Certificates toegekend aan verkeerd domain.

[HansA]

Ik heb voor mij wat ongrijpbare problemen met Let's Encrypt certificates. In het verleden, onder 6.x, ging het goed. En op enig moment is het fout gelopen. Het precieze moment kan ik niet helemaal aanwijzen, omdat de verlenging van de certificaten eigenlijk altijd vanzelf goed gaat, ik een poosje geleden naar DSM 7.1 ben gegaan en ik de websites maar af en toe bezoek.

Het symptoom is dat ik voor een website, zeg "www.xyz.nl", het certificate van Synology terugkrijg en niet het certifcate dat ik voor dat domain het gegenereerd. Dat expliciete "xyz.nl" certificate is wel te zien in de controlpanel/security/certificate pagina, maar bij "for" staat dan inderdaad niks. De "www.xyz.nl" staat daarentegen inderdaad in het "for" lijstje bij het Synology certificate. Dat lijkt me fout en zal wel de reden zijn dat die geretourneerd wordt i.p.v. het beoogde certificate.

Enig experimenteren laat zien dat WebStation bij het manipuleren van de "virtual hosts" nogal gretig is met het toekennen van zo'n virtual host aan dat "for" lijstje bij het Synology certificate. Daar zal het dus wel een keer gebeurd zijn toen ik een poos geleden wat experimenteerde met verschillende back-ends of zoiets. Maar da's dus niet de bedoeling. Als ik een website maak en er een virtual host voor aanmaak of edit waarvoor een expliciet eigen certificate is, wil ik dat 'ie daar bij blijft.

Ik krijg het niet voor elkaar om m'n www.xyz.nl site weer in het lijstje van dat daarbij behorende certificate te krijgen. Regenereren van certificates heeft het niet opgelost. Even hernoemen van de virtual host ook niet.

Heeft iemand een idee wat ik fout doe? En hoe het op te lossen?

[HansA]

Na een week wachten mocht ik van Let's encrypt  weer een certificate aanvragen.

Ondertussen was ik er achter gekomen dat je bij "instellingen" de for-mapping kunt wijzigen. Simpelweg over het hoofd gezien, ik denk omdat ik gewend ben bij "instellingen" in applicaties geen direct op het primaire doel gerichte dingen te vinden, maar meer de nevengeschikte, zoals password, fontsize etc.

Al met al krijg ik het weer aan de praat, al blijft de vraag wat er in het verleden toe geleid heeft dat de for-mapping corrupt is geraakt.

Twee lessons learned voor mij:

- check regelmatiger of de certificates nog kloppen
- Let's Encrypt  heeft vrij lage rate limits, je kunt al experimenterend maar een paar keer een certificate vernieuwen of aanvragen en dan moet je een hele poos wachten.

[Briolet]

Let's Encrypt  heeft vrij lage rate limits, je kunt al experimenterend maar een paar keer een certificate vernieuwen of aanvragen en dan moet je een hele poos wachten.

De exacte waardes staan op hun site. Uit het hoofd denk ik 5x voor hetzelfde domein.  Maar als je wilt experimenteren en steeds een ander domein gebruikt, heb je heel veel meer pogingen.

[HansA]

Vijf klopt wel ongeveer. De informatie op de site en het daadwerkelijk gedrag zijn niet helemaal corresponderend. Foutmeldingen zijn bv. anders dan gedocumenteerd, wat betekent dat je een tikkeltje moet raden naar de exacte reden. Limieten zijn er ook per verplicht in te vullen email adres. En een ander domein heb je denk ik ook niet onbeperkt. Ik heb er maar twee en de werkende wil ik niet gebruiken voor experimenten. Verder is de reset-tijd nadat je tegen zo'n rate limit bent aangelopen een week, tenminste, als ik de documentatie goed interpreteer.

Al met al mogen we blij zijn met zo'n service als Let's Encrypt. Dat ze limieten stellen aan fair use is niet meer dan redelijk. De keerzijde is dat je niet onbeperkt kunt blijven proberen en daar wilde ik even voor waarschuwen.

[Briolet]

Zeker een mooi initiotief. Sinds 3 jaar kun je ook bij ZeroSSL terecht voor gratis certificaten, met een aanmelding via een vergelijkbaar ACME proces. Alleen zal Synology geen zin hebben om twee processen te onderhouden.