Let's Encrypt

  • Jockel


    PFS geht, hatte die Webbox schon auf A. Nur leider nicht mit Chiffren welche für iOS/Andoroid geeignet

    sind...

    logo_forum.png
    Bietet seit über fünfzehn Jahren Systemhaus Lösungen für kleine bis mittlere Kunden an.
    Auf meiner Homepage finden Sie Infos zu alle Zertifizierungen und Partnerschaften ;)
    Support Hotline: 07345 23 63 80

  • Mit dem Rollout 288 geht das jetzt direkt über den David Administrator ;)



    logo_forum.png
    Bietet seit über fünfzehn Jahren Systemhaus Lösungen für kleine bis mittlere Kunden an.
    Auf meiner Homepage finden Sie Infos zu alle Zertifizierungen und Partnerschaften ;)
    Support Hotline: 07345 23 63 80

  • Das wäre super!

    Ja, hatte ich weitergegeben an Tobit. Schön, dass es jetzt schon da ist. :-)

    "Programming today is a race between software engineers striving to
    build bigger and better idiot-proof programs, and the Universe trying
    to produce bigger and better idiots. So far, the Universe is winning."

  • Ja, hatte ich weitergegeben an Tobit. Schön, dass es jetzt schon da ist. :-)

    Ja schön das es geklappt hat ;)
    Also auch das mit lets encrypt nun endlich umgeseztt worden ist.

    Es gab ja scheinnbar selbst mal den versuch vor langer zeit, was nicht funktionierte bzw in der KB drin stand.


    Bei mir klapp es noch nicht, aber wird wohl eine Einstellungssache sein ;);

  • Also richtige Freude will bei mir nicht aufkommen. Das ist doch mal wieder eine typische Tobit-Umsetzung.


    1. funktioniert nur mit aktiver SiteCare? Was soll das denn bitte?

    2. bei der Beantragung kann nur eine einzige (Sub-)Domain angegeben werden? Es gibt sogar eine extra Fehlermeldung dafür, wenn man alternative Namen einzugeben versucht. Das ist doch eine mutwillige Beschneidung der Möglichkeiten von Let's Encrypt.

    3. Nirgendwo wird erwähnt, dass es sich hier um nichts weiter als die Nutzung der API von Let's Encrypt handelt. Nicht einmal in den Changelogs. Das sieht man erst im ausgestellten Zertifikat. Veilleicht, weil die Kopplung eines eigentlich für jedermann kostenlosen Dienstes an eine ganz und gar nicht kostenlose Maintenance von Tobit gebunden wird?


    Ich muss schon sagen, abgesehen von der einfacheren Handhabung für nicht so versierte Anwender sehe ich zur Script-Lösung nur Nachteile.


  • Ja es läuft über Let's encrypt. Zahlen tut man für die Implementierung,

    und dafür das es im zusammen Hang mit David für alle Module klappt.


    Das es an den SiteCare gebunden wird kann ich verstehen, ist ein zusätzlicher

    Mehrwert für Kunden die diesen eh schon haben.

    logo_forum.png
    Bietet seit über fünfzehn Jahren Systemhaus Lösungen für kleine bis mittlere Kunden an.
    Auf meiner Homepage finden Sie Infos zu alle Zertifizierungen und Partnerschaften ;)
    Support Hotline: 07345 23 63 80

  • 1. funktioniert nur mit aktiver SiteCare? Was soll das denn bitte?


    Servus,


    den Einwand verstehe ich auch nicht. Forderst du da was was deine Firma selbst nicht machen würde?

    Welche neue Leistungen führt deine Firma flächendeckend für alle Kunden gratis ein die aber nicht
    dafür bezahlen?


    Aus Kundensicht sehe ich das Problem auch nicht. Wer sich gegen Sitecare entscheidet hat sich doch
    selbst bewusst gegen alle Neuerungen entschieden. Das sind doch so never change a running system-Typen die ihre IT einfrieren wollen nach dem Best Practice von 1998. Wer seine Meinung ändert kann doch dann

    auch zu jeder Zeit Sitecare bekommen auch wenn sein eingefrorener IT-Kram im Moment urmelalt ist.


    Die Alternative zu Sitecare wäre 1. Leistung die nicht bezahlt wird, was doof wäre. Oder diese Leistung
    2. separat kostenpflichtig einzeln, was für alle doof wäre, die Sitecare bezahlen.


    VG

    "Programming today is a race between software engineers striving to
    build bigger and better idiot-proof programs, and the Universe trying
    to produce bigger and better idiots. So far, the Universe is winning."

  • 2. bei der Beantragung kann nur eine einzige (Sub-)Domain angegeben werden? Es gibt sogar eine extra Fehlermeldung dafür, wenn man alternative Namen einzugeben versucht. Das ist doch eine mutwillige Beschneidung der Möglichkeiten von Let's Encrypt.

    Das find ich allerdings auch sehr blöd gelöst.

    Aktuell haben wir nur eine Domain laufen, aber demnchst soll eine zweite hinzukommen.

    Sprich ich muss deren E-mails danna uch mit meiner Haupt Subdomain abrufen lassen?!


    EDIT:
    Hab mal den Support gefragt..

  • Forderst du da was was deine Firma selbst nicht machen würde?

    Welche neue Leistungen führt deine Firma flächendeckend für alle Kunden gratis ein die aber nicht
    dafür bezahlen?

    Nein, ganz und gar nicht. Ich will das ja auch nicht zu tief hängen, dass die Funktion jetzt (endlich) überhaupt eingefügt wurde. Was ich hier kritisch sehe, ist der Versuch, Kunden mit Plüschhandschellen im goldenen SiteCare-Käfig anzuketten.


    Wer kein SiteCare hat, bekommt die Funktion ja ohnehin nicht geschenkt und müsste sich ein Update kaufen. Also hat niemand kostenlos gearbeitet. Aber die Funktion nachträglich und ohne Not zu deaktivieren, nur weil SiteCare nicht verlängert wird, kann ich nicht nachvollziehen. Es ist ja nun nicht so, als müsste da alle 60 Tage ein Mitarbeiter hingehen und ein neues Zertifikat einlöten, das geht vollkommen automatisch.


    Und klar, da kann man natürlich einwenden, dass sich ja an der LE-API etwas ändern könnte und dann Nachbesserungen im Code erforderlich werden. Und wenn das der Fall sein sollte, würde ich auch nicht von Tobit einfordern, diese Änderungen kostenlos zu verteilen. Dann muss man eben wieder ein Update kaufen.


    Da würde ich es ja eher verstehen, wenn die ActiveSync-Schnittstelle bei abgelaufenem SiteCare deaktiviert würde. Denn dafür müssen schließlich im Gegensatz zu Let's Encrypt Lizenzgebühren entrichtet werden, wenn mich nicht alles täuscht. Hoffentlich liest das hier keiner von Tobit mit, sonst ist es im nächsten Rollout soweit.

  • Muss man nicht mögen, aber aus der Sichtweise von Tobit kann ich es nachvollziehen.

    EAS ist eine Grundfunktion, LInkLookup, MIS, und diese Funktion ein Extra, Extras kosten ;)


    Vielleicht ändert sich das mal, aber im Moment ist das ein Bonus für SiteCare Kunden only.


    Jeder Kunde kann sich für 26€ ein Zertifikat kaufen und hat zwei Jahre ruhe.... ganz ohne

    SiteCare.

    logo_forum.png
    Bietet seit über fünfzehn Jahren Systemhaus Lösungen für kleine bis mittlere Kunden an.
    Auf meiner Homepage finden Sie Infos zu alle Zertifizierungen und Partnerschaften ;)
    Support Hotline: 07345 23 63 80

  • Ich glaube das ist etwas am Ziel vorbei, hier geht es um ein Zertifikat

    welches in erster Linie für die Webbox genutzt wird. Das hat erst mal

    nichts mit verschiedenen eMail Domänen zu tun.


    Es geht ja darum für Externen Zugriff die Webbox abzusichern,

    da ist es egal ob der User darüber eMails verschiedener eMail Domänen

    empfängt/verarbeitet. Man legt den die IP auf eine x Beliebige Subdomäne

    die muss ja nicht mit den eMail Domänen übereinstimmen.


    Oder hab ich was übersehen?

    logo_forum.png
    Bietet seit über fünfzehn Jahren Systemhaus Lösungen für kleine bis mittlere Kunden an.
    Auf meiner Homepage finden Sie Infos zu alle Zertifizierungen und Partnerschaften ;)
    Support Hotline: 07345 23 63 80

  • Da es sich ja um den gleichen Server handelt ist das nur Kosmetik ;)

    logo_forum.png
    Bietet seit über fünfzehn Jahren Systemhaus Lösungen für kleine bis mittlere Kunden an.
    Auf meiner Homepage finden Sie Infos zu alle Zertifizierungen und Partnerschaften ;)
    Support Hotline: 07345 23 63 80

  • Umgekehrt wird aber auch ein Schuh draus. Man kann doch jetzt den Kunden, die sich dauernd fragen, was sie denn eigentlich für ihre Sitecare-Gebühren bekommen, zumindest sagen: "Schau mal, im aktuellen Rollout ist eine echt praktische und schnuckelige Funktion eingebaut!" :)


    Let's Encrypt ist für den Webbox-Bedarf eine ziemlich logische Schlussfolgerung, und die jetzige Implementierung ermöglicht sogar einem Hobby-Admin eine korrekte Verschlüsselung.


    Ich finde die Lösung ziemlich cool. Man kann ja problemlos weiterhin auf eigene Faust ein Zertifikat erwerben, wenn man denn möchte. Insofern besteht kein Sitecare-Zwang, es ist wie oben beschrieben eher ein zusätzliches nettes Feature für alle Sitecare-User, und das können wir als Argumantationshilfe doch eigentlich alle ganz gut gebrauchen, oder?

  • Mal so als Zwischeninfo: Offenbar benötigt die durch Tobit eingebaute Funktion zwingend einen A-Record auf eine feste IP-Adresse. Das ist auch sicherlich der Regelfall, ich hatte aber eben auch eine Installation am Laufen, bei der wir uns (wegen dynamischer IP) mit einem CNAME-Eintrag beholfen haben. Also mit der Weiterleitung der Mail-Subdomain auf einen dyndns-Host.


    Mit der "händischen" Lösung aus diesem Thread klappte das Verfahren einwandfrei. Mit der aktuellen Webbox-Funktion ist das Erstellen des Zertifikats ebenfalls problemlos möglich, aber im Rahmen des Aktualisierungs-Checks wird nun ein Fehler geworfen:


    (AC) Certificate Order Error

    Code: 1004

    Error: Error order certificate

    StatusCode: 422

    Description: Invalid domain provided

    Reason: Missing A-Record


    Die Meldung ist natürlich an sich korrekt - es gibt ja keinen A-Record. Aber wie gesagt, mit der händischen Lösung klappte es in diesem Szenario. Auch die Verbindung der Clients lief sauber. Von daher gehe ich davon aus, dass sich hier nicht Let's Encrypt "beschwert", sondern die Webbox.


    Das nur mal in die Runde zur Info; ich hab' das Phänomen an Tobit gemeldet, dort wurde es "als Anregung aufgenommen". Schau'n mer mal.

  • Falls ihr bei Strato seit könntet ihr die DynDNS Funktion für die Sub Domäne verwenden.

    logo_forum.png
    Bietet seit über fünfzehn Jahren Systemhaus Lösungen für kleine bis mittlere Kunden an.
    Auf meiner Homepage finden Sie Infos zu alle Zertifizierungen und Partnerschaften ;)
    Support Hotline: 07345 23 63 80