Názory k článku
Let's Encrypt končí s e-mailovými oznámeními o vypršení platnosti

"Odstranění tohoto požadavku je pro nás důležité, jako pro organizaci, která si cení soukromí,"

vs

"zasílání informací o novinkách"

Takze ciste PR krasozvast ... jen misto neceho uzitecnyho budou rozesilat spam.

"Krásožvást" je spíš ten komentář…

Maily o novinkách nabízejí už teď… pokud se k nim člověk vysloveně nepřihlásil, tak nic neposílají (i když člověk zadal mail u generování certifikátu)

Užitečné je udělat si pečlivě monitoring všech kritických věcí u sebe a nespoléhat se na mail.

Aktuálně mají cca 550 milionů domén, pro každou mít mail a udržovat to v chodu musí být radost, které se každý rád zbaví.

Nabízet neznamená, že někdo někoho nutí to používat…

Informační maily o novinkách si můžete prostě objednat nebo je zrušit, nejsou povinné a je to obecný newsletter pro zájemce. Podobnou věc umí posílat i Root.cz, ale pokud se k tomu nepřihlásíte, tak vás to nemusí trápit.

Tahle služba (e-mailové upozornění) mi zrovna předevčírem zachránila jeden certík těsně před vypršením, když ta dostatečně spolehlivá automatická obnova selhala na hloupé chybce ve firewallu.

Je treba hlidat platnost certifikatu v monitoringu dotazem na ten cert, aby tu platnost vratil... cokoliv jineho je (dle me) nesmysl.

Obvykle se stava, ze se to do toho monitoringu nedostane, nebo jeste lepe, po skonceni sluzby to z monitoringu neni odstraneno, protoze prece neni potreba po sobe uklizet...

tak to odstraníš při první chybě, která ti dojde po skončení projektu, ne?

Hlídání tam sice je, ale... to se ozve až ten certifikát vyprší. Tohle upozornění přišlo pár dní předem, takže jsem měl čas hledat, kde je chyba.
(Ještě tam je hlídání na to, že se nepovedla automatická obnova, ale to se ozývá pořád, když se mu něco nelíbí - skoro při každém pokusu o aktualizaci.)

kuma + docker+5 min, nebo "openssl x509 -noout -checkend 604800", a nebo jeste lip RTFM ?

To asi neco delate spatne... o koncicim certifikatu se v pohode z monitoringu dozvim i v predstihu... a certifikat pochopitelne nenechavame dojet az na hranu platnosti (coz ostatne dela i certbot, ten take certifikat obmeni o spoustu dni driv, nez mu realne konci platnost). Takze pokud mam certifikat tyden ci dva pred expiraci, neco je spatne... dost casu to napravit :-)

Díky za rady.
Ale tohle je opravdu jen takovej malej domácí certík, takže složité hlídací systémy dalece překračují jeho důležitost. ;oD
Ten e-mail mi tak v podstatě ušetřil práci se žádostí o nový certík, místo obyčejného rychlého renew.
I tak jsem byl za něj vděčný!

V Zabbixu lze zjišťovat počet dní do vypršení certifikátu. Pak už stačí udělat si trigger pokud je počet dní menší než požadovaná hodnota.
Je to jen o tom, si tam všechny (nebo alespoň ty důležité) do toho nasázet.

A ten zabbix bude zrat vic cpu a ramky nez vsechny ostatni aplikace dohromady, specielne v domacich podminkach ze?

Apropos, zabbix stale neumi ani takovou trivialitu, jako pochopit, ze ten stroj X z virtualu je tentyz, jako ten stroj X ktery mu neco posila z agenta, a neda se mu to nijak rict ani rucne ...

Není "desítky tisíc dolarů ročně" trošku moc za rozesílání mailů, kterých asi tak moc není, když už nejsou potřeba?

Je třeba si uvědomit, že mají půl miliardy aktivních certifikátů s životností tři měsíce. Posílají to jen v případě, že dvacet dnů před vypršením certifikátu nebyl vystaven nový certifikát s přesně stejnými doménovými jmény. Pokud dojde při vystavování ke změně ve jménech, pošle se mail o ukončení starého certifikátu. To může být opravdu hodně pošty.

500M to mame rekneme ... chmm at nezeru 30B/ks ... +- 10GB mailu (kdyby byl pro kazdy jeden cert extra, coz jiste neni) ... kdyby se z toho odesilalo mesicne rekneme 1% ... = 5M mailu, tak to mame nejakych 170k/den ... 7k/hod ... I kdyby ten mail mel 10kB (coz je silene a zbytecne moc) ... tak to mame nejakych 70MB/hod ... silenej traffic ze?

Modem(ten uplne analogovej) ... zvlada cca 25MB/hod ...

Nj, ale kdyz nekdo funguje stejne jako treba nic ... tak se neni co divit ze ho 200kBit konektivity stoji statisice rocne ...

Tell me you never managed a corporate mailserver without saying you never managed a corporate mailserver :-)

Půl miliardy adres a jednotky miliard odeslaných zpráv ročně, to jsou primárně compliance a mzdové náklady. Fakt není legrace mít něco takového v pořádku, hlavně s GDPR a CCPA. Traffic je šumák.

A těch 10 KiB máte docela přesně, ono se všemi lookupy a SMTP/TLS handshaky je tam toho overheadu skutečně vyšších jednociferných několik KiB, kdyby se posílaly maily po jednom (jeden SMTP dialog = jeden odeslaný mail).

Konektivita je v tomhle ta posledni polozka. Ono jaksi kolokace, energie, udrzba... taky neni zadarmo, zejo :-) To je presne nazor z kategorie "se to samo".

To je tak kdyz nekdo nezvlada operaci souctu ze?

Oni na vydavani tech certu zadnej HW nepotrebujou, takze kdyz zrusej maily, muzou ho vyhodit a od site se odpoji ... lol ...

Realita je takova, ze rozesilani tech mailu je v nakladech exaktni nula. A zajimavy na tom je leda to, ze rozesilani spamu jim na nakladech nevadi ...

Pricemz ta cisla jsem zcela umyslne minimalne o rad mozna i vic prehnal, tech mailu se bude rozesilat radove min.

Jenomze to neni o konektivite. Je videt, ze jsi nikdy nerozesilal vetsi mnozstvi emailu. Odesles prvnich 100tis emailu a google te hodi do spam listu protoze jsi prekrocil mnozstvi ktere nejaky jejich algoritmus vyhodnoti za spam. Co udelas? Profi reseni tohle maji zmakle a resi mnozstvi situaci o kterych se ti evidentne nikdy ani nezdalo. Zkuse se podivat na sluzby typu sendgrid a pak pochopis ze konektivita je to posledni co te zajima.

> Co udelas?

Nic. Když si někdo objednal upozorňovací emaily a pak je nepřijímá, tak je to jeho problém :-). (ve skutečnosti je LE nejspíš dost velká ryba na to, aby pro ně Google sám udělal speciální výjimku)

Řekl bych, že tyhle maily jsou už minimálně rok hodně nespolehlivé. Dva tříměsíční cykly nepřišlo nic, tak jsem si myslel, že už to zrušili. Pak to zase přišlo. Ve všech případech to chodilo na vlastní poštovní servery a nespadlo to do spamu. Prostě to vůbec nemělo ani tendenci dojít. Schválně jsem tenkrát prohledával logy.

Mam podobnou zkusenost. Mam desitky nebo mozna nizsi stovky webu s Let's encrypt, obcas se neco rozbije (nebo to nekdo rozbije). Drive i nekdy email prisel, ale posledni rok nebo dva asi nikdy.

Tak předpokládám, že když už mou emailovou adresu nebudou používat pro zasílání notifikací,, že ji pěkně ze svých systému definitivně vymažou.

Pošlete gdpr dotaz

Nevymazou, pokud hodlate pouzivat jejich certifikaty, prectete si poradne Let's Encrypt Subscriber Agreement :-) Ostatne nadale existuji legitimni a v tech podminkach popsana use-case, treba upozorneni na vynucenou revokaci certifikatu.

27. 1. 2025, 08:06 editováno autorem komentáře