Updates on Lets Encrypt Subscriber Agreement & Ending Expiration Notification

Hallo.
Ich habe heute eine E-Mail von Let’s Encrypt erhalten, die Ihr vermutlich auch alle bekommen habt …

--------------------------------------------------------------

Hi,

As a Let’s Encrypt Subscriber, you benefit from access to free, automated TLS certificates. One way we have supported Subscribers is by sending expiration notification emails when it’s time to renew a certificate.

We’re writing to inform you that we intend to discontinue sending expiration notification emails. You can learn more in this blog post. You will receive this reminder email again in the coming months:

Here are some actions you can take today:

Automate with an ACME Client that supports Automated Renewal Information (ARI). ARI enables us to automatically renew your certificates ahead of schedule should the need arise:

Sign up for a third-party monitoring service that may provide expiration emails. We can recommend Red Sift Certificates Lite, which provides free expiration emails for up to 250 active certificates:

Opt in to emails. While we are deprecating expiration notification emails, you can opt in to continue to receive other emails. We’ll keep you informed about technical updates, and other news about Let’s Encrypt and our parent nonprofit, ISRG, based on the preferences you choose:

In accordance with this change, we are updating our Subscriber Agreement, effective 24 February 2025. This is the agreement that governs the relationship between you and ISRG with regards to your acquisition and use of SSL/TLS digital certificates issued by ISRG (via Let’s Encrypt). You don’t need to take any action to continue to use the Let’s Encrypt service but we encourage you to review the new agreement. You can find the latest agreement (v1.5) here:

All the best,
Let’s Encrypt

--------------------------------------------------------------

Unsere „internen“ LE-Zertifikate werden im Moment direkt von der OPNSense geholt und aktualisiert. Eigentlich läuft das vollständig automatisch …

Unsere Schulhomepage hingegen verwendet einen anderen Mechismus. Da waren mir die E-Mail-Erinnerungen immer ganz recht, da das manchmal auch hängengeblieben ist.
Daher: Wie geht Ihr damit um?

Viele Grüße,
Michael

Hallo Michael,

wir holen uns auf einer VM mittels dehydrated ein wildcard-Zertifikat (dns-challenge), welches wir dann mit Ansible entsprechend verteilen (server, opnsense, reverseproxy, …). Das Ansible-Playbook macht dann auch bei den betroffenen Services einen reload oder restart.
Das Ansible-Skript wird allerdings händisch von uns aufgerufen (sonst müssten wir ja einen entsprechenden private ssh-key ungeschützt auf einer VM haben).
Das Ansible rennt da schnell durch und wenn es irgendwo ein Problem gab, dann bekommen wir das da direkt mit. Aufwand: Eine Minute alle 3 Monate.
Lieben Gruß
Raphael

Hallo Michael,

Bei mir sind auch die Wildcard (auch dns-challenge, mit certbot) automatisch verteilt, ich muss da gar nichts mehr machen.

Seite Monitoring: ich habe einen Python-Skript, der jede Nacht per Cronjob alle meine SSL Endpunkte aufrufe, um zu überprüfen, ob alles ok ist.
Falls einen Zertifikat zu nah von Ende liegt, erhalte ich automatisch eine Email.

Gruß

Arnaud