Journal Let's Encrypt arrête l'envoi des mails prévenant de l'expiration des certificats

Posté par  (site web personnel) . Licence CC By‑SA.
Étiquettes : aucune
6
30
jan.
2025

Bonjour Nal,

Hier soir, j'ai reçu un courriel de la part de Let's Encrypt indiquant la fin de l'envoi des courriels prévenant de l'expiration prochaine des certificats (certificate expiration notification emails). Ce matin, je suis surpris de n'en trouver aucune mention dans mes feeds. Serais-je le dernier à n'avoir pas totalement automatisé le renouvellement de mes certificats et à encore compter dessus ? Ou le premier à relever mes mails ?

Oui je l'avoue, je compte encore dessus pour lancer manuellement mes scripts ansible au bon moment… Vu le peu d'efforts que cela me demande, j'ai toujours eu la flemme de passer cette dernière étape. Surtout que ça demanderait en plus de peaufiner mes scripts de monitoring, car il y a toujours le risque qu'un script casse et que mes certificats deviennent silencieusement obsolètes.

Bref cher Nal, est-ce que ça va t'impacter ? Qu'est-ce que tu vas faire ?

Annonce sur le site de Let's Encrypt (en anglais)

  • # aucun impact

    Posté par  . Évalué à 4 (+4/-1).

    Entre les outils qui se chargent du renouvellement auto, ou les applications comme caddy qui intègrent directement la gestion des certificats, il doit pas rester grand monde qui n'est pas en auto et pour ceux là, vu que ce sont des gens sérieux, il y a la supervision du certificat.
    En plus les mails ça pollue, donc c'est globalement une bonne nouvelle sans impact, sauf pour eux (ils peuvent supprimer la gestion des envois de mails de masse) et la planète :)

    • [^] # Re: aucun impact

      Posté par  (site web personnel) . Évalué à 5 (+4/-1).

      En plus les mails ça pollue, donc c'est globalement une bonne nouvelle […]

      Tu as des sources sérieuses pour ton affirmation?

      Alors bien sûr si ces emails sont gérés par des prestataires qui vont analyser le contenu à des fins statistiques et publicitaire, l'impact écologique n'est pas du tout négligeable.

      Autrement, les échanges d'emails sont plutôt une forme d'échange d'information la plus "compatible" et la moins énergivore tout en restant sécurisable (mais là encore, ça dépend des serveurs. Si l'un des serveurs, expéditeur ou destinataire est Laposte.fr, il n'y a pas de sécurité possible [j'en vois pas de mon côté])

      Oui, gérer des serveurs d'emails c'est difficile, ça demande de l'expertise et d'être rigoureux, mais une fois que ça tourne, c'est très reposant et pratique, surtout de ne pas dépendre de tiers. Yunohost et/ou AlternC, Virtualmin sont des bons outils pour ça.

      D'ailleurs, la dernière version 3.5.0 de Alternc va bientôt sortir :

      La prerelease est disponible sur https://debian.alternc.org/dists/experimental/

      Cette version sera versionnée en 3.5.0 dès qu'on aura couvert les divers cas de de mise à jour rencontrés chez nous.

      Sont pris en compte les installations et mise à jour depuis :
      * buster & AlternC 3.5rcx
      * buster & AlternC 3.3
      * bookworm & AlternC 3.5rcX

      Il n'est pas prévu de tester pour bullseye.
      Si vous avez besoin de couvrir ce cas, je vous encourage à ouvrir autant de tickets que nécessaire. Et si vous avez les correctifs ce sera d'autant mieux.
      Notez toutefois que les problèmes identifiés pour bookworm seront traités en priorité.

      La procédure de mise à jour retenue est :
      buster / 3.x ,
      mise à jour alternc 3.5,
      mise à jour bullseye,
      mise à jour bookworm,
      configuration finale et tests.

      La documentation de mise à jour depuis 3.3 est consultable depuis
      https://aide.alternc.org/300/Mise-a-jour-3-3-x-vers-3-5-x

      Pourquoi bloquer la publicité et les traqueurs : https://greboca.com/Pourquoi-bloquer-la-publicite-et-les-traqueurs.html

      • [^] # Re: aucun impact

        Posté par  . Évalué à 3 (+2/-1).

        Le courriel le moins polluant reste celui qu'on envoie pas.

        Je suis en auto-hébergement aussi et je suis pas sûr que ce soit le plus efficace énergétiquement. Mais en effet, il y a pas 50 process qui scannent mes messages et font de l'IA dessus.

  • # C'est automatisé ici

    Posté par  . Évalué à 6 (+4/-0).

    Et puis mon calendrier ne tombe pas en panne non plus. Donc pas vraiment impacté, c'est un rappel en moins tout au plus.

    De leur côté, ça retire une belle charge de problème/travail/serveur, donc clairement pour !

    Sans compter que c'est bien la première fois que quelqu'un veut supprimer mon adresse mail de sa base de données de son propre chef 😂

    • [^] # Re: C'est automatisé ici

      Posté par  . Évalué à 3 (+1/-0).

      Les utilisateurs non plus ne tombent pas en panne, ils vont se charger d'envoyer les mails de notification 😂

  • # wildcard via modif dns

    Posté par  . Évalué à 1 (+0/-0).

    J'utilise aussi la notif mail pour me rappeler de renouveler un wildcard que j'utilise pour un ingress kube en auto …
    Le peu de temps que ca me prend pour faire le renew et la validation via le TXT DNS lorsque je reçoi la notif fait que je n'ai jamais cherchait à l'automatiser …
    Ni à le monitorer d'ailleurs …

    Donc je suis au moins un de plus concerné :)

  • # Surveillance

    Posté par  . Évalué à 5 (+3/-0).

    Je suis en automatique, mais je surveille quand même : https://github.com/Matty9191/ssl-cert-check

    D'ailleurs, je surveille pas que moi. ssl-cert-check envoie des courriels :)

  • # Bref cher Nal, est-ce que ça va t'impacter ? Qu'est-ce que tu vas faire ?

    Posté par  . Évalué à 4 (+2/-0).

    Non et Rien :)

    en toute honnêteté il y a suffisament de moyens simples pour que ça soit géré tout seul que je trouve leur décision compréhensible au vu du coût d'infra chez eux. L-E ça reste gratuit donc il faut serrer les coûts. C'est pas juste envoyer un mail, c'est mettre en place un système qui surveille les dates d'expiration chez eux pour éventuellement envoyer un mail.

    Je ne saurais trop conseiller d'utiliser:

    • un reverse proxy qui gère ça tout seul (traefik, caddy, ….)
    • un outil qui gère ça à votre place (avec ou sans cron) (certbot, lego ….)

    (PS https://github.com/geerlingguy/ansible-role-certbot)

    CF https://letsencrypt.org/docs/client-options/

  • # Quelques liens

    Posté par  . Évalué à 1 (+1/-0).

    Bonjour

    Cette nouvelle est assez fraîche en effet sur leur blog : https://letsencrypt.org/2025/01/22/ending-expiration-emails/

    Elle va de pair avec la diminution globale de la durée de vie des certificats annoncée pour les prochaines années (https://www.sectigo.com/resource-library/apple-now-joins-google-in-push-to-shorten-digital-certificate-lifespans) et la mise en place des certificats valables 6 jours (https://letsencrypt.org/2025/01/16/6-day-and-ip-certs/)

    Sur un passage à 6 jours tu aurais tout intérêt à automatiser ;)

    S'ils continuent à envoyer des mails ils vont devoir en générer 15 fois plus et augmenter leur infra en conséquence. S'ils n'en envoient plus ils vont pouvoir grandement diminuer leur infra d'envois (et la pollution associée :p)

    Bonne journée.

  • # les deux

    Posté par  . Évalué à 3 (+1/-0).

    Ou le premier à relever mes mails ?

    J'aurai dit le dernier. Au début, je le faisais mais maintenant c'est surtout du spam.

    Serais-je le dernier à n'avoir pas totalement automatisé le renouvellement de mes certificats et à encore compter dessus ?

    Clairement, tout l'intérêt de ACME, c'est d'automatiser ; d'ailleurs c'est dans le nom.

    Et tout comme d'autres commentateurs, j'ai des jobs qui surveillent mes services et m'alertent si qqch ne va pas.

Envoyer un commentaire

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.