#61
Hvis du ser på certifikatet for Dailyrush.dk:
https://crt.sh/?q=%25.dailyrush.dk
Så kan du se at det samme certifikat er gyldigt for flere forskellige domænenavne (du kan se http://www.dailyrush.dk og revive.dailyrush.dk har samme ID). Som #62 er inde på så bruger Dailyrush.dk Let’s Encrypt som certifikatleverandør og disse er “kun” valide i 3 måneder af gangen. Dette kan virke useriøst men formålet er at man vil have at flere til sikre at hele cerfikathåndteringen bliver automatiseret.
Ved Dailyrush.dk er certifikathåndteringen automatiseret igennem certbot programmet og dette har også kørt. Problemet har dog været at der af en eller flere grunde ikke har været adgang til at Let’s Encrypt kunne verificere ejerskabet af alle de domæner der var en del af certifikatet der blev forsøgt fornyet. Hvis bare et af domænerne ikke kan verificeres så vil hele certifikatet blive afvist og certbot fejler.
Der er så ikke været nogen overvågning af cerbot loggen på serveren så ingen har opdaget at den har stået og fejlet i en måned (certbot forsøger at forny certifikatet når der er 30 dage før udløb).
Let’s Encrypt har så en service der gør at hvis der er 20 dage til et certifikat udløber, så sender de en mail til den mailkonto der blev angivet da det første certifikat blev udtrukket for domænet. Som jeg var inde på i #15 så TROR jeg at Phonetic brugte sin personlige mail ved oprettelsen af certifikatet og derfor er denne mail ikke blevet opdaget da han af gode grunde ikke længere tjekker sin mail.
Rettelsen var så at finde ud af hvilke domæner der gav problemer ved certifikatfornyelsen og disse blev så fjernet fra certifikatet midlertidig for at få tingene op og køre hurtigst muligt. Du vil kunne se i søgningen (som jeg linkede til i starten) at domænet dev.dailyrush.dk er fx fjernet.
For at undgå at problemet skulle forekomme igen (eller ikke blive opdaget i tide) så har jeg sat en overvågning op ved letsmonitor.org der vil sende mig en mail når der er 14 dage til certifikatet udløber og jeg har anbefalet PBT at gøre det samme.