{"id":21121,"date":"2019-02-05T09:13:09","date_gmt":"2019-02-05T08:13:09","guid":{"rendered":"https:\/\/143bis.ch\/?p=21121"},"modified":"2021-04-04T10:33:52","modified_gmt":"2021-04-04T08:33:52","slug":"letsencrypt-org-schaltet-die-tls-sni-01-challenge-ab-was-tun","status":"publish","type":"post","link":"https:\/\/143bis.ch\/technik\/letsencrypt-org-schaltet-die-tls-sni-01-challenge-ab-was-tun\/","title":{"rendered":"letsencrypt.org schal\u00adtet die TLS-SNI-01-Chall\u00adenge ab. Was tun?"},"content":{"rendered":"\n

Wer seine Web\u00adser\u00adver mit den Diens\u00adten von letsencrypt.org absi\u00adchert und den Daten\u00adfluss vom Cli\u00adent zum Ser\u00adver mit Zer\u00adti\u00adfi\u00adka\u00adten ver\u00adschl\u00fcs\u00adseln l\u00e4sst (https) muss unter Umst\u00e4n\u00adden han\u00addeln. Wenn Sie bis\u00adher auf die TLS-SNI-01-Chall\u00adenge gesetzt haben, sind einige Anpas\u00adsun\u00adgen not\u00adwen\u00addig, um auch ins\u00adk\u00fcnf\u00adtig auto\u00adma\u00adtisch die Zer\u00adti\u00adfi\u00adkate von letsencrypt.org ohne Pro\u00adbleme zu erhal\u00adten. Per 13. Februar 2019 wird TLS-SNI-01<\/span> vor\u00ad\u00fcber\u00adge\u00adhend und dann per 13. M\u00e4rz 2019 defi\u00adni\u00adtiv abgeschaltet.<\/p>\n\n\n\n

<\/figure><\/div>\n\n\n\n

Zum Gl\u00fcck ist ein Wech\u00adsel nicht schwie\u00adrig (Kurz\u00adan\u00adlei\u00adtung hier auf letsencrypt.org<\/a>):<\/p>\n\n\n\n

Stel\u00adlen Sie zuerst die Ver\u00adsion von Cert\u00adbot fest, die auf Ihrem Sys\u00adtem vor\u00adhan\u00adden ist:<\/p>\n\n\n\n

certbot --version || \/path\/to\/certbot-auto --version<\/code><\/pre>\n\n\n\n
Wenn Sie auf einer Ver\u00adsion vor 0.28 sind, dann m\u00fcs\u00adsen Sie den Cert\u00adbot upda\u00adten. F\u00fcr Ubuntu 18.04 geht das wie folgt (wei\u00adtere Deri\u00advate und die pas\u00adsende Anlei\u00adtung fin\u00adden Sie auf certbot.eff.org<\/a>):<\/p>\n\n\n\n
sudo apt-get update\nsudo apt-get install software-properties-common\nsudo add-apt-repository universe\nsudo add-apt-repository ppa:certbot\/certbot\nsudo apt-get update\nsudo apt-get install certbot python-certbot-apache<\/code><\/pre>\n\n\n\n
\u00dcber\u00adpr\u00fc\u00adfen Sie danach noch\u00admals die instal\u00adlierte Ver\u00adsion. Sie soll\u00adten nun auf der Ver\u00adsion 0.28 (Stand 04.02.2019) sein:<\/p>\n\n\n\n
certbot --version || \/path\/to\/certbot-auto --version<\/code><\/pre>\n\n\n\n
Aus\u00adgabe der instal\u00adlier\u00adten Ver\u00adsion von Certbot.<\/figcaption><\/figure><\/div>\n\n\n\n
Nun m\u00fcs\u00adsen die Kon\u00adfi\u00adgu\u00adra\u00adti\u00adons\u00adda\u00adteien anpas\u00adsen, damit nicht mehr auf die TLS-SNI-01-Chall\u00adenge gesetzt wird. Der nach\u00adfol\u00adgende Befehl setzt die Chall\u00adenge auf HTTP-01<\/span>. Andere Chal\u00adlenges fin\u00adden Sie auf der ent\u00adspre\u00adchen\u00adden man page<\/a>.<\/p>\n\n\n\n
sudo sh -c \"sed -i.bak -e 's\/^\\(pref_challs.*\\)tls-sni-01\\(.*\\)\/\\1http-01\\2\/g' \/etc\/letsencrypt\/renewal\/*; rm -f \/etc\/letsencrypt\/renewal\/*.bak\"<\/code><\/pre>\n\n\n\n
Nun soll\u00adten Sie einen Tro\u00adcken\u00adlauf durch\u00adf\u00fch\u00adren und tes\u00adten, ob alles funktioniert:<\/p>\n\n\n\n
sudo certbot renew --dry-run<\/code><\/pre>\n\n\n\n
Wenn bei die\u00adsem Tro\u00adcken\u00adlauf Feh\u00adler\u00admel\u00addun\u00adgen zu den Ver\u00adzeich\u00adnis\u00adsen \/etc\/letsencrypt\/post-hook.d\/, \/etc\/letsencrypt\/pre-hook.d\/ und \/etc\/letsencrypt\/renew-hook.d\/<\/em> auf\u00adtau\u00adchen, dann haben Sie mit gr\u00f6ss\u00adter Wahr\u00adschein\u00adlich\u00adkeit einige Cert\u00adbot-Ver\u00adsio\u00adnen \u00fcber\u00adsprun\u00adgen. Das ist halb so wild, erstel\u00adlen Sie ein\u00adfach die feh\u00adlen\u00adden Ver\u00adzeich\u00adnisse (wei\u00adtere Hin\u00adweise dazu auf github.com<\/a>):<\/p>\n\n\n\n
sudo mkdir \/etc\/letsencrypt\/post-hook.d\/ \/etc\/letsencrypt\/pre-hook.d\/ \/etc\/letsencrypt\/renew-hook.d\/<\/code><\/pre>\n\n\n\n
Im Prin\u00adzip ist nun alles erle\u00addigt. Der Cert\u00adbot wird beim n\u00e4chs\u00adten Mal nun auf die HTTP-01-Chall\u00adenge set\u00adzen und die Zer\u00adti\u00adfi\u00adkate erneuern. <\/p>\n\n\n\n
Mel\u00addung \u00fcber feh\u00adlende Ver\u00adzeich\u00adnisse (z.B. \/etc\/letsencrypt\/post-hook.d\/, \/etc\/letsencrypt\/pre-hook.d\/ und \/etc\/letsencrypt\/renew-hook.d\/) und die ver\u00adal\u00adtete und unsi\u00adchere TLS-SNI-01-Challange.<\/figcaption><\/figure><\/div>\n\n\n\n
Ich habe es aber bevor\u00adzugt, die Erneue\u00adrung sofort durch\u00adzu\u00adf\u00fch\u00adren. Falls sp\u00e4\u00adter irgend\u00adwann der Cron\u00adjob star\u00adtet und irgend\u00adet\u00adwas doch nicht so l\u00e4uft, wie es eigent\u00adlich sollte, hat man das Geschenk. Und auf Not\u00adfall\u00ad\u00fcbun\u00adgen kann ich gut verzichten.<\/p>\n\n\n\n
Um die Zer\u00adti\u00adfi\u00adkats\u00ader\u00adneue\u00adrung sofort zu erzwin\u00adgen, ver\u00adwen\u00adden Sie die\u00adsen Befehl:<\/p>\n\n\n\n
sudo certbot renew --force-renewal<\/code><\/pre>\n\n\n\n
Wie Sie im Bild wei\u00adter oben aber sehen k\u00f6n\u00adnen, hat der Cert\u00adbot wei\u00adter\u00adhin die TLS-SNI-01-Chall\u00adenge ange\u00adwandt, obwohl die Kon\u00adfi\u00adgu\u00adra\u00adti\u00adons\u00adda\u00adteien ange\u00adpasst waren. Der Grund daf\u00fcr waren zwei unter\u00adschied\u00adli\u00adche Cert\u00adbot-Pakete (wei\u00adtere Hin\u00adweise gibt es in die\u00adsem github.com-Issue<\/a>). Sie k\u00f6n\u00adnen einen Ver\u00adsio\u00adnen\u00adkon\u00adflikt auf Ihrem Ser\u00adver wie folgt \u00fcberpr\u00fcfen:<\/p>\n\n\n\n
sudo dpkg --list | grep -E \"python.?-certbot\"<\/code><\/pre>\n\n\n\n
Die Aus\u00adgabe kann dann so aussehen:<\/p>\n\n\n\n
Ver\u00adsi\u00adons\u00adkon\u00adflikt von unter\u00adschied\u00adli\u00adchen cert\u00adbot-Pake\u00adten: die \u201c3\u201d bei python3-cert\u00adbot-apa\u00adche spielt eine Rolle.<\/figcaption><\/figure><\/div>\n\n\n\n
<\/p>\n\n\n\n
Man sieht sofort, dass unter \u201cpython3-cert\u00adbot-apa\u00adche\u201d immer noch eine Ver\u00adsion 0.23.0\u20131 exis\u00adtiert. Das ver\u00adal\u00adtete Paket k\u00f6n\u00adnen Sie ganz ein\u00adfach ent\u00adfer\u00adnen und die aktu\u00adelle Ver\u00adsion instal\u00adlie\u00adren und danach noch\u00admals die Ver\u00adsio\u00adnen pr\u00fcfen:<\/p>\n\n\n\n
#Deinstallation der alten und Installation der neuen Version\nsudo apt remove python3-certbot-apache -y && sudo apt install python-certbot-apache -y\n\n#Versionen pr\u00fcfen\nsudo dpkg --list | grep -E \"python.?-certbot\"<\/code><\/pre>\n\n\n\n
 <\/p>\n\n\n\n
Aus\u00adgabe der kor\u00adrek\u00adten Certbot-Versionen.<\/figcaption><\/figure><\/div>\n\n\n\n
Danach tes\u00adten Sie alles noch\u00admals mit einem Tro\u00adcken\u00adlauf oder einem Erneuerungsdurchgang:<\/p>\n\n\n\n
#Trocken\u00fcbung ohne Zertifikatserneuerung\nsudo certbot renew --dry-run\n\n#Zertifikate sofort erneuern\nsudo certbot renew --force-renew<\/code><\/pre>\n\n\n\n
S\u00e4mt\u00adli\u00adche kon\u00adfi\u00adgu\u00adrier\u00adten Zer\u00adti\u00adfi\u00adkate wer\u00adden nun mit der HTTP-01-Chall\u00adenge erneu\u00adert. TLS-SNI-01<\/span> ist damit Geschichte und Ihr Ser\u00adver f\u00fcr die Zukunft ger\u00fcstet.<\/p>\n","protected":false},"excerpt":{"rendered":"
Wer seine Web\u00adser\u00adver mit den Diens\u00adten von letsencrypt.org absi\u00adchert und den Daten\u00adfluss vom Cli\u00adent zum Ser\u00adver mit Zer\u00adti\u00adfi\u00adka\u00adten ver\u00adschl\u00fcs\u00adseln l\u00e4sst (https) muss unter Umst\u00e4n\u00adden han\u00addeln. Per 13. Februar 2019 wird TLS-SNI-01<\/span> vor\u00ad\u00fcber\u00adge\u00adhend und dann per 13. M\u00e4rz 2019 defi\u00adni\u00adtiv abgeschaltet.<\/p>\n","protected":false},"author":1,"featured_media":21161,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_coblocks_attr":"","_coblocks_dimensions":"","_coblocks_responsive_height":"","_coblocks_accordion_ie_support":"","inline_featured_image":false,"wp_typography_post_enhancements_disabled":false,"_links_to":"","_links_to_target":""},"categories":[12],"tags":[149,147,146,148],"yoast_head":"letsencrypt.org schaltet die TLS-SNI-01-Challenge ab. Was tun? - 143bis.ch<\/title>\n<meta name=\"description\" content=\"Eine Schweizer Plattform f\u00fcr Informationssicherheit und Datenschutz.\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/143bis.ch\/technik\/letsencrypt-org-schaltet-die-tls-sni-01-challenge-ab-was-tun\/\" \/>\n<meta name=\"twitter:label1\" content=\"Written by\" \/>\n\t<meta name=\"twitter:data1\" content=\"Rechtsanwalt Roman Kost\" \/>\n\t<meta name=\"twitter:label2\" content=\"Estimated reading time\" \/>\n\t<meta name=\"twitter:data2\" content=\"3 minutes\" \/>\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\/\/schema.org\",\"@graph\":[{\"@type\":\"WebPage\",\"@id\":\"https:\/\/143bis.ch\/technik\/letsencrypt-org-schaltet-die-tls-sni-01-challenge-ab-was-tun\/\",\"url\":\"https:\/\/143bis.ch\/technik\/letsencrypt-org-schaltet-die-tls-sni-01-challenge-ab-was-tun\/\",\"name\":\"letsencrypt.org schaltet die TLS-SNI-01-Challenge ab. Was tun? - 143bis.ch\",\"isPartOf\":{\"@id\":\"https:\/\/143bis.ch\/#website\"},\"datePublished\":\"2019-02-05T08:13:09+00:00\",\"dateModified\":\"2021-04-04T08:33:52+00:00\",\"author\":{\"@id\":\"https:\/\/143bis.ch\/#\/schema\/person\/023834d316efb4326d1b4b20e0cb46e4\"},\"description\":\"Eine Schweizer Plattform f\u00fcr Informationssicherheit und Datenschutz.\",\"breadcrumb\":{\"@id\":\"https:\/\/143bis.ch\/technik\/letsencrypt-org-schaltet-die-tls-sni-01-challenge-ab-was-tun\/#breadcrumb\"},\"inLanguage\":\"en-US\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"https:\/\/143bis.ch\/technik\/letsencrypt-org-schaltet-die-tls-sni-01-challenge-ab-was-tun\/\"]}]},{\"@type\":\"BreadcrumbList\",\"@id\":\"https:\/\/143bis.ch\/technik\/letsencrypt-org-schaltet-die-tls-sni-01-challenge-ab-was-tun\/#breadcrumb\",\"itemListElement\":[{\"@type\":\"ListItem\",\"position\":1,\"name\":\"143bis.ch\",\"item\":\"https:\/\/143bis.ch\/\"},{\"@type\":\"ListItem\",\"position\":2,\"name\":\"letsencrypt.org schal\u00adtet die TLS-SNI-01-Chal\u00adlenge ab. Was tun?\"}]},{\"@type\":\"WebSite\",\"@id\":\"https:\/\/143bis.ch\/#website\",\"url\":\"https:\/\/143bis.ch\/\",\"name\":\"143bis.ch\",\"description\":\"\",\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":{\"@type\":\"EntryPoint\",\"urlTemplate\":\"https:\/\/143bis.ch\/?s={search_term_string}\"},\"query-input\":\"required name=search_term_string\"}],\"inLanguage\":\"en-US\"},{\"@type\":\"Person\",\"@id\":\"https:\/\/143bis.ch\/#\/schema\/person\/023834d316efb4326d1b4b20e0cb46e4\",\"name\":\"Rechtsanwalt Roman Kost\",\"description\":\"Rechtsanwalt Roman Kost ist Spezialist f\u00fcr Informationssicherheit und Datenschutz. Als Anwalt vertritt er Sie unter anderem im Bereich des Hackerstrafrechts, s\u00e4mtlichen Belangen der IT und der Informationssicherheit sowie des Datenschutzes. Tel: 041 440 33 43 Signal: 041 440 33 43 Email: info@ra-kost.ch Web: https:\/\/ra-kost.ch LinkedIn Xing\",\"sameAs\":[\"https:\/\/ra-kost.ch\",\"https:\/\/twitter.com\/143bis\"],\"url\":\"https:\/\/143bis.ch\/author\/rk\/\"}]}<\/script>","yoast_head_json":{"title":"letsencrypt.org schaltet die TLS-SNI-01-Challenge ab. Was tun? - 143bis.ch","description":"Eine Schweizer Plattform f\u00fcr Informationssicherheit und Datenschutz.","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/143bis.ch\/technik\/letsencrypt-org-schaltet-die-tls-sni-01-challenge-ab-was-tun\/","twitter_misc":{"Written by":"Rechtsanwalt Roman Kost","Estimated reading time":"3 minutes"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"WebPage","@id":"https:\/\/143bis.ch\/technik\/letsencrypt-org-schaltet-die-tls-sni-01-challenge-ab-was-tun\/","url":"https:\/\/143bis.ch\/technik\/letsencrypt-org-schaltet-die-tls-sni-01-challenge-ab-was-tun\/","name":"letsencrypt.org schaltet die TLS-SNI-01-Challenge ab. Was tun? - 143bis.ch","isPartOf":{"@id":"https:\/\/143bis.ch\/#website"},"datePublished":"2019-02-05T08:13:09+00:00","dateModified":"2021-04-04T08:33:52+00:00","author":{"@id":"https:\/\/143bis.ch\/#\/schema\/person\/023834d316efb4326d1b4b20e0cb46e4"},"description":"Eine Schweizer Plattform f\u00fcr Informationssicherheit und Datenschutz.","breadcrumb":{"@id":"https:\/\/143bis.ch\/technik\/letsencrypt-org-schaltet-die-tls-sni-01-challenge-ab-was-tun\/#breadcrumb"},"inLanguage":"en-US","potentialAction":[{"@type":"ReadAction","target":["https:\/\/143bis.ch\/technik\/letsencrypt-org-schaltet-die-tls-sni-01-challenge-ab-was-tun\/"]}]},{"@type":"BreadcrumbList","@id":"https:\/\/143bis.ch\/technik\/letsencrypt-org-schaltet-die-tls-sni-01-challenge-ab-was-tun\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"143bis.ch","item":"https:\/\/143bis.ch\/"},{"@type":"ListItem","position":2,"name":"letsencrypt.org schal\u00adtet die TLS-SNI-01-Chal\u00adlenge ab. Was tun?"}]},{"@type":"WebSite","@id":"https:\/\/143bis.ch\/#website","url":"https:\/\/143bis.ch\/","name":"143bis.ch","description":"","potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/143bis.ch\/?s={search_term_string}"},"query-input":"required name=search_term_string"}],"inLanguage":"en-US"},{"@type":"Person","@id":"https:\/\/143bis.ch\/#\/schema\/person\/023834d316efb4326d1b4b20e0cb46e4","name":"Rechtsanwalt Roman Kost","description":"Rechtsanwalt Roman Kost ist Spezialist f\u00fcr Informationssicherheit und Datenschutz. Als Anwalt vertritt er Sie unter anderem im Bereich des Hackerstrafrechts, s\u00e4mtlichen Belangen der IT und der Informationssicherheit sowie des Datenschutzes. Tel: 041 440 33 43 Signal: 041 440 33 43 Email: info@ra-kost.ch Web: https:\/\/ra-kost.ch LinkedIn Xing","sameAs":["https:\/\/ra-kost.ch","https:\/\/twitter.com\/143bis"],"url":"https:\/\/143bis.ch\/author\/rk\/"}]}},"_links":{"self":[{"href":"https:\/\/143bis.ch\/wp-json\/wp\/v2\/posts\/21121"}],"collection":[{"href":"https:\/\/143bis.ch\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/143bis.ch\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/143bis.ch\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/143bis.ch\/wp-json\/wp\/v2\/comments?post=21121"}],"version-history":[{"count":1,"href":"https:\/\/143bis.ch\/wp-json\/wp\/v2\/posts\/21121\/revisions"}],"predecessor-version":[{"id":48428,"href":"https:\/\/143bis.ch\/wp-json\/wp\/v2\/posts\/21121\/revisions\/48428"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/143bis.ch\/wp-json\/wp\/v2\/media\/21161"}],"wp:attachment":[{"href":"https:\/\/143bis.ch\/wp-json\/wp\/v2\/media?parent=21121"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/143bis.ch\/wp-json\/wp\/v2\/categories?post=21121"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/143bis.ch\/wp-json\/wp\/v2\/tags?post=21121"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}