Let's Encrypt - Autorisierung fehlgeschlagen

    Hallo Zusammen,


    ich habe gestern mein Hosting bei netcup begonnen und wollte heute die Website einrichten. Direkt beim SSL-Zertifikat scheitere ich allerdings bereits.. ich bekomme folgende Fehlermeldung:

    "Let's Encrypt-SSL/TLS-Zertifikat konnte nicht ausgestellt werden ... Die Autorisierung dieser Domain ist fehlgeschlagen.
    Details:
    Type: urn:ietf:params:acme:error:connection
    Status: 400

    Connection refused"


    Let's Debug sagt folgendes:

    - A test authorization to the Let's Encrypt staging service has revealed issues that may prevent any certificate for this domain being issued.

    - AAAANotWorking Domain has an AAAA (IPv6) record but a test request to this address over port 80 did not succeed. Your web server must have at least one working IPv4 or IPv6 address. You should either ensure that validation requests to this domain succeed over IPv6, or remove its AAAA record.


    Dabei sind alle Einstellungen noch unberührt auf Original/Standard-Einstellung.

    Die DNS Einträge sind alle auf gültig "yes" und passen meiner Meinung nach auch soweit..


    Habt ihr eine Idee?

    Ich bin für jede Hilfe dankbar!

    Das Problem kommt mir bekannt vor, ich zitiere mich einmal selbst:

    Quote from KB19

    Das Connection refused könnte aber auch an einem defekten IPv6 liegen, das hatten wir in diesem Thread erst kürzlich:


    https://forum.netcup.de/netcup…crypt-problem/#post190132


    Hast Du in den DNS-Einstellungen Deiner Domain AAAA-Records? Ist die Domain über IPv6 erreichbar? (z.B. mit curl -6Iv testen)

    Quote from KB19

    "Connection refused" war in der Vergangenheit beim Thema Let's Encrypt schon einmal ein IPv6-Problem des Webservers.


    Hat die zu verifizierende Domain eventuell AAAA-Records im DNS hinterlegt? Falls Ja: Ist die Domain darüber auch erreichbar, oder nur über IPv4?


    Im Browser fallen solche Dinge Dank Happy Eyeballs in der Regel nicht auf, also am Besten mit curl -6Iv o.ä. Befehlen testen.

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

    Like 1
    Quote from Patrick0815

    Ich nehme an du benutzt ein Netcup Webhosting?

    Wurde die Domain ggf. vor kurzem umgezogen?

    Wenn du z.B. https://dnschecker.org benutzt und dort den AAAA Record deiner zu schützenden Domain prüfst, kommt da auch die korrekte Adresse heraus?

    Netcup Hosting und komplett neue Domain.

    Quote from KB19

    Das Problem kommt mir bekannt vor, ich zitiere mich einmal selbst:

    Danke für eure fixen Antworten!

    Ja laut DNS Checker passt der AAAA Record.

    Ich hatte die IP aus dem CCP auch nochmal in die AAAA Records kopiert

    Quote from Scoutingbibel

    Netcup Hosting und komplett neue Domain.

    Danke für eure fixen Antworten!

    Ja laut DNS Checker passt der AAAA Record.

    Ich hatte die IP aus dem CCP auch nochmal in die AAAA Records kopiert

    Und hast du Tipp von KB19 beachtet und deine Seite mal versucht über v6 abzurufen (curl -6Iv)?

    Lets‘s Encrypt scheitert ja am Verbindungsaufbau über v6

    Quote from KB19

    Das Problem kommt mir bekannt vor, ich zitiere mich einmal selbst:

    Quote from Patrick0815

    Und hast du Tipp von KB19 beachtet und deine Seite mal versucht über v6 abzurufen (curl -6Iv)?

    Lets‘s Encrypt scheitert ja am Verbindungsaufbau über v6


    Richtig, danke. Folgende Fehlermeldung kam:


    * connect to ... port 443 from ... port 56418 failed: Connection refused

    * Failed to connect to ... port 443 after 36 ms: Couldn't connect to server

    * Closing connection

    curl: (7) Failed to connect to ... port 443 after 36 ms: Couldn't connect to server


    Let's Debug hat ja auch schon geraten die AAAA Records einfach zu entfernen. Sich rein auf v4 zu beschränken, wäre für mich jetzt aber keine Lösung..

    Ok, wie sieht es über Port 80 aus, LE versucht es ja darüber.

    Falls der Verbindungsaufbau dort auch nicht klappt und die AAAA Records für die betroffene Domain mit den Vorgaben aus dem CCP/WCP übereinstimmen ist es wohl ein Fall für den Support.