetten dus niet genoeg.
Is het openzetten van poort 80/443 voor "alle landen" een risico ?

Groet,

Dirk