[Eisfair_dev] certs_letsencrypt v0.90.6 - testing

Olaf Jaehrling eisfair at ojaehrling.de
Di Sep 13 09:01:46 CEST 2016


Hallo Benjamin,


Am 12.09.2016 um 17:30 schrieb Juergen Edner:

> 
> Wenn Du bereits ein Let's Encrypt-Zertifikat manuell erstellt hast,
> wird hier beschrieben wie man es in die letsencrypt.sh-Struktur
> nach /var/certs/letsencrypt übernehmen kannst (getestet habe ich
> dies aber nicht):
> 
> https://github.com/lukas2511/letsencrypt.sh/wiki/Import-from-official-letsencrypt-client

Das muss ich mir dann irgendwann auch mal zu gemüte führen. Drängelt aber nicht, da ich letsencrypt schon eine Weile verwende ohne das Paket und eine eigene kleine Routine dafür habe. Die ist aber nicht pakettauglich. Deshalb bin ich froh, dass Jürgen sich der Problematik angenommen hat. Danke dafür.

> 
>> desweiteren hat Olaf ja sogar noch weitere Parameter mit bei und die
>> Schlüsselstärke auch hochgesetzt, siehe:
>> ...
>> --standalone-supported-challenges tls-sni-01
> 
> Aktuell unterstützt letsencrypt.sh noch keine 'tls-sni-01', d.h.
> eingehende Verbindung über Port 443. Diese werden aktuell nur
> über 'http-01' und Port 80 abgewickelt.

Bitte nicht letsencrypt.sh und letsencrypt-auto verwechseln. Bei meinem Beipiel wird letsencrypt-auto verwendet, welches port 443 unterstützt.
Allerdings ist Jürgen sein Weg über letsencrypt.sh auch ein sehr guter Weg.
> 
>> --rsa-key-size 4096 -d ...
> 
> Die RSA-Schlüsselgröße wurde standardmäßig auf 2048 gesetzt, da dies
> nach häufiger Meinung ausreichend für die Absicherung einer Webseite
> ist. Das Für und Wider kannst Du u.a. hier nachlesen:

2048 reicht vollkommen aus. Ich persönlich nehme lieber eine größere Schlüsselgröße. Einfach nur mit dem Hintergedanken. sha1 wurde auch mal als ausreichend angesehen. Mittlerweile ist sha256 Standard. Das selbe gilt für aes. Die Rechenleistung, welche die bösen Buben zu Verfügung haben ist bisher ständig gewachsen. 
> 
> https://danielpocock.com/rsa-key-sizes-2048-or-4096-bits

Es wird immer unterschiedliche Meinungen geben. 

> 
> Im Skript selbst habe ich bereits Vorkehrungen getroffen dies
> einstellbar zu machen, aber die Frage ist immer ob man in einem
> neuen Paket sofort alles konfigurierbar macht oder erst einmal
> schaut dass es rund läuft ;-)

So sehe ich das auch. Wenn es rund läuft, kann man was dazu bauen. Nicht zu viele Baustellen auf einmal aufmachen. Man verliert sonst leicht den Überblickt woran es evtl hakt.

Gruß

Olaf




Mehr Informationen über die Mailingliste Eisfair_dev