BandaAncha.eu

Comunidad de usuarios
de fibra, móvil y ADSL

HSTS y el certificado caducado

NetSpot

A ver si estamos más atentos al certificado @Josh ;)

Que ya no es que se caduque, es que se caduca y la actividad se para en seco. Mira el último mensaje antes de este mío cronológicamente. Clavado, pero clavado, a la hora exacta de caducidad del certificado (bueno, 2 minutos). Que a mí me da igual, pero menos visitas, menos publicidad, menos dinero, ya sabes, hasta que lo arregles mañana ;). Y la molestia de añadir una excepción...

Es que, además, por la @!€# del HSTS, ya no es como antes que añadías al navegador una excepción y arreando. Vaya ... "molestia" para añadirla. Antes aún lo ponían fácil... Así que no entra ni el tato después.

Aeri

De uso habitual en Firefox desconozco si se puede añadir como excepción, lo que toca es abrir el foro en Edge que si me permite saltarme el HSTS.

BocaDePez
BocaDePez

Yo las renovaciones de certificados lets encrypt las tengo automatizadas y no me fallan nunca. Si quieres, te ayudamos ;)

amigos895
1

Pagad la cuota primer aviso, oh wait ya se puede entrar, hace como 2 horas no se podía.

BocaDePez
BocaDePez
2

No entiendo que se use HSTS en una web que no está programada correctamente para que se renueve el certificado.

Literalmente se cae cada tres meses.

🗨️ 12
pepejil
1

La caducidad de los certificados en Lets Encrypt son de 3 meses.

Supongo que hará autorenew (se configura fácilmente el cron al menos en Debian y Ubuntu) pero no así el reload al servidor web que eso es algo manual si no te apañas tu propio cron o te ayudas del Certbot.

vukits

Acabas de decirlo...

Est'a pagina es un producto de artesan'ia ...

NetSpot

Y es que, hablando de caducidades, no sé qué le limita a Let's encrypt para generar certificados de más de 3 meses.

A efectos de seguridad, con las CRL (listas de revocación), lo mismo le da generarlo para 3 meses que para 3 años. A Let's encrypt no creo que le genere más costes. Y a efectos prácticos, los navegadores son lo suficientemente listos para comprobar las CRL en caso de vulneración de CAs.

O sea, no sé. O se me escapa algo, o no lo pillo. ¿Qué gana Let's encrypt, o la www, con estar generando certificados (que son unos cuantos por ser gratuitos), cada tres meses?

🗨️ 9
NetSpot

Como dicen los americanos, bullshit.

Para el primer punto están la CRL.

Y para el segundo, aunque el fin de la informática es la automatización, ya sabemos lo que pasa a veces cuando no se supervisan las cosas. El día que haya un DDoS a Let's encrypt y no se pueda automatizar la actualización de certificados nos vamos a reir.

En general no estoy de acuerdo con lo que se dice ahí, pero bueno, son sus ideas y habrá que respetarlas, pero los problemas que dan, mismamente a esta web (y a otras que visito con sus certificados, que les pasa exactamente igual) son los que son por lo que son :/

🗨️ 7
BocaDePez
BocaDePez
🗨️ 6
Bramante
🗨️ 3
BocaDePez
BocaDePez
🗨️ 2
Bramante
🗨️ 1
BocaDePez
BocaDePez
NetSpot
🗨️ 1
BocaDePez
BocaDePez