lørdag, november 17, 2018

HTTPS certifikat fejl

Daily Rush Debat Daily Rush HTTPS certifikat fejl

  • Forfatter
    Emne
  • #0

    HolgerDK
    Bruger
    3.157 indlæg
    Offline

    Chrome har lige advaret mig om DR certifikat til HTTPS er udløbet (eller ikke gyldigt). Firefox og Edge siger det samme.

    "Any sufficiently advanced technology is indistinguishable from magic." - Arthur C. Clarke.

Viser 3 kommentarer - 61 til 63 (af 63 i alt)
  • Forfatter
    Kommentarer
  • #61

    wOOOOt
    Bruger
    1.054 indlæg
    Offline

    Hvad var problemet/løsningen? Jeg har samme problem på et andet site nu.

    #62

    carstone
    Bruger
    3.590 indlæg
    Offline

    #61 et udløbet SSL certifikat. Et SSL certifikat er nødvendigt for at skabe https forbindelse. De fleste har en løbetid på 1 år, men dem udstedt via Lets Encrypt har kun 3 måneder. Det skal fikses af server administrator for det site du nu har problemer på (hvis det er samme issue altså)
    Hvilket site?

    I have spoken.

    • Denne kommentar blev ændret for 1 uge, 1 dag siden af  carstone.
    #63

    julemand101
    Bruger
    311 indlæg
    Offline

    #61
    Hvis du ser på certifikatet for Dailyrush.dk:
    https://crt.sh/?q=%25.dailyrush.dk

    Så kan du se at det samme certifikat er gyldigt for flere forskellige domænenavne (du kan se http://www.dailyrush.dk og revive.dailyrush.dk har samme ID). Som #62 er inde på så bruger Dailyrush.dk Let’s Encrypt som certifikatleverandør og disse er “kun” valide i 3 måneder af gangen. Dette kan virke useriøst men formålet er at man vil have at flere til sikre at hele cerfikathåndteringen bliver automatiseret.

    Ved Dailyrush.dk er certifikathåndteringen automatiseret igennem certbot programmet og dette har også kørt. Problemet har dog været at der af en eller flere grunde ikke har været adgang til at Let’s Encrypt kunne verificere ejerskabet af alle de domæner der var en del af certifikatet der blev forsøgt fornyet. Hvis bare et af domænerne ikke kan verificeres så vil hele certifikatet blive afvist og certbot fejler.

    Der er så ikke været nogen overvågning af cerbot loggen på serveren så ingen har opdaget at den har stået og fejlet i en måned (certbot forsøger at forny certifikatet når der er 30 dage før udløb).

    Let’s Encrypt har så en service der gør at hvis der er 20 dage til et certifikat udløber, så sender de en mail til den mailkonto der blev angivet da det første certifikat blev udtrukket for domænet. Som jeg var inde på i #15 så TROR jeg at Phonetic brugte sin personlige mail ved oprettelsen af certifikatet og derfor er denne mail ikke blevet opdaget da han af gode grunde ikke længere tjekker sin mail.

    Rettelsen var så at finde ud af hvilke domæner der gav problemer ved certifikatfornyelsen og disse blev så fjernet fra certifikatet midlertidig for at få tingene op og køre hurtigst muligt. Du vil kunne se i søgningen (som jeg linkede til i starten) at domænet dev.dailyrush.dk er fx fjernet.

    For at undgå at problemet skulle forekomme igen (eller ikke blive opdaget i tide) så har jeg sat en overvågning op ved letsmonitor.org der vil sende mig en mail når der er 14 dage til certifikatet udløber og jeg har anbefalet PBT at gøre det samme.

Viser 3 kommentarer - 61 til 63 (af 63 i alt)
  • Du skal være logget ind for at kommentere på dette indlæg.