Agentische KI operiert häufig in sozialen Kontexten.

Die Entwickler des auf Anonymität ausgelegten Live-Systems Tails haben mit Version 7.7.3 kurzfristig mit einem Notfall-Update auf eine kritische Sicherheitslücke im Linux-Kernel sowie auf…

Zahlreiche TanStack-Pakete auf npm haben eine Supply-Chain-Attacke erlitten, offenbar im Rahmen der Angriffswelle „Mini Shai-Hulud“.

Wenn Sie Ihre Domains bei Hetzner verwalten, wurden Sie in den vergangenen Monaten dazu aufgefordert, die Domains in ein neues DNS-Verwaltungstool zu migrieren. Das gelingt zumeist problemlos (zumindest in meinen Fällen).

Allerdings hat Hetzner nun auch die alte API zur DNS-Administration ausgeschaltet. Falls Sie bei der Ausstellung von Let’s-Encrypt-Zertifikate die alte DNS-API verwendet haben, scheitert die Erneuerung der Zertifikate mit unspezifischen Fehlern (invalid domain).

Ich verwende zur Zertifikatsausstellung normalerweise acme.sh und bin auf das Problem erst aufmerksam geworden, als das erste Zertifikat auf einem meiner Server abgelaufen ist. (Ein ordentliches Monitoring hätte dieses Hoppala natürlich verhindert. Es war nicht die wichtigste Domain …)

Ich habe keinen Weg gefunden, den Zertifiktaserneuerungsmechanismus von acme.sh irgendwie zu aktualisieren, also gewissermaßen die vorhandene Konfiguration auf die neue API zu migrieren. Die Lösung bestand darin, in der Hetzner-Console einen neuen API-Key einzurichten und dann mit acme.sh die Zertifikate neu auszustellen. Falls Sie viele Server administrieren, ist das, gelinde formuliert, unbequem …

Hinweis: Sie sind von diesem Problem NICHT betroffen, wenn die Domain-Validierung mit anderen Verfahren erfolgt, z.B. durch das Ablegen einer Datei in /var/www/html. Dieser Blog-Artikel bezieht sich explizit auf den Zertifikatserneuerungsprozess, wenn Sie bisher die alte Hetzner-DNS-API in Kombination mit acme.sh verwendet haben!

API-Key

Zuerst brauchen Sie einen neuen API-Key. Den erstellen Sie in der Hetzner-Konsole unter Security / API-Tokens. Der Token muss read/write sein, weil acme.sh für die Validierung Ihrer Domain vorübergehend eine zusätzlichen DNS-Eintrag hinzufügt. Den vollständigen Token-Code können Sie nur einmal ansehen/kopieren. Hetzner bietet aktuell keine Möglichkeit, die Gültigkeit des Keys irgendwie einzuschränken.

Ein RW-Key vermittelt damit weit mehr Rechte, als zur DNS-Administration erforderlich wären. Das ist mir ein wenig unheimlich, aber aktuell nicht zu ändern.

acme.sh aktualisieren, Zertifikate neu erstellen und einrichten

acme.sh muss das Verfahren Hetzner Cloud DNS API unterstützen. Dieses ist verhältnismäßig neu. Eventuell müssen Sie Ihre vorhandene acme.sh-Installation aktualisieren:

acme.sh --upgrade

Mit acme.sh --list gewinnen Sie einen Überblick, welche Zertifikate es auf dem Server gibt (Output verkürzt):

acme.sh --list

  Main_Domain         SAN_Domains              CA               Created     Renew
  eine-firma.de       www.eine-firma.de        LetsEncrypt.org  2026-05-12  2026-07-11
  mail.eine-firma.de  smtp.eine-firma.de,...   LetsEncrypt.org  2026-05-12  2026-07-11

Jetzt speichern Sie das Token in einer Umgebungsvariablen und wiederholen die Kommandos zur Zertifikatsausstellung sowie zum Kopieren der Zertifikate an den Zielort, wobei Sie die bisherige acme.sh-Option --dns dns-hetzner durch --dns dns-hetznercloud ersetzen.

Die folgenden Beispielkommandos zeigen die Neuausstellung der Zertifikate und deren Deployment. Sofern Sie exakt die gleichen Namen/Pfade wie bei der ursprünglichen Zertifikatsausstellung verwenden, sollte danach alles wieder funktionieren (d.h. der Webserver verwendet die neuen Zertifikate).

export HETZNER_Token='oqCF...'

# wichtig ist die geänderte Option --dns dns_hetznercloud
acme.sh --issue --dns dns_hetznercloud --server letsencrypt \
  -d eine-firma.de -d www.eine-firma.de

# Zertifikate in /etc/letsencrypt speichern (setzt voraus, dass
# Apache so konfiguriert ist, dass das Programm die Zertifikate
# von dort liest)
acme.sh --install-cert -d eine-firma.de \
        --cert-file      /etc/letsencrypt/eine-firma.de.cert \
        --key-file       /etc/letsencrypt/eine-firma.de.key \
        --fullchain-file /etc/letsencrypt/eine-firma.de.fullchain \
        --reloadcmd 'systemctl restart apache2'

Sie müssen die Kommandos natürlich an Ihre Gegebenheiten anpassen.

Quellen/Links

• https://github.com/acmesh-official/acme.sh/wiki/dnsapi2#dns_hetznercloud
• https://github.com/acmesh-official/acme.sh/issues/6554
• https://docs.hetzner.cloud/reference/cloud#description/getting-started
• https://www.hetzner.com/de/news/dns-beta/

Der Dateistandard ODF ist herstellerneutral und kann unter einer freien Lizenz genutzt werden. In Bezug auf digitale Souveränität gibt es viele Argumente, die für das Format sprechen. Allerdings wird auch Kritik daran geäussert.

Mit den Updates auf Unraid 7.2.5 und 7.2.6 sichern die Entwickler der Heimserver-Distribution die Anwender gegen zwei kritische Sicherheitslücken der vergangenen Tage ab.

Das Notfall-Update auf Tails 7.7.3 eliminiert mit Kernel 6.12.86 die Gefahr durch die Sicherheitslücke Dirty Frag. Die Schwachstelle ermöglicht eine lokale Rechteausweitung.

Der Linux Vendor Firmware Service (LVFS) erhält neuen Rückenwind. Dell und Lenovo unterstützen das Projekt nun als Hauptsponsoren und verleihen der Plattform damit mehr Gewicht in der PC Welt. LVFS bildet zusammen mit fwupd die zentrale Infrastruktur für Firmware Updates unter Linux und wird vor allem in Unternehmen immer wichtiger. Die Entscheidung kommt zu einem […]

Der Beitrag Dell und Lenovo stärken LVFS und senden klares Signal an die Branche erschien zuerst auf fosstopia.

Ein Killswitch im Kernel soll helfen, zu verhindern, dass ungepatchte Sicherheitslücken aktiv ausgenutzt werden. Der Vorschlag von Kernel-Maintainer Sasha Levin wird derzeit kontrovers diskutiert.

Debian zieht die Schrauben an. Ab sofort dürfen Pakete ohne reproduzierbare Builds nicht mehr in den Testing Zweig wandern. Diese Entscheidung markiert einen wichtigen Schritt für Debians Lieferketten Sicherheit und prägt den Entwicklungszyklus von Debian 14 Forky. Reproduzierbare Builds bedeuten identische Ergebnisse aus identischem Quellcode. Debian nutzt dafür die Infrastruktur von reproduce.debian.net, die Pakete erneut […]

Der Beitrag Debian verschärft Regeln und stoppt nicht reproduzierbare Pakete erschien zuerst auf fosstopia.

Mit Dirty Frag ist erneut eine kritische Sicherheitslücke für Linux-Systeme aufgetaucht, über die Angreifer ihre Benutzerrechte bis hin zu Root-Rechten erweitern können.

Die Distribution für Sicherheitsexperten und Pentester frischt in ihrer aktuellen Version die enthaltenen Komponenten auf.

Die Distribution für Sicherheitsexperten und Pentester frischt in ihrer aktuellen Version die enthaltenen Komponenten auf.

Auf unzähligen FreeBSD-basierten Systemen lässt sich über einen bösartigen DHCP-Server im Netzwerk Schadcode einschleusen und als Root ausführen. (Sicherheitslücke, FreeBSD)

Laut der Ankündigung einer öffentlichen Anhörung, wird die KI-Chipfabrik, die Elon Musks Unternehmen SpaceX in Texas plant, in der ersten Bauphase 55 Milliarden Dollar kosten und könnte insgesamt…

Hamburg bleibt Deutschlands Bundesland mit dem höchsten Digitalisierungsgrad, Hessen arbeitet sich auf Platz 3 vor und das Saarland ist der Shooting-Star des Jahres.

Das Bundesamt für Sicherheit in der Informationstechnik hat gemeinsam mit dem Programm Polizeiliche Kriminalprävention der Länder und des Bundes neue Ergebnisse des Cybersicherheitsmonitors 2026…

Für Debian 14 müssen Pakete reproduzierbar sein, um nach „testing“ zu gelangen. Das Release Team hat die Regeln verschärft.

Missbrauch durch Botnetze und andere Widrigkeiten sorgen beim öffentlichen RustDesk-Server ab sofort für eine Anmeldepflicht vor dem Verbindungsaufbau, die derzeit noch auf das steuernde Gerät beschränkt ist.

Die Vitocal 262-A wird mit ESPHome und CAN Bus lokal in Home Assistant eingebunden, ganz ohne Viessmann Cloud.

Der unaufhaltsame Aufstieg von KI in der Software-Entwicklung hat die führenden Linux-Distributionen in eine schwierige Lage gebracht. Ubuntu und Fedora haben sich kürzlich klar für KI entschieden.

Ein neues Sicherheitskonzept bewegt die Linux Gemeinschaft. Entwickler prüfen einen Vorschlag für einen Kernel Killswitch, der riskante Funktionen nach einer CVE Meldung sofort abschalten kann. Der Ansatz entsteht nach zwei frischen Schwachstellen, die zuletzt für viel Unruhe sorgten. Der Patch stammt von Sasha Levin. Er arbeitet bei NVIDIA und betreut den stabilen Kernel. Sein Vorschlag […]

Der Beitrag Killswitch Idee sorgt für Diskussion im Linux Kernel erschien zuerst auf fosstopia.

Das Projekt 'Reproducible Builds' reicht mehr als zehn Jahre zurück. Das Ziel ist, Pakete reproduzierbar Bit für Bit aus dem zugrundeliegenden Quellcode bauen zu können. Debian macht Reproduzierbarkeit. jetzt als erste Distribution verbindlich.

UBports hat Ubuntu Touch 24.04-1.3 veröffentlicht und liefert damit eine Reihe wichtiger Verbesserungen. Die neue Version kümmert sich um Probleme mit Desktop Apps, Docking Zubehör, MMS Sprachnachrichten und mehreren Anzeige Fehlern. Nutzer berichten von spürbar stabilerem Verhalten im Alltag. Ein Schwerpunkt liegt auf klassischen Desktop Anwendungen. X11 Programme starten nun auch außerhalb von Lomiri und […]

Der Beitrag Ubuntu Touch erhält frisches Update und bereitet großen Browser Sprung vor erschien zuerst auf fosstopia.

Googles neues reCAPTCHA-System erfordert bei Android-Systemen Play-Dienste. Das könnte für google-freie Varianten zum Problem werden.