О чём это письмо от Let's Encrypt?

Question

Developer @samodum

Какой вопрос - такой и ответ

Цифровые сертификаты

О чём это письмо от Let's Encrypt?

Привет всем.
У меня есть несколько доменов, там стоят SSL-сертификаты от Let's Encrypt и они обновляются сами через certbot каждые три месяца уже несколько лет исправно.
Но с начала этого года на все мои домены стали приходить письма от Let's Encrypt такого содержания:

Hello,

Action may be required to prevent your Let's Encrypt certificate renewals
from breaking.

If you already received a similar e-mail, this one contains updated
information.

Your Let's Encrypt client used ACME TLS-SNI-01 domain validation to issue
a certificate in the past 60 days. Below is a list of names and IP
addresses validated (max of one per account):

 www.yoursite.domain (333.333.555.777) on 2018-11-29

TLS-SNI-01 validation is reaching end-of-life. It will stop working
temporarily on February 13th, 2019, and permanently on March 13th, 2019.
Any certificates issued before then will continue to work for 90 days
after their issuance date.

You need to update your ACME client to use an alternative validation
method (HTTP-01, DNS-01 or TLS-ALPN-01) before this date or your
certificate renewals will break and existing certificates will start to
expire.

Our staging environment already has TLS-SNI-01 disabled, so if you'd like
to test whether your system will work after February 13, you can run
against staging: https://letsencrypt.org/docs/staging-environment/

If you're a Certbot user, you can find more information here:
https://community.letsencrypt.org/t/how-to-stop-using-tls-sni-01-with-certbot/83210

Our forum has many threads on this topic. Please search to see if your
question has been answered, then open a new thread if it has not:
https://community.letsencrypt.org/

For more information about the TLS-SNI-01 end-of-life please see our API
announcement:
https://community.letsencrypt.org/t/february-13-2019-end-of-life-for-all-tls-sni-01-validation-support/74209

Thank you,
Let's Encrypt Staff

Зачем они шлют эти письма?
Нужно ли беспокоиться и начинать изучать что там внутри этих "TLS-SNI-01, HTTP-01, DNS-01 or TLS-ALPN-01" и прочего?

Вопрос задан более трёх лет назад
663 просмотра

Комментировать

Подписаться 1 Простой Комментировать

Решения вопроса 3

Комментировать

Пригласить эксперта

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации

Похожие вопросы

Цифровые сертификаты

Простой
Как обновить сертификат через certbot (--manual)?
- 1 подписчик
- 18 апр.
- 41 просмотр
2

ответа
PostgreSQL

+2 ещё

Простой
Где искать рекомендуемые настройки SSL-аутентификации для Docker-образа Posgres?
- 1 подписчик
- 17 апр.
- 62 просмотра
3

ответа
Цифровые сертификаты

+1 ещё

Средний
Какой SSL-сертификат лучше использовать для стэйджинга?
- 2 подписчика
- 17 апр.
- 117 просмотров
2

ответа
Debian

+1 ещё

Простой
Где найти центр корневых сертификатов в Debian?
- 1 подписчик
- 10 апр.
- 54 просмотра
1

ответ
Поисковая оптимизация

+1 ещё

Простой
Насколько важно с точки зрения SEO иметь платный сертификат OV на сайте?
- 1 подписчик
- 09 апр.
- 103 просмотра
5

ответов
Nginx

+2 ещё

Простой
Как правильно настроить nginx + ssl в докер?
- 1 подписчик
- 04 апр.
- 103 просмотра
0

ответов
Цифровые сертификаты

+1 ещё

Простой
Как установить SSL сертификат на MS Exchange 2013?
- 1 подписчик
- 03 апр.
- 135 просмотров
2

ответа
Java

+2 ещё

Простой
Как исправить ошибку SSL?
- 1 подписчик
- 31 мар.
- 155 просмотров
1

ответ
Linux

+2 ещё

Простой
Чем конвертировать TLS в JWT токен (tls2jwt)?
- 1 подписчик
- 28 мар.
- 93 просмотра
2

ответа
PHP

+1 ещё

Средний
Почему возникает ошибка SSl?
- 1 подписчик
- 27 мар.
- 146 просмотров
0

ответов
Показать ещё Загружается…

Администратор PostgreSQL

Гринатом

До 200 000 ₽

Бэкенд разработчик

Acies Media • Москва

от 3 000 $

Прикладной администратор SberApps

Сбер • Москва

от 230 000 ₽

Создать учебный сайт на React

23 апр. 2024, в 19:01

7000 руб./за проект

Скрипт рассылки голосовых для ASTERISK

23 апр. 2024, в 18:47

10000 руб./за проект

Разработка мобильного приложения с интеграцией из WhatsApp

23 апр. 2024, в 18:23

200000 руб./за проект

Answer 1 · 2019-02-01 10:17:36

TLS-SNI-01 validation is reaching end-of-life. It will stop working
temporarily on February 13th, 2019, and permanently on March 13th, 2019.

You need to update your ACME client to use an alternative validation
method (HTTP-01, DNS-01 or TLS-ALPN-01) before this date or your
certificate renewals will break and existing certificates will start to
expire.

Изучать ничего не обязательно, нужно проапдейтить клиент и убедиться, что он корректно подтверждает владение доменом любым из актуальных способов. В случае HTTP-01 достаточно, чтобы веб-сервер одинаково обрабатывал служебные запросы LE на 80 и 443 портах:

tls-sni-01 used port 443, but http-01 uses port 80. Ideally your web server should allow both ports. If that’s not possible, for instance because your ISP blocks port 80, you’ll need to switch to the dns-01 challenge, or use an ACME client that supports tls-alpn-01.

Answer 2 · 2019-02-01 10:18:18

Сертификат устаревает.
Ваш сертификат прекратит действия в 13 февраля 19г, а удалиться в 13 марта 19г.
Вам нужно обновить ACME client.

Answer 3 · 2019-02-01 10:21:12

Чтобы понять о чём письмо - достаточно его прочитать, хотя бы через переводчик.

Говорят о том, что метод валидации TLS-SNI-01 будет отключен после 13 февраля, а вы используете его для получения сертификатов, соответственно сертификаты перестанут обновляться, о чём вас настойчиво предупреждают.

они обновляются сами через certbot

В тексте прямо о вашей ситуации и написано:

If you're a Certbot user, you can find more information here:
https://community.letsencrypt.org/t/how-to-stop-us...

О чём это письмо от Let's Encrypt?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт