Letsencrypt: Wenn simp_le nicht simpel ist

onli blogging

Letsencrypt: Wenn simp_le nicht simpel ist

Sunday, 30. April 2017

Panik am Sonntag: Die Webseite ist nicht erreichbar, weil ihr Zertifikat abgelaufen ist. Eingeloggt auf dem Server steht der Cronjob zum Erneuern desselben eigentlich, aber der Test zeigt, dass der genutzte Client simp_le nicht mehr funktioniert:

AttributeError: 'module' object has no attribute 'openssl_md_meth_names'

Also erstmal simp_le aktualisiert. Keine Änderung. Google meint, hashlib fehle und müsse installiert werden. Dort scheitert die Installation:

TypeError: 'frozenset' object is not callable

Hier hat Stackoverflow eine Lösung, das Löschen der Datei /usr/lib/python2.7/lib-dynload/_hashlib.x86_64-linux-gnu.so (wtf?). Tatsächlich hilft das, hashlib wird installierbar. Doch ändert sich für simp_le gar nichts.

An dem Punkt wurde es mir zu doof. Certbot ist der ursprüngliche Letsencrypt-Client. Dort das Release heruntergeladen, fünf Minuten den richtigen Befehl herausgesucht, ausgeführt, nginx zum neuen Zertifikat gelinkt und die Seite war wieder online.

Meine Lektionen:

  1. Python ist nicht die richtige Sprache für solche Anwendungen. Man sollte etwas möglichst ohne weitere Abhängigkeiten haben, oder etwas das zumindest in einem stabilen Ökosystem agiert. Bash wäre okay, Binaries wären ideal. Python aber ist instabil.
  2. Mir ist bewusst, dass certbot ebenfalls Python benutzt. Aber das ist die zweite Lektion: Bei solchem Infrastruktur-kritischem Zeug ist es besser, das große Softwareprojekt zu nehmen. Wenn dort etwas bricht wird das große Projekt es schnell reparieren, während die sympathische light-Variante (denn das war simp_le) eben kaputt bleibt.
  3. Das Zertifikat braucht sein eigenes Monitoring, die Uptime-Kontrolle hat das abgelaufene Zertifikat nicht bemerkt.

Update

Der certbot hat sich seit diesem Wechsel bei mir wirklich bewährt. Es gab keine Fehlermeldungen mehr, keine Probleme mit dem Code. Woran man aber denken sollte ist der Neustart von nginx. Das wurde vorher von dem Cronjob erledigt, der Cronjob den certbot anlegt aber erledigt das nicht. Man könnte den Aufruf von certbot also ebenfalls wieder in ein Skript packen, mit dem Skript den Befehl in der Crontab ersetzen, und dort regelmäßig den Webserver neustarten.

Kommentare (10) | Trackbacks (0) | in Linux

Trackbacks

Keine Trackbacks


Kommentare

benediktg am :

*

dehydrated dürfte da genau da eine gute Empfehlung sein. Es handelt sich dabei um etwa 1000 Zeilen Shellskript, welches sich im Wesentlichen mit openssl und curl, also Programmen, die in der Regel bereits vorhanden sind, begnügt. Ich benutze das schon seit geraumer Zeit und hatte noch keine Probleme damit.

onli am :

*

Klingt super, Danke!

Andreas G. am :

*

Ich nutze in letzter Zeit https://acme.sh. Das ist ein Shellskript das kaum Abhängigkeiten hat. Die Einrichtung ist simpel und gegenüber certbot gibt kaum funktionelle Einschränkungen.

onli am :

*

Klingt fast nochmal besser. Danke!

satanist am :

*

Äh warum fällt es nicht auf wenn der client nicht tut? Ich meine der wird ja entweder im hintergrund laufen oder per cron getrigert, sowas muss man doch monitoren.

onli am :

*

Cron. Stimmt. Entweder läuft Cron gar nicht und das war Zufall, dass auch der Client kaputt ist. Oder, wahrscheinlicher, der sendet eine lokale Mail mit dem Fehler. Das sieht dann natürlich niemand.

satanist am :

*

Äh und warum werden die cronmails nicht an die admins geschickt? Also mal unter der Annahme, dass cron läuft.

onli am :

*

Weil Ubuntu das nicht standardmäßig macht und es keiner eingerichtet hat :)

noisefloor am :

*

Wo ist denn der Zusammenhang zwischen "das Skript funktioniert nicht" und "Python ist instabil"? Letzteres stimmt ja von vorne bis hinten nicht. Wenn ein Skript schlecht programmiert ist oder der Entwickler eine fehlerhafte Version auf den Markt wirft, dann kann die Programmiersprache doch nichts dafür.

Ich kann dir auch gerne Skripte in anderen Programmiersprachen schreiben, die Fehlermeldungen werfen und nicht durch laufen ;-)

onli am :

*

Es geht nicht um die Sprache selbst, es geht ums Ökosystem. Wenn dir das wegbrechen kann, ist das eben problematisch für kritische Software, die möglichst immer funktionieren muss. Jede verbratene Minute Kampf mit den Abhängigkeiten bedeutete Downtime bedeutete potentiellen Einkommensverlust.

Das betrifft nicht nur Python. Ruby ist in der gleichen Situation (derzeit läuft der music-streamer auf meinem Heimserver nicht, weil eine Abhängigkeit nach einem von Arch erzwungenem Ruby-Update upstream kaputt ist), Javascript/Node mit seinem undiszipliniertem npm system ist noch viel schlimmer.

Edit: Oder um direkter zu antworten: Der Zusammenhang ist, dass das Skript selbst gar nicht kaputt ist. Es funktioniert nur auf dem System nicht, weil eine der Abhängigkeiten auf dem System nicht funktioniert. Es ist weder schlecht programmiert noch eine fehlerhafte Version, es verlässt sich nur auf eine nicht funktionierende Umwelt. Genau das macht es zum Problem der Sprache, denn ihr Ökosystem gehört nunmal zu ihr.


Kommentar schreiben

HTML-Tags werden in ihre Entities umgewandelt.
Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet.
Umschließende Sterne machen ein Wort kursiv (*wort*), per **wort** wird es fett. [http://www.example.com Link] fungiert als URL-Tag.
 
 
Datenschutzerklärung