kommer inte in på smhi.se

Får upp samma felmeddelande, troligtvis är det bara SMHI som glömt att förnya certifikatet.
Vänta några timmar och prova igen.

Men hur kul skulle det vara?

Det minsta man kan begära är en påminnelse som når en grupp och inte en person, men numera så bör man automatisera förnyelsen av certifikat. Myndigheterna får inte hamna efter i den tekniska utvecklingen.

I det "traditionella" scenariot, där det är ett år som den där post-it lappen i så fall ska sitta någonstans innan den blir aktuell så är det nog ett rätt dåligt system. I så fall bättre att ha det i någon kalender eller liknande, men där är det väl typiskt personliga dito som oftast ligger närmast till hands, så det är ju också vanskligt.

Nu verkar ju dock det utgångna certet vara ett Letsencrypt-cert, så då känns det rimligt att anta att det fanns automatisk förnyelse på plats, men någon förändring har väl satt detta ur spel så den inte funkat.

Bättre är iaf i mitt tycke att ha med en kontroll av "$dagarkvar > 14" (eller vad man nu tycker passar) i övervakningen av tjänster med TLS, detta i båda fallen ovan. Det är ju dock inget som bara händer av sig självt typiskt...

Det utgångna certet var från Letsencrypt, så ACME var ju ända sättet de kan ha fått tag på certet. Och då var de ju i ett läge där automation både var möjlig och även det enda rimliga tillvägagångssättet med tanke på den korta livstiden.

Sedan vet vi ju inte var skon klämde gällande förnyelsen.

Som jag var inne på i tidigare inlägg så känns det som att de nog kan ha varit inne på ett rimligt spår men behöver bättre övervakning.

Lets Encrypt etc. har varit rätt drygt i organisationer som har flera olika IT-team då man kan råka nå tröskelnivåer på API-anrop och bli utlåst. Fast de har blivit bättre för företagskunder på senare tid. Sedan skulle jag inte tillåta mina servrar att gå ut på internet själv, eller ens ha möjlighet till DNS-uppslag på externa grejer. Så det kräver lite extra infrasturktur också om man vill ha automatisk deployment.

Men alla missar sina cert någon gång tyvärr.

Största nackdelen med HSTS, PKP etc. i dessa lägen är att webbläsaren sparkar bakut och man har inte ett val att nedgradera till HTTP. I fallet av SMHI spelar det ju ingen roll om man skulle besöka sidan okrypterat för de flesta.

Btw verkar mobilappen fungera.

Vi har helt enkelt teknologin att förnya automatiskt ännu /S

Fast nu är det ju bara certen för webhosten vi pratar om, inte CA:s för hela systemet..

Ja jag vet, men det finns så många olika certfikat och kanske var ett dåligt exempel.

smhi.se använder redan LetsEncrypt som är automatiskt förnyade certifikat. Problemet är att automatisk förnyelse ibland kan sluta fungera av olika anledningar.

Det måste alltid kompletteras med övervakning. Ett effektivt sätt att göra det är att regelbundet (räcker med en gång per dag) polla slut-datumet på sina servrar. Om det är mindre än 14 dagar kvar så får man upp en varning.

Funkar i vart fall för mig just nu