SSL/TLS-Zertifikatsprobleme auf Server (SOLVED siehe EDIT)

[Fezzi]

Ich stell das mal hier ein, da es sich sehr wahrscheinlich nicht um ein KeyHelp Problem handelt.

Seit ein paar Tagen meldet mir KeyHelp dass fuer eine Domain das SSL Zertifikat nicht erneuert werden kann.

Die Domain des Kunden liegt bei IONOS und dort hat er lediglich die Nameserver fuer die Domains hinterlegt, die DNS Verwaltung findet hier auf dem Server statt. Bisher gab es nie Probleme mit der Ausstellung des Zertifikats...

alle Pruefungen die man dann so macht sind ok... Wo koennte es haken?

Code: Select all

------------------------------------
Certificate name: works-stratos.uk (Let's Encrypt)

Verification ended with an error.
Details: During secondary validation: DNS problem: SERVFAIL looking up A for works-stratos.uk - the domain's nameservers may be malfunctioning; DNS problem: SERVFAIL looking up AAAA for works-stratos.uk - the domain's nameservers may be malfunctioning
Type: urn:ietf:params:acme:error:dns
Full response: {"type":"http-01","url":"https:\/\/acme-v02.api.letsencrypt.org\/acme\/chall\/1822069087\/584619823491\/u_dFFQ","status":"invalid","validated":"2025-09-17T04:01:06Z","error":{"type":"urn:ietf:params:acme:error:dns","detail":"During secondary validation: DNS problem: SERVFAIL looking up A for works-stratos.uk - the domain's nameservers may be malfunctioning; DNS problem: SERVFAIL looking up AAAA for works-stratos.uk - the domain's nameservers may be malfunctioning","status":400},"token":"jkFlYH174LPsNsq6k5g8KuI57SG8pu0QFJ2IVUwLFrQ","validationRecord":[{"url":"http:\/\/works-stratos.uk\/.well-known\/acme-challenge\/jkFlYH174LPsNsq6k5g8KuI57SG8pu0QFJ2IVUwLFrQ","hostname":"works-stratos.uk","port":"80","addressesResolved":["46.38.245.28","2a03:4000:b:ba:78f8:caff:fe33:9c9b"],"addressUsed":"2a03:4000:b:ba:78f8:caff:fe33:9c9b"},{"url":"https:\/\/works-stratos.uk\/.well-known\/acme-challenge\/jkFlYH174LPsNsq6k5g8KuI57SG8pu0QFJ2IVUwLFrQ","hostname":"works-stratos.uk","port":"443","addressesResolved":["46.38.245.28","2a03:4000:b:ba:78f8:caff:fe33:9c9b"],"addressUsed":"2a03:4000:b:ba:78f8:caff:fe33:9c9b"}]}
Valid until: 2025-10-04 05:02:40 (16 day(s) left)


Certificate name: www.works-stratos.uk (Let's Encrypt)

Verification ended with an error.
Details: Unable to validate JWS :: JWS has an invalid anti-replay nonce: "1ZGyytInNDAoIfNWwYoOFCqYDR56rlDNiZEf-l2_w_iPiLYPDcM"
Type: urn:ietf:params:acme:error:badNonce
Full response: {"type":"urn:ietf:params:acme:error:badNonce","detail":"Unable to validate JWS :: JWS has an invalid anti-replay nonce: \"1ZGyytInNDAoIfNWwYoOFCqYDR56rlDNiZEf-l2_w_iPiLYPDcM\"","status":400}
Valid until: 2025-10-04 05:02:50 (16 day(s) left)
------------------------------------

EDIT: Ich habe das Zertifikat einfach mal abgestellt und danach nochmal getriggert und jetzt scheint es zu passen...

[Fezzi]

Ok... das Problem scheint noch nicht geloest zu sein... die Fehlermeldung kommt wieder, zefix...

Code: Select all

------------------------------------
Certificate name: works-stratos.uk (Let's Encrypt)

Verification ended with an error.
Details: During secondary validation: DNS problem: SERVFAIL looking up A for works-stratos.uk - the domain's nameservers may be malfunctioning; DNS problem: SERVFAIL looking up AAAA for works-stratos.uk - the domain's nameservers may be malfunctioning
Type: urn:ietf:params:acme:error:dns
Full response: {"type":"http-01","url":"https:\/\/acme-v02.api.letsencrypt.org\/acme\/chall\/1822069087\/585123954511\/mrRbrQ","status":"invalid","validated":"2025-09-18T04:01:55Z","error":{"type":"urn:ietf:params:acme:error:dns","detail":"During secondary validation: DNS problem: SERVFAIL looking up A for works-stratos.uk - the domain's nameservers may be malfunctioning; DNS problem: SERVFAIL looking up AAAA for works-stratos.uk - the domain's nameservers may be malfunctioning","status":400},"token":"L6AD4gxx7zsH7a7S7eaZH7eefi8vTOnID56vpVwLSWI","validationRecord":[{"url":"http:\/\/works-stratos.uk\/.well-known\/acme-challenge\/L6AD4gxx7zsH7a7S7eaZH7eefi8vTOnID56vpVwLSWI","hostname":"works-stratos.uk","port":"80","addressesResolved":["46.38.245.28","2a03:4000:b:ba:78f8:caff:fe33:9c9b"],"addressUsed":"2a03:4000:b:ba:78f8:caff:fe33:9c9b"},{"url":"https:\/\/works-stratos.uk\/.well-known\/acme-challenge\/L6AD4gxx7zsH7a7S7eaZH7eefi8vTOnID56vpVwLSWI","hostname":"works-stratos.uk","port":"443","addressesResolved":["46.38.245.28","2a03:4000:b:ba:78f8:caff:fe33:9c9b"],"addressUsed":"2a03:4000:b:ba:78f8:caff:fe33:9c9b"}]}
Valid until: 2025-10-04 05:02:40 (15 day(s) left)


Certificate name: www.works-stratos.uk (Let's Encrypt)

Verification ended with an error.
Details: During secondary validation: DNS problem: SERVFAIL looking up A for www.works-stratos.uk - the domain's nameservers may be malfunctioning; DNS problem: SERVFAIL looking up AAAA for www.works-stratos.uk - the domain's nameservers may be malfunctioning
Type: urn:ietf:params:acme:error:dns
Full response: {"type":"http-01","url":"https:\/\/acme-v02.api.letsencrypt.org\/acme\/chall\/1822069087\/585124133091\/--FLkg","status":"invalid","validated":"2025-09-18T04:02:21Z","error":{"type":"urn:ietf:params:acme:error:dns","detail":"During secondary validation: DNS problem: SERVFAIL looking up A for www.works-stratos.uk - the domain's nameservers may be malfunctioning; DNS problem: SERVFAIL looking up AAAA for www.works-stratos.uk - the domain's nameservers may be malfunctioning","status":400},"token":"56K2RRztJMkMzK6FskZaXfOf6WYWtzqttZMjcHJgaWI","validationRecord":[{"url":"http:\/\/www.works-stratos.uk\/.well-known\/acme-challenge\/56K2RRztJMkMzK6FskZaXfOf6WYWtzqttZMjcHJgaWI","hostname":"www.works-stratos.uk","port":"80","addressesResolved":["46.38.245.28","2a03:4000:b:ba:78f8:caff:fe33:9c9b"],"addressUsed":"2a03:4000:b:ba:78f8:caff:fe33:9c9b"},{"url":"https:\/\/www.works-stratos.uk\/.well-known\/acme-challenge\/56K2RRztJMkMzK6FskZaXfOf6WYWtzqttZMjcHJgaWI","hostname":"www.works-stratos.uk","port":"443","addressesResolved":["46.38.245.28","2a03:4000:b:ba:78f8:caff:fe33:9c9b"],"addressUsed":"2a03:4000:b:ba:78f8:caff:fe33:9c9b"}]}
Valid until: 2025-10-04 05:02:50 (15 day(s) left)
------------------------------------

Wie in meinem Eingangspost geschrieben, alle Settings sind ok... alle Digs etc. werfen keine Fehler auf...
Habe ich was uebersehen? Wenn ja, was? die entsprechende .com dieses Domian Namens produziert diese Fehlermeldung nicht und ist exact wie die UK in den Settings... Korrekte Nameserver bei IONOS und korrekte A und AAAA Einstellungen im KeyHelp...

Hat jemand eine Idee was das ein koennte? Dann her damit...

Danke schon mal in Voraus fuers checken...

[Florian]

Hast du mal Fail2ban probeweise "leer" gemacht? Nicht dass durch einen dummen Zufalls die IPs von Let's Encrypt da drin gelandet sind.

DNS-technisch kann ich erstmal kein Problem sehen.

[Tobi]

Also mxtoolbox sagt, dass es weder A noch AAAA Records für works-stratos.uk gibt. Bei der .com klappt alles und dein Server wird gefunden.

Daher meine Empfehlung, einfach bei deinem DNS Registrar nochmals auf „speichern“ klicken, 5 Minuten warten und dann erneut mit mxtoolbox prüfen.

[Fezzi]

Hast du mal Fail2ban probeweise "leer" gemacht? Nicht dass durch einen dummen Zufalls die IPs von Let's Encrypt da drin gelandet sind.

DNS-technisch kann ich erstmal kein Problem sehen.

Hallo Florian, danke...ja, die Idee hatte ich Gestern auch schon...

Also mxtoolbox sagt, dass es weder A noch AAAA Records für works-stratos.uk gibt. Bei der .com klappt alles und dein Server wird gefunden.

Daher meine Empfehlung, einfach bei deinem DNS Registrar nochmals auf „speichern“ klicken, 5 Minuten warten und dann erneut mit mxtoolbox prüfen.

Strange, oder? Alle anderen unterschiedlichen Tools finden die A und AAAA ... MXToolbox ist natuerlich eine Autoritaet, aber es ergibt keinen Sinn.

Ich werde mal den Kunden nach den IONOS Login fragen und das dort in Augenschein nehmen...

[Fezzi]

Nur fuer alle die evtl. bei IONOS auf selbige Probleme stossen sollten.

Lt. Support laesst IONOS fuer einige URL Endungen den Support fuer NS Hinterlegung auslaufen. Nur noch die IONOS Eigenen NS sind dann am laufen und fuer Domains die dort Registriert sind kann man dann nur noch die DNS Settings benutzen.

Aufgepasst, dort im Backend will man Euch dann weismachen dass es kein SSL Zertifikat fuer die Domain gibt... man kann aber kostenpflichtig eines erstehen Ist jedoch nicht noetig, einfach die NS Settings resetten (damit die IONOS Eigenen greifen) und die korrekten A und AAAA etc. Setting hinterlegen und gut ist...

Am allerbesten natuerlich dem Kunden erklaeren dass er bei einem anderen Domain Registrar besser aufgehoben ist als in der IONOS Kosten Falle..

Jedenfalls ist jetzt mit der .uk alles ok und die .com habe ich dann auch gleich umgestellt um den Tanz nicht nochmal zu machen...

[Jolinar]

Am allerbesten natuerlich dem Kunden erklaeren dass er bei einem anderen Domain Registrar besser aufgehoben ist als in der IONOS Kosten Falle..

Genau wegen solcher Probleme empfehle ich auch stets, die Domains NICHT beim Hoster zu registrieren/verwalten, sondern dafür immer einen exklusiven Domainhoster zu verwenden. Aus meinen persönlichen Erfahrungen heraus kann ich hier INWX uneingeschränkt empfehlen.

[tab-kh]

Nur fuer alle die evtl. bei IONOS auf selbige Probleme stossen sollten.

Lt. Support laesst IONOS fuer einige URL Endungen den Support fuer NS Hinterlegung auslaufen. Nur noch die IONOS Eigenen NS sind dann am laufen und fuer Domains die dort Registriert sind kann man dann nur noch die DNS Settings benutzen.

Ich hoffe für dich und deinen Kunden, dass die DNS-Einstellungen im IONOS Panel etwas flexibler sind als bei deren kleinem Bruder Strato. Dort kann man nicht mal einen Wildcard-Eintrag für alle Subdomains einrichten. Da darf man für jede benötigte Subdomain einzeln die IP eintragen - nachdem man vorher noch die Subdomains ziemlich umständlich einzeln angelegt hat. Der unbrauchbarste DNS-Editor den ich bisher gesehen habe. Aber was will man schon erwarten ...

[Fezzi]

Am allerbesten natuerlich dem Kunden erklaeren dass er bei einem anderen Domain Registrar besser aufgehoben ist als in der IONOS Kosten Falle..

Genau wegen solcher Probleme empfehle ich auch stets, die Domains NICHT beim Hoster zu registrieren/verwalten, sondern dafür immer einen exklusiven Domainhoster zu verwenden. Aus meinen persönlichen Erfahrungen heraus kann ich hier INWX uneingeschränkt empfehlen.

Wir haben hier wohl alle unsere "Lieblinge" Aber klar, die Trennung von Registrar, Host und Mail ist auf jeden Fall der Ansatz mit der groesstmoeglichen Flexibilitaet.

Ich hoffe für dich und deinen Kunden, dass die DNS-Einstellungen im IONOS Panel etwas flexibler sind als bei deren kleinem Bruder Strato. Dort kann man nicht mal einen Wildcard-Eintrag für alle Subdomains einrichten. Da darf man für jede benötigte Subdomain einzeln die IP eintragen - nachdem man vorher noch die Subdomains ziemlich umständlich einzeln angelegt hat. Der unbrauchbarste DNS-Editor den ich bisher gesehen habe. Aber was will man schon erwarten ...

Das Ding schaut aus wie das von GoDaddy (wenn ich das richtig in Erinnerung habe) und Wildcard Settings arbeiten out of the box...
Meine Meinung zu IONOS etc. pp ist hier irrelevant...