mod_rewrite, Let’s Encrypt en een vervelend probleem

Ik ben een fervent aanhanger van Let’s Encrypt, en van het versleutelen van verkeer in het algemeen. Al mijn publieke en private sites hebben dus een certificaat, dat bij voorkeur automatisch vernieuwd wordt.

Maar al een tijdje is er een probleem met één van die sites (een Mattermostserver achter een Apache reverse proxy), waarbij het hernieuwen van het certificaat (via cron) om de één of andere reden faalt. Op zich was er met DNS en de configuratie van de webserver niets mis: die was identiek aan alle andere systemen.

Lees verder “mod_rewrite, Let’s Encrypt en een vervelend probleem”

Dovecot & certificaten

Zoals ik al vertelde, was het nodig om het SSL-certificaat van mijn e-mailserver (post.helptux.be) te vernieuwen.

En natuurlijk moet je dan ook alle applicaties aanpassen. Postfix was mooi aangepast, maar toen weigerde Thunderbird plots mijn e-mails op te halen. En wat vond ik in het logbestand?

May 12 18:01:52 post dovecot: imap-login: Disconnected (no auth attempts in 0 secs): user=<>, rip=<>, lip=<>, TLS: SSL_read() failed: error:SSL routines:SSL3_READ_BYTES:sslv3 alert certificate revoked: SSL alert number 44, session=<>

Oeps! Gelukkig snel gefixt.

ssl_cert = </etc/ssl/private/ssl-chain.2017.pem
ssl_key = </etc/ssl/private/2017.key

En maar meteen ook de rest van de SSL-opties wat verbeterd (geïnspireerd door deze fantastische site).

ssl_cipher_list = AES128+EECDH:AES128+EDH
ssl_protocols = !SSLv2 !SSLv3
ssl_prefer_server_ciphers = yes