"Christmas - the time to fix the computers of your loved ones" « Lord Wyrm

Let's Encrypt User Agent

GrandAdmiralThrawn 29.05.2018 - 15:37 2538 7
Posts

GrandAdmiralThrawn

XP Nazi
Avatar
Registered: Aug 2000
Location: BRUCK!
Posts: 3701
Heyho,

Aus bestimmten Gründen würde ich gerne den User Agent von Let's Encrypt kennen, also genau genommen den UA des Dienstes, der bei der HTTP Domain Validation auf den eigenen Host zugreift, um dort die öffentlichen Schlüssel zu überprüfen (ich fahr keine Validierung über DNS).

Ich hab's wohl leider selber nicht (mehr) in meinen Access Logs vom letzten Renewal, aber vielleicht hat schon Mal jemand ein paar dieser Zugriffe mitgelogged, und könnte mir User Agent und als Bonus vielleicht noch den Hostnamen des Dienstes sagen, der da von Seiten Let's Encrypts' zugreift?

Ich habe testweise versucht, mein noch sehr neu aufgefrischtes Zert nochmal neu auszufassen um eine Validierung auszulösen, aber dabei meinte er, er "bräuchte zu diesem Zeitpunkt noch keine Validierung", also bin ich so leider nicht rangekommen.

Wär super, falls das jemand in seinen Access Logs hätte, danke!

Smut

takeover & ether
Avatar
Registered: Feb 2003
Location: VIE
Posts: 16850
du kannst das re-issue forcen.
so würdest einen zugriff provozieren.
hth

GrandAdmiralThrawn

XP Nazi
Avatar
Registered: Aug 2000
Location: BRUCK!
Posts: 3701
Also du meinst kein Renewal, sondern komplett von vorne? Hm...

Ich greif das ned so gerne an, weil er dann meine ganzen Server natürlich auch wieder runter- und rauffährt, daher wär's mir fast lieber, wenn das jemand aus seinen Logs schürfen könnte.. Wenn nicht, dann muß ich's eh so machen.

Grund ist nur, daß da ein .htaccess Filter läuft, der alle möglichen UAs blocked. Jetzt will ich halt klarerweise nicht, daß Let's Encrypt geblocked wird, das wär etwas kontraproduktiv. Kommt eh eine Warn-eMail daher mit der Zeit, aber trotzdem.

watercool

BYOB
Registered: Jan 2003
Location: -
Posts: 5954
Hilft das? https://community.letsencrypt.org/t...on-fail/29017/7

--
The IP address can be any random address (it’s a limited sub=set currently, but in the future could be any.

checking on my servers from the recent hits the useragent was “Mozilla/5.0 (compatible; Let’s Encrypt validation server; +https://www.letsencrypt.org)” I don’t know if there are plans to change that though
---

GrandAdmiralThrawn

XP Nazi
Avatar
Registered: Aug 2000
Location: BRUCK!
Posts: 3701
Wieeeso habe ich das bei meiner Sucherei wieder nicht finden können, ich blinds Hendl..

Danke vielmals jedenfalls, das hab ich gesucht! :)

Jetzt kann ich ein bissl UA spoofen und testen gehen!

Smut

takeover & ether
Avatar
Registered: Feb 2003
Location: VIE
Posts: 16850
hier noch aus den logs:

Code:
64.78.149.164 - - [06/May/2018:16:25:36 +0200] "GET /.well-known/acme-challenge/<challenge> HTTP/1.1" 404 10780 "-" "Mozilla/5.0 (compatible; Let's Encrypt validation server; +[url]https://www.letsencrypt.org[/url])"

edit:
es ist ein 404, jedoch ist der request legitim.
Bearbeitet von Smut am 29.05.2018, 16:12

GrandAdmiralThrawn

XP Nazi
Avatar
Registered: Aug 2000
Location: BRUCK!
Posts: 3701
Danke!

Ich nehm Mal an, die...
Code:
[url][/url]
...Tags in dem UA sind irgendein Parserfehler vom Forum hier?

Die IPs soll man ja eben nicht whitelisten, ich dachte mir man könnte ja evtl. die Domain nehmen. outbound2.letsencrypt.org, damit kann man schon arbeiten, *.letsencrypt.org usw.

Aber der UA ist ohnehin sauber, und wird von meinen Filtern ordentlich durchgelassen, hab's mit einem spoofed UA im Firefox getestet. Brauch ich nicht extra manuell rumpfuschen, was gut ist! .htaccess is nämlich irgendwie nicht so meine Stärke, da unterlaufen mir permanent Fehler..

Smut

takeover &amp;amp; ether
Avatar
Registered: Feb 2003
Location: VIE
Posts: 16850
Nein. URL ist auch im Apache log so hinterlegt.

edit: zu langer tag. tatsächlich, hat das forum reingepfuscht. dachte, dass ich mit dem code tag das url parsing udgl. unterbinde.


screen-shot-2018-05-29-at-20-32-19_230913.png
Bearbeitet von Smut am 29.05.2018, 20:32
Kontakt | Unser Forum | Über overclockers.at | Impressum | Datenschutz