Feedback: Letsencrypt Zertifikat bei Cloudflare-Nutzung

    Vor ein paar Tagen habe ich folgende Mail bekommen:

    Zitat

    das von Ihnen genutzte SSL-Zertifikat von Let's Encrypt konnte aus folgendem Grund nicht verlängert werden:
    Domain ######### löst nicht nach 46.38.249.84 auf. Bitte korrigieren Sie den Fehler und beantragen Sie die Verlängerung des SSL-Zertifikats manuell über das CCP.


    Das mit der Adresse stimmt, da ich die Services von Cloudflare benutze. Dabei zeigt die Domain auf eine IP von Cloudflare, diese leitet dann aber auf den Quellserver weiter. Das WCP sollte meiner Meinung nach nicht nur die IP-Adresse prüfen sondern besser, ob es sich mit dem tatsächlichen Webspace verbinden kann (evtl. per versteckter Datei, die abgerufen wird, ähnlich wie mit den Challenges von LE ja eh schon passiert.

    Guten Morgen janxb,


    der Sachverhalt ist hier leider nicht so einfach, wie er zunächst scheinen mag, gerade Cloudflare ist hier problematisch:
    - Woher wissen wir, dass Cloudflare auch die Let's Encrypt Server direkt und ohne Umwege auf die Challenge zugreifen lässt?


    Da das Cloudflare System hier Einzelfallentscheidungen vornimmt und auch je nach Trafficaufkommen verschiedene Aktionen, wie z. B. Caching ergreift, gibt es hier eine sehr hohe Anzahl möglicher Problemquellen.


    Wir haben uns dazu entschieden, eine Automatisierung zu schaffen, welche möglichst wenig Fehlerpotential aufweist, und vor vor allem Kunden, welche sich eher weniger mit der Hintergrundtechnik auskennen, eine einfache sowie kostenfreie Möglichkeit gibt, ihre Webseiten zertifizieren zu lassen. Aus diesem Grund findet diese Vorabprüfung statt, damit Fehler im Zertifizierungsprozess selbst vermieden, und die Kunden immer mit einer aussagekräftigen Meldung informiert werden.

    Was spricht denn eigentlich dagegen, einfach den Request für ein Zertifikat ein-zu-eins ans LE durchzureichen, die Validierung des Servers etc. passiert doch schon auf deren Seite. Wenn dann ein Fehler zurückgegeben wird, kann man den doch einfach nutzen. Was bringt diese doppelte Validierung auf Seiten von netcup?