Follow

Wenn man einsetzt, wäre es von Vorteil den Webserver mindestens einmal in 3 Monaten neu zu starten. Scheint nicht sehr verbreitet dieses „Wissen“.

@stressbuerger oder einfach post- und pre-hook im crontab vom certbot verwenden:
> certbot renew --pre-hook "service apache2 stop" --post-hook "service apache2 start"

@r00tusr @stressbuerger Bei den meisten Servern gibt es auch eine Reload-Option, die verhindert dass überhaupt ein Nutzer den Restart mitbekommt (d.h. existierende Verbindungen werden weiter bearbeitet und nur neue verwenden die aktualisierte Config).

@allo @stressbuerger Ja, stimmt, aber dadurch dass ich beim certbot den "standalone" authenticator und nicht "webroot" nutze muss ich den apache vor dem renew sowieso stoppen, da dann der certbot auf den webserver-ports läuft.

@r00tusr Ich hab das damit gelöst, dass bei allen vHosts das .well-known/certbot verzeichnis auf das gleiche lokale Verzeichnis zeigt. Dann klappt webroot mit immer dem gleichen Pfad und im post-hook kann ich ein reload machen. Standalone heißt halt wirklich eine Minute Downtime.

@stressbuerger
Ein Skript zusammenklöppeln, welches alle Parameter prüft und bei Änderungen ggf. entsprechend reagiert.

Erkenntnis, jenseits von der zeitlichen Konstante von 3 Monaten.
Denn Shit und Life happens...
^^

@crunchy Ist natürlich noch sinnvoller. Alles ist besser als den Zugriff durch eine unschöne Sicherheitswarnung zu unterbinden. Und das bei Podcasts im Chaos Umfeld. 😆

Sign in to participate in the conversation
chaos.social

chaos.social – a Fediverse instance for & by the Chaos community