Closed quenenni closed 5 years ago
camlafit
commented
5 years ago La préconisation certbot était une périodicité de 12h. Actuellement la documentation indique 1fois jour ou semaine.
Aucun intérêt de passer le cron à 2h
https://certbot.eff.org/docs/using.html?highlight=cron
since certificates are only renewed when they’re determined to be near expiry, the command can run on a regular basis, like every week or every day
quenenni
commented
5 years ago Merci pour ta réponse.
Je reste cependant très perplexe face à ce que tu dis.
Pour moi, ça a toujours été le "certbot renew" où il demande de faire ça toutes les 12 h (peut-être 1x par jour maintenant), mais pas pour la création d'un certificat.
"More information about hooks can be found by running certbot --help renew.
If you’re sure that this command executes successfully without human intervention, you can add the command to crontab (since certificates are only renewed when they’re determined to be near expiry, the command can run on a regular basis, like every week or every day)."
Ils parlent bien de certbot renew et non de la création d'un certificat.
Et ton script ne gère pas les màj des certifs, juste leur création.
Une fois par jour pour avoir ton certif me semble vraiment trop peu. Perso, on restera à toutes les 2heures pour la création.
camlafit
commented
5 years ago Bonjour
En effet il y a 2 étapes la création et le renouvellement des certificats. Le cron doit s'occuper du renouvellement uniquement. Comme il manque un trigger à la création des domaines, le cron s'occupe de facto de la création. Ce n'est pas son rôle.
Au vu de la documentation certbot il n'y pas de raison de changer le comportement du cron. Pour l'initialisation des certificats c'est un autre problème.
https://github.com/AlternC/alternc-certbot/blob/04fa3612eeb3ce0cbcc1c76fba0dc666b7390dc3/src/etc/cron.d/alternc-certbot#L4
Y a-t'il une raison spécifique à mettre ça toutes les 12h? Je l'ai mis toutes les 2h chez nous. Le script test si les dns sont bons et seulement dans ce cas lance la commande de création de certif. La grande majorité des dns sont propagés dans l'heure. Mais même s'il lui fallait les 48h, ce n'est pas un soucis car ça ne ferait que 12 dig exécuté en 48h et un certbot create à la fin.