Webseite funktioniert nicht mehr!

  • Guten Tag, mit Entsetzen habe ich gestern festgestellt, dass meine Webseite nicht mehr erreichbar ist.

    Als Fehlermeldung erhalte ich: das ist keine sichere Verbindung


    Ich habe ein kostenloses SSL-Zertifikat und in den vergangenen Monaten hat meine Internetseite stets funktioniert und in letzter Zeit habe ich an meinen Dateien auch nichts verändert. Was ist denn da los? Es Support antwortet nicht.

  • Zwei Möglichkeiten fallen mir ein:

    1) Du hast deinen Browser geupdated (oder er sich selbst) und er mag jetzt keine selbstsignierten Zertifikate mehr.

    2) Dein Zertifikat ist schlichtweg abgelaufen. Alle Zertifikate haben ein solches Ablaufdatum. Die kostenlosen meistens ein recht kurzes und müssen deshalb regelmäßig erneuert werden.


    Ohne weitere Informationen kann man dir aber nicht weiterhelfen.


    LG,

    Johannes

  • Danke für eure Antworten!

    Bei mir trifft zu Webhosting

    Wie kann man das Zertifikat den verlängern? Ich finde dazu nichts. Löschen kann man das Zertifikat, aber nicht verlängern. Zumindest habe ich bisher dazu nichts gefunden.


    Es handelt sich um ein kostenloses SSL-Zertifikat

  • Bei meinen beiden Internetseiten wurde es jedenfalls nicht automatisch verlängert und das war wirklich sehr ärgerlich, denn beim Aufruf der beiden Internetseiten kann nur die Meldung, dass keine sichere Verbindung vorhanden ist und für potentielle kunden ist das wahrscheinlich kein positives Zeichen

  • ich hänge mich hier mal dran:


    habe 3 domains, bei zweien wird das SSL-zertifikat automatisch verlängert, bei einer nicht.


    Zitat

    Ablaufdatum Zertifikat: 15.10.2017

    Letzte automatische Verlängerung / Ausstellung: 17.07.2017

    Nächste automatische Verlängerung: 14.09.2017

    bei dieser domain hatte ich das zertifikat einmal gelöscht und neu beantragt, weil ich dämlich bin. wieso wird das zertifikat nun nicht mehr automatisch von netcup verlängert wie bei den beiden anderen domains?

  • Also ich hatte es auf meinem Server auch schon, das bei einem von mehreren LetsEncrypt-Zertifikaten plötzlich ein Fehler in der Schlüsselkombi angezeigt wurde. Trotz dieses (angeblichen) Fehlers funktionierte der Aufruf der Seiten noch problemlos (was dafür spricht daß das Zertifikat noch in Ordnung war), allerdings für eine Zertifikatsabfrage/-verlängerung bei LE musste ich das Zertifikat komplett neu ausstellen lassen (einfach mit '--expand' neu beantragt). Woher dieser Fehler kam? Keine Ahnung! Der Fehler war plötzlich da, ohne das ich an den Zertifikaten etwas verändert hätte. Die Abfrage/Kontrolle der Zertifikate (mit Parameter '-certificates') funktionierte problemlos, und die Zertifikate waren noch ca. 80 Tage gültig. Aber 2 Wochen später dann der Fehler, ohne etwas verändert zu haben. Daher kann ich nur empfehlen, immer mal zwischendurch die Zertifikate zu prüfen, und das Ablaufdatum im Auge zu behalten. Normalerweise findet eine Verlängerung ja bspw. 30 Tage vor Ablauf statt. Ist die Restlaufzeit dann 20 Tage, dann kann etwas nicht stimmen und man sollte aktiv werden. Fügt man ein neues Zertifikat hinzu, dann alle Zertifikate verlängern (wenn möglich), damit man weniger Termine im Auge behalten muss.

    9 von 10 Stimmen in meinem Kopf sagen ich bin nicht verrückt, die letzte summt ständig die Melodie von Tetris.

  • Habe folgende Antwort erhalten:

    Die automatische Verlängerung funktioniert leider in manchen Fällen nicht, wenn "htaccess"-Dateien mit Umleitungen (rewrite rules) verwendet werden.

    Deaktivieren Sie bei Schwierigkeiten die Dateien temporär, bspw. durch vorübergehendes Umbenennen.



    Ich finde das ziemlich lästig, wenn man die Umleitung temporär außer Kraft setzen muss. Da muss man ja dann ständig daran denken.

    Außerdem habe ich die Umleitung ja nicht aus Spaß angebracht. Das ist ja für die Suchmaschinen, damit diese keinen doppelten Content annehmen.

    Welche andere Möglichkeit außer einer REWRITE RULE in der HTACCESS gibt es denn?


    Übrigens: Warnung: Die Anzahl der Zertifikate, die Let's Encrypt je Domain neu ausstellt, ist begrenzt.

    Es wäre nicht vorteilhaft, wenn das mit der automatischen Verlängerung immer wieder mal nicht funktioniert und man dann das Zertifikat löschen und neu beantragen muss, denn da gibt es irgendwann keine kostenlose Zertifikate mehr und was dann? Dann muss man dafür auch noch extra zahlen.

  • Dann musst Du entsprechend für das Unterverzeichnis /.well-known/acme-challenge/ eine Ausnahme in Deine Umleitungen einbauen.

    Völlig korrekt. Vielleicht etwas Hintergrund:

    Wenn man ein Zertifikat bei LetsEncrypt beantragt (macht Netcup für dich, wenn du die Option gesetzt hast), muss LetsEncrypt überprüfen, ob die Domain wirklich dir gehört. Dafür gibt es das ACME Protokoll. Vereinfacht gesagt: Dein Server erstellt ein Zertifikat und verschlüsselt mit dem private Key eine Datei. LetsEncrypt läd die Datei von deinem Webserver, kann das mit dem public Key entschlüsseln und weiß dann, dass der Zertifikatsinhaber auch Zugriff auf die Domain hat. Dann wird das Zertifikat signiert und als vertrauenswürdig eingestuft.


    Mehr Infos hier: https://letsencrypt.org/how-it-works/

    Die Datei, die heruntergeladen wird, wird in ".well-known/acme-challenge" abgelegt. Damit das funktioniert ist im Apache Server eine globale Rewrite rule hinterlegt, damit LetsEncrypt, wenn es auf den Ordner zugreift die richtigen Daten zur Validierung bekommt. Wenn du diese Rewrite Rule durch eine eigene überschreibst, funktioniert die Validierung nicht mehr. Du musst den Ordner also in deinen eigenen Regeln als Ausnahme hinzufügen.


    z.B. so:

    Apache Configuration
    RewriteEngine On 
    RewriteCond %{REQUEST_URI} !\.well-known/acme-challenge 
    RewriteCond ...
  • Recht herzlichen Dank für eure Antworten!

    Trotz der ausführlichen Erklärung habe ich das ganze nicht komplett verstanden. Genauer gesagt weiß ich nicht, wie mein Code in der HTACCESS aussehen muss.

    Bisher lautete meine komplette REWRITERULE folgendermaßen:

    Apache Configuration
    RewriteEngine On
    RewriteCond %{HTTPS} !=on
    RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
  • Bisher lautete meine komplette REWRITERULE folgendermaßen:

    Apache Configuration
    RewriteEngine On
    RewriteCond %{HTTPS} !=on
    RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

    Die .htaccess wird von oben nach unten abgearbeitet. Die erste Zeile aktiviert mod_rewrite. Dann kommen die conditions (Bedingungen) von oben nach unten. Die angegebene Zeile (RewriteCond %{REQUEST_URI} !\.well-known/acme-challenge) sagt, dass die aufgerufene URL 'nicht' (das !) "\.well-known/acme-challenge" sein soll. Ist das so, ist die Bedingung nicht erfüllt und die RewriteRule (Regel) wird nicht ausgeführt. Ansonsten wird die nächste Zeile überprüft. Trifft sie zu (in deinem Fall: aufruf nicht per HTTPS), wird die Regel angewendet (bei dir: leite mit Code 301 weiter auf https://Hostname/Pfad).



    In kurz: Du musst die Ausnahme als erstes nach der "RewriteEngine On" schreiben:

    Apache Configuration
    RewriteEngine On
    RewriteCond %{REQUEST_URI} !\.well-known/acme-challenge
    RewriteCond %{HTTPS} !=on [NC]
    RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]


    Aber eigentlich hätte dir Google die Antwort schneller geliefert, als ich den Beitrag geschrieben habe 8o

  • Ich würde die Ausnahme etwas mehr eingrenzen:


    Code
    RewriteCond "%{REQUEST_URI}" !^/\.well-known/acme-challenge/.+

    So läuft das bei mir auf einem netcup Webspace.



    MfG Christian

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

  • da mexikaners problem gelöst scheint übernehme ich mal den thread: problem wie oben beschrieben, aber ich habe keinerlei rewrite-rules in meiner htaccess.


    kennt jemand das problem und hat eine lösung parat?

  • Hast du denn sonst was in der .htaccess? Kannst du den Ordner ".well-known/acme-challenge" auf dem Server anlegen, eine Datei reinschreiben und nur mit "http" aufrufen?

    Gibt es beim Webhosting eigentlich Fehlermeldungen bei fehlgeschlagenen Erneuerungsversuchen?

  • htaccess inhalt



    habe mir jetzt einfach ein neues zertifikat geholt, da letsencrypt wohl 20 pro woche erlaubt.


    Zitat

    Ablaufdatum Zertifikat: 22.01.2018

    Letzte automatische Verlängerung / Ausstellung: 24.10.2017

    Nächste automatische Verlängerung: 22.12.2017

    firefox sagt aber immer noch: nicht gesicherte verbindung.


    Zitat

    Das Zertifikat ist am 15. Oktober 2017, 13:40 abgelaufen. Die aktuelle Zeit ist 24. Oktober 2017, 13:02


    SEC_ERROR_EXPIRED_CERTIFICATE


    dauert es etwas, bis das SSL zertifikat ankommt?