Validierung von SSL-Zertfikaten

Hier finden Sie wichtige Informationen, was geschieht, wenn LiveConfig ein automatisiertes SSL-Zertifikat für "example.org" einrichten soll.


Automatisiertes SSL-Zertifikat für “example.org”

  1. Überprüfung, ob die Domain “example.org” wirklich angelegt ist, d.h, ob ein Vertrag mit dieser Domain besteht.
  2. Wenn dies der Fall ist, dann wird geprüft, ob der dazugehörige Kunde/Vertrag/Webspace auch aktiv ist.
  3. Wenn auch dies der Fall ist, dann sucht LiveConfig die entsprechenden IP-Adressen des Webspaces heraus, d.h. die Adressen, mit denen die vHost-Konfiguration erzeugt wird.
  4. Als nächstes durchführt LiveConfig eine “externe” DNS-Abfrage, um festzustellen, mit welchen IPs der verantwortliche DNS-Server in Wirklichkeit antwortet.
  5. Am Ende wird abgestimmt, ob die Liste der tatsächlichen IPs mit der Liste der konfigurierten IPs (bzw. der NAT-IPs) übereinstimmt. Wenn das nicht der Fall ist, dann gibt es eine entsprechende Fehlermeldung.

DNS-Check: Vorteile

  • sollte eine Domain falsch konfiguriert sein, erhält man eine bestimmte Fehlermeldung.
    • Konfigurationsfehler wären:
      • die falsche IP-Adresse ist hinterlegt.
      • die Domain ist inzwischen umgezogen.
      • Tippfehler sind im Domainnamen enthalten etc.
  • die Anzahl der ungültigen Domainvalidierungen bleibt damit gering. Damit verbunden werden zudem potenzielle Let’s Encrypt Probleme verringert.

Warum die Validierung?

  • Let’s Encrypt erzwingt Rate-Limits:
    • d.h., dass bei zu vielen Zertifikaten oder auch fehlgeschlagenen Zertifikaten, die Domain zeitweise gesperrt wird, sodass keine neuen SSL-Zertifikate mehr angefordert werden können.
    • mit den Validierungen vorab wird es unwahrscheinlicher, dass die Rate-Limits einsetzen und Ihnen dadurch kein SSL-Zertifikat zur Verfügung steht.

HTTP-01-Validierung

  • ADITSYSTEMS verwendet die HTTP-01-Validierung.
  • LiveConfig überprüft diese vorab, um keine fehlerhaften Validierungen durch Let’s Encrypt auszulösen.
  • Nach der erfolgreicher HTTP-01-Validierung wird das Zertifikat ausgestellt.

Ansicht im Log:

2a05:d014:3ad:702:f88d:72a0:f1f4:6500 - - [01/Nov/2019:12:34:51 +0000] “GET /.well-known/acme-challenge/Cr8mvAtL9kqymR4-V7rw2zUbpNeGaeCrxBmyvKX-6zY HTTP/1.1” 200 451 “-“ “Mozilla/5.0 (compatible; Let’s Encrypt validation server; +https://www.letsencrypt.org)”

Weitere Informationen finden Sie bei den Challenge Typen auf letsencrypt.org.

siehe auch