Let's Encrypt

Zitat von Jockel

Falls noch gar nicht kann ich das machen. vg

Das wäre super!

Jockel

PFS geht, hatte die Webbox schon auf A. Nur leider nicht mit Chiffren welche für iOS/Andoroid geeignet

sind...

Mit dem Rollout 288 geht das jetzt direkt über den David Administrator

Und das funktioniert einwandfrei??

Das wäre ja geil, werde ich nachher mal schauen

Zitat von lycra

Das wäre super!

Ja, hatte ich weitergegeben an Tobit. Schön, dass es jetzt schon da ist.

Zitat von Jockel

Ja, hatte ich weitergegeben an Tobit. Schön, dass es jetzt schon da ist.

Ja schön das es geklappt hat
Also auch das mit lets encrypt nun endlich umgeseztt worden ist.

Es gab ja scheinnbar selbst mal den versuch vor langer zeit, was nicht funktionierte bzw in der KB drin stand.

Bei mir klapp es noch nicht, aber wird wohl eine Einstellungssache sein ;);

Also richtige Freude will bei mir nicht aufkommen. Das ist doch mal wieder eine typische Tobit-Umsetzung.

1. funktioniert nur mit aktiver SiteCare? Was soll das denn bitte?

2. bei der Beantragung kann nur eine einzige (Sub-)Domain angegeben werden? Es gibt sogar eine extra Fehlermeldung dafür, wenn man alternative Namen einzugeben versucht. Das ist doch eine mutwillige Beschneidung der Möglichkeiten von Let's Encrypt.

3. Nirgendwo wird erwähnt, dass es sich hier um nichts weiter als die Nutzung der API von Let's Encrypt handelt. Nicht einmal in den Changelogs. Das sieht man erst im ausgestellten Zertifikat. Veilleicht, weil die Kopplung eines eigentlich für jedermann kostenlosen Dienstes an eine ganz und gar nicht kostenlose Maintenance von Tobit gebunden wird?

Ich muss schon sagen, abgesehen von der einfacheren Handhabung für nicht so versierte Anwender sehe ich zur Script-Lösung nur Nachteile.

Ja es läuft über Let's encrypt. Zahlen tut man für die Implementierung,

und dafür das es im zusammen Hang mit David für alle Module klappt.

Das es an den SiteCare gebunden wird kann ich verstehen, ist ein zusätzlicher

Mehrwert für Kunden die diesen eh schon haben.

Zitat von fn0rd

1. funktioniert nur mit aktiver SiteCare? Was soll das denn bitte?

Servus,

den Einwand verstehe ich auch nicht. Forderst du da was was deine Firma selbst nicht machen würde?

Welche neue Leistungen führt deine Firma flächendeckend für alle Kunden gratis ein die aber nicht
dafür bezahlen?

Aus Kundensicht sehe ich das Problem auch nicht. Wer sich gegen Sitecare entscheidet hat sich doch
selbst bewusst gegen alle Neuerungen entschieden. Das sind doch so never change a running system-Typen die ihre IT einfrieren wollen nach dem Best Practice von 1998. Wer seine Meinung ändert kann doch dann

auch zu jeder Zeit Sitecare bekommen auch wenn sein eingefrorener IT-Kram im Moment urmelalt ist.

Die Alternative zu Sitecare wäre 1. Leistung die nicht bezahlt wird, was doof wäre. Oder diese Leistung
2. separat kostenpflichtig einzeln, was für alle doof wäre, die Sitecare bezahlen.

VG

Zitat von fn0rd

2. bei der Beantragung kann nur eine einzige (Sub-)Domain angegeben werden? Es gibt sogar eine extra Fehlermeldung dafür, wenn man alternative Namen einzugeben versucht. Das ist doch eine mutwillige Beschneidung der Möglichkeiten von Let's Encrypt.

Das find ich allerdings auch sehr blöd gelöst.

Aktuell haben wir nur eine Domain laufen, aber demnchst soll eine zweite hinzukommen.

Sprich ich muss deren E-mails danna uch mit meiner Haupt Subdomain abrufen lassen?!

EDIT:
Hab mal den Support gefragt..

Zitat von Jockel

Forderst du da was was deine Firma selbst nicht machen würde?

Welche neue Leistungen führt deine Firma flächendeckend für alle Kunden gratis ein die aber nicht
dafür bezahlen?

Nein, ganz und gar nicht. Ich will das ja auch nicht zu tief hängen, dass die Funktion jetzt (endlich) überhaupt eingefügt wurde. Was ich hier kritisch sehe, ist der Versuch, Kunden mit Plüschhandschellen im goldenen SiteCare-Käfig anzuketten.

Wer kein SiteCare hat, bekommt die Funktion ja ohnehin nicht geschenkt und müsste sich ein Update kaufen. Also hat niemand kostenlos gearbeitet. Aber die Funktion nachträglich und ohne Not zu deaktivieren, nur weil SiteCare nicht verlängert wird, kann ich nicht nachvollziehen. Es ist ja nun nicht so, als müsste da alle 60 Tage ein Mitarbeiter hingehen und ein neues Zertifikat einlöten, das geht vollkommen automatisch.

Und klar, da kann man natürlich einwenden, dass sich ja an der LE-API etwas ändern könnte und dann Nachbesserungen im Code erforderlich werden. Und wenn das der Fall sein sollte, würde ich auch nicht von Tobit einfordern, diese Änderungen kostenlos zu verteilen. Dann muss man eben wieder ein Update kaufen.

Da würde ich es ja eher verstehen, wenn die ActiveSync-Schnittstelle bei abgelaufenem SiteCare deaktiviert würde. Denn dafür müssen schließlich im Gegensatz zu Let's Encrypt Lizenzgebühren entrichtet werden, wenn mich nicht alles täuscht. Hoffentlich liest das hier keiner von Tobit mit, sonst ist es im nächsten Rollout soweit.

Muss man nicht mögen, aber aus der Sichtweise von Tobit kann ich es nachvollziehen.

EAS ist eine Grundfunktion, LInkLookup, MIS, und diese Funktion ein Extra, Extras kosten

Vielleicht ändert sich das mal, aber im Moment ist das ein Bonus für SiteCare Kunden only.

Jeder Kunde kann sich für 26€ ein Zertifikat kaufen und hat zwei Jahre ruhe.... ganz ohne

SiteCare.

Zitat von lycra

Hab mal den Support gefragt..

Mal schauen ob das dann noch kommt

Ich glaube das ist etwas am Ziel vorbei, hier geht es um ein Zertifikat

welches in erster Linie für die Webbox genutzt wird. Das hat erst mal

nichts mit verschiedenen eMail Domänen zu tun.

Es geht ja darum für Externen Zugriff die Webbox abzusichern,

da ist es egal ob der User darüber eMails verschiedener eMail Domänen

empfängt/verarbeitet. Man legt den die IP auf eine x Beliebige Subdomäne

die muss ja nicht mit den eMail Domänen übereinstimmen.

Oder hab ich was übersehen?

Zitat von stylistics

Oder hab ich was übersehen?

Bspw:

Firma 1 hat xxx.de

Firma 2 hat yyy.de

Nun ist Firma 1 hauptdomain im David eingestellt und darüber auch das sertifikat mit dessen subdomain

Nun müssten die Mitarbeiter Firma 2 dann allerdings in den EAS Einstellungen die subdomain von Firma 1 nehmen.

Da es sich ja um den gleichen Server handelt ist das nur Kosmetik

Ja genau Kosmetik Abe rmal abwarten, Hab ja TObit gefragt. vielleicht kommt es noch hinzu

Umgekehrt wird aber auch ein Schuh draus. Man kann doch jetzt den Kunden, die sich dauernd fragen, was sie denn eigentlich für ihre Sitecare-Gebühren bekommen, zumindest sagen: "Schau mal, im aktuellen Rollout ist eine echt praktische und schnuckelige Funktion eingebaut!"

Let's Encrypt ist für den Webbox-Bedarf eine ziemlich logische Schlussfolgerung, und die jetzige Implementierung ermöglicht sogar einem Hobby-Admin eine korrekte Verschlüsselung.

Ich finde die Lösung ziemlich cool. Man kann ja problemlos weiterhin auf eigene Faust ein Zertifikat erwerben, wenn man denn möchte. Insofern besteht kein Sitecare-Zwang, es ist wie oben beschrieben eher ein zusätzliches nettes Feature für alle Sitecare-User, und das können wir als Argumantationshilfe doch eigentlich alle ganz gut gebrauchen, oder?

Mal so als Zwischeninfo: Offenbar benötigt die durch Tobit eingebaute Funktion zwingend einen A-Record auf eine feste IP-Adresse. Das ist auch sicherlich der Regelfall, ich hatte aber eben auch eine Installation am Laufen, bei der wir uns (wegen dynamischer IP) mit einem CNAME-Eintrag beholfen haben. Also mit der Weiterleitung der Mail-Subdomain auf einen dyndns-Host.

Mit der "händischen" Lösung aus diesem Thread klappte das Verfahren einwandfrei. Mit der aktuellen Webbox-Funktion ist das Erstellen des Zertifikats ebenfalls problemlos möglich, aber im Rahmen des Aktualisierungs-Checks wird nun ein Fehler geworfen:

(AC) Certificate Order Error

Code: 1004

Error: Error order certificate

StatusCode: 422

Description: Invalid domain provided

Reason: Missing A-Record

Die Meldung ist natürlich an sich korrekt - es gibt ja keinen A-Record. Aber wie gesagt, mit der händischen Lösung klappte es in diesem Szenario. Auch die Verbindung der Clients lief sauber. Von daher gehe ich davon aus, dass sich hier nicht Let's Encrypt "beschwert", sondern die Webbox.

Das nur mal in die Runde zur Info; ich hab' das Phänomen an Tobit gemeldet, dort wurde es "als Anregung aufgenommen". Schau'n mer mal.

Falls ihr bei Strato seit könntet ihr die DynDNS Funktion für die Sub Domäne verwenden.