Lets Encrypt Zertifikat wurde nicht verlängert

KB19 · 7. August 2016

Bei meinem Expert Light Tarif wurde das Lets Encrypt Zertifikat nicht verlängert, es ist seit 10. Juli abgelaufen. Eine Benachrichtigung per E-Mail habe ich auch nicht erhalten. Was ist da schief gelaufen? Liegt es vielleicht daran, dass LE vor kurzem neue Bedingungen herausgegeben hat?

Bildschirmfoto_2016-08-07_11-36-12.png

@netcup: Ich stoße die Verlängerung jetzt absichtlich noch nicht neu an, falls eure Technik weiter nachforschen will.

MfG Christian

[netcup] Benedikt T. · 8. August 2016

Hallo killerbees19,

danke für die Meldung!

Ich habe mir den Sachverhalt gerade mal angeschaut -> Leider gehören Sie zu einer kleinen Gruppe von Kunden, bei denen aufgrund eines Fehlers im Zusammenhang mit der Kommunikation mit Let's Encrypt zu unerwünschten Nebeneffekten gekommen ist. Wir konnten die Problemursache inzwischen finden und auf unserer Seite einen Workaround bauen, welcher diesen Fehler künftig vermeidet.

Sie können die Neubeantragung gerne durchführen, das Zertifikat sollte auch in Zukunft nun problemfrei verlängert werden können.

KB19 · 8. August 2016

Und schon verlängert. Danke fürs Nachforschen!

MfG Christian

Robse · 14. November 2017

Zitat von [netcup] Benedikt

Hallo killerbees19,

danke für die Meldung!

Ich habe mir den Sachverhalt gerade mal angeschaut -> Leider gehören Sie zu einer kleinen Gruppe von Kunden, bei denen aufgrund eines Fehlers im Zusammenhang mit der Kommunikation mit Let's Encrypt zu unerwünschten Nebeneffekten gekommen ist. Wir konnten die Problemursache inzwischen finden und auf unserer Seite einen Workaround bauen, welcher diesen Fehler künftig vermeidet.

Sie können die Neubeantragung gerne durchführen, das Zertifikat sollte auch in Zukunft nun problemfrei verlängert werden können.

Alles anzeigen

Ich habe aktuell mindestens zwei Domains, die auch von dem Problem betroffen sind. Let's Encrypt wird nicht verlängert. Support meint in E-Mail:

Zitat

ich habe soeben Rückmeldung aus der Administration erhalten.

Eine detaillierte Erklärung warum die Verlängerung nicht gegriffen hat, können wir Ihnen leider nicht zur Verfügung stellen. Laut unserem System, gab es bei dem Dienst der für die Verlängerung zuständig ist, keine Störungen.

Wenn die Verlängerung eines Let's Encrypt Zertifikats nicht funktioniert, kann es an einer auf dem Webspace liegenden .htaccess liegen.

Bitte überprüfen Sie Ihren Webspace und deaktivieren, wenn dort eine .htaccess liegt, diese temporär. Im Anschluß können Sie das Zertifikat in Ihrem CCP löschen und neu beantragen.

Alles anzeigen

Auf dem Webspace liegen .htaccess Dateien von Wordpress.

Ich kann doch jetzt nicht, überall wo Wordpress installiert ist, eine Erinnerung im Kalender setzen, damit ich am Tag der Verlängerung die .htaccess Datei deaktiviere? Würde das an Wordpress liegen, wären doch viele Kunden betroffen? Ich denke eher dass dieser "Dienst" nicht deterministisch läuft oder/und das Ergebnis nicht prüft. Der Dienst muss doch wissen, ob die Verlängerung nicht geklappt hat und dann:

entweder 1) jemanden Benachrichtigen

oder 2) nochmal probieren

oder 3) mir eine E-Mail senden

oder 4) irgendetwas tun, Hauptsache ich bekomme mit, dass meine Seite bald nicht mehr via https erreichbar sein wird.

Vielleicht kann hier ja jemand ein Monitoring-Tool für Zertifikate empfehlen

mainziman · 14. November 2017

Hallo,

Du solltest Dir die .htaccess im Stammverz. von Deinem Webspace genauer ansehen,

und in ihr dafür Sorge tragen, daß

Code

/.well-known/acme-challenge/

unangetastet bleibt ...

besonders irgendwelche mod_rewrite-Sachen sind hier der Problemverursacher;

ThomasChr · 14. November 2017

Ich überprüfe alle meine Zertifikate mit Nagios. Ich vertrau doch keinem Automatismus

janxb · 14. November 2017

Ich habe seit einigen Monaten das Problem, dass Lets Encrypt zu langsam antwortet, wenn per IPv6 auf die API zugegriffen wird. Seit ich den Client auf IPv4 beschränkt habe, scheint es wieder zu laufen. Eventuell dort seitens netcup nachforschen, ob das auch hier die Ursache sein könnte?

potato · 14. November 2017

Eines meiner Zertifikate war am 7.11.2017 auch abgelaufen, da es nicht verlängert wurde.

Die folgende Ticketkommunikation ist vielleicht klärend - es muss nicht immer die .htaccess sein.

potato:

das Let's Encrypt Zerfikat fuer <domain> wurde nicht verlängert und ist abgelaufen.Ich selbst kann dies nicht machen. Können Sie die Verlängerung bitte anstossen

Netcup-Support:

Zitat

Wenn die Verlängerung oder Neueinrichtung eines Let's Encrypt Zertifikats nicht funktioniert, kann es an einer auf dem Webspace liegenden .htaccess liegen. Bitte überprüfen Sie Ihren Webspace und deaktivieren, wenn dort eine .htaccess liegt, diese temporär. Im Anschluß können Sie das Zertifikat in Ihrem CCP löschen und neu beantragen.

potato:

da die .htaccess seit 2016 ungeändert war, habe ich ein neues Zertifikat durch Löschen und Neu-Anlegen erhalten, ohne die .htaccess temporär zu entfernen. Welche Gründe lagen nun vor, dass die Verlängerung, die über 1 Jahre problemlos funktionierte, diesmal (am 07.10.2017) fehlschlug? Ich will nicht, dass das Zertifikat wieder ungültig wird.

Netcup-Support:

Zitat

Ich denke ich kenne die Ursache. Let`s Encrypt hatte seine Vergabebedingungen geändert, was nicht offiziell mitgeteilt worden war. Dadurch konnten wir unsere Systeme nicht daran anpassen. Das ist inzwischen geschehen. Dennoch kommt es vereinzelt vor, dass manche Domains, die vor einem gewissen Stichtag mit dem Zertifikat ausgestattet waren, nicht korrekt verlängert werden konnten.