SSL Zetrifikate abgelaufen, wurden bzw. werden nicht erneuert [GELÖST]

[Grauer]

---------------------------------------------------------------------------


Ich bin sicher, dass die Ursache des Problems bei KeyHelp liegt
(Probleme ohne KeyHelp-Bezug gehören ins Offtopic-Forum)
Eher ja


Server-Betriebssystem + Version
Debian 13.3


Eingesetzte Server-Virtualisierung-Technologie
keine


KeyHelp-Version + Build-Nummer
25.3 (Build 3565)


Problembeschreibung / Fehlermeldungen
Die SSL Zertifikate sind abgelaufen und wurden nicht automatisch erneuert


Erwartetes Ergebnis
Domains mit gültigem SSL Zertifikat


Tatsächliches Ergebnis
Domains mit abgelaufenem Zertifikat


Schritte zur Reproduktion
---


Zusätzliche Informationen
(z.B. kürzlich durchgeführte Änderungen am Server, Auszüge aus Protokolldateien (/var/log/*, /var/log/keyhelp/php-error.log, etc.))

[Grauer]

Wenn ich die Zertifikate über die Konsole (keyhelp-toolbox) versuche zu erneuern bekomme ich folgenden Fehlerhinweis:

[2026-02-12 10:05:56] ERROR | a Let's Encrypt error occurred: Verification ended with an error.
Details: MEINEIP6: Fetching https://MEINEDOMAIN.com/.well-known/acme-challenge/XXX: Timeout during connect (likely firewall problem)
Type: urn:ietf:params:acme:error:connection
Full response: {"type":"http-01","url":"https:\/\/acme-v02.api.letsencrypt.org\/acme\/chall\/2799647366\/657462927546\/HAwFfw","status":"invalid","validated":"2026-02-12T10:05:33Z","error":{"type":"urn:ietf:params:acme:error:connection","detail":"MEINEIP6: Fetching https:\/\/MEINEDOMAIN.com\/.well-known\/acme-challenge\/XXX: Timeout during connect (likely firewall problem)","status":400},"token":"XXX","validationRecord":[{"url":"http:\/\/MEINEDOMAIN.com\/.well-known\/acme-challenge\/XXX","hostname":"MEINEDOMAIN.com","port":"80","addressesResolved":["MEINEIP6","51.68.000.000"],"addressUsed":"MEINEIP6"},{"url":"http:\/\/MEINEDOMAIN.com\/.well-known\/acme-challenge\/XXX","hostname":"MEINEDOMAIN.com","port":"80","addressesResolved":["MEINEIP6","51.68.000.000"],"addressUsed":"51.68.000.000"},{"url":"https:\/\/MEINEDOMAIN.com\/.well-known\/acme-challenge\/XXX","hostname":"MEINEDOMAIN.com","port":"443","addressesResolved":["MEINEIP6","51.68.000.000"],"addressUsed":"MEINEIP6"}]}

[Grauer]

Problem gelöst. Es lag an IPv6. Nachdem ich den AAAA Record aus dem DNS genommen habe läufts wieder

[Tobi]

["MEINEIP6","51.68.000.000"],"addressUsed":"MEINEIP6"}]}

Keine Ahnung warum immer alle denken man könnte bei Netzwerkproblemen mit anonymisierten IP irgendwie helfen???

ABER:
Solltest du deine IPV6 tatsächlich in dem o.g. Format ("51.68.000.000") hinterlegt gehabt haben, dann konnte es natürlich nicht funktionieren. Denn deine "51.68.000.000" sieht verdächtig nach IPV4 aus. Für IPV6 sehen die Adressen ganz anders aus.

Demnach würde ich hier auf GAR KEINEN FALL von einem KeyHelp Problem sprechen wollen.
Und SEHR WAHRSCHEINLICH war es auch kein IPV6 Problem.

Wenn du bereit bist uns echte Informationen zu liefern, dann helfen wir dir gerne IPV6 in Betrieb zu nehmen .

[Ralph]

Solche Fehlermeldungen (false/positive) sehe ich laufend obwohl die Certs beim Task erneuert wurden ... jedenfalls wenn ich die betreffenden Domains im Browser aufrufe und das Cert untersuche, ist das renewal date (ausgestellt, gültig bis) aktuell. Ich vermute da kommt es kurzfristig zu Problemen wenn die LE Dienste überlastet sind. Schau die doch mal die Cert Details dieser Domain im Browser an.
Jednfalls deutet der Output nicht wirklich auf ein Firewall oder IP Problem hin ...

Code: Select all

"port":"443","addressesResolved"
"port":"80","addressesResolved"

[Grauer]

Keine Ahnung warum immer alle denken man könnte bei Netzwerkproblemen mit anonymisierten IP irgendwie helfen???

Sorry, alte (schlechte) Angewohnheit.

Nein, natürlich habe ich meine IP nicht so angegeben.
"MEINEIP6","51.68.000.000" war/ist "2001:41d0:800:16c1::","51.68.205.193"

Nachdem ich über die Konsole "ping6 -c 4 2001:41d0:800:16c1::" aufgerufen habe und dabei
--- 2001:41d0:800:16c1:: ping statistics ---
4 packets transmitted, 0 received, 100% packet loss, time 3048ms
erhalten habe war mir klar dass das mit dem AAAA Record im DNS nicht hinhaut und auch dass der Fehler NICHT mit KeyHelp zu tun hat.

EDIT/Nachtrag
Mittlerweile habe ich herausgefunden dass ich bei der IPv6 einen Fehler drin hatte. Die korrekte IPv6 ist 2001:41d0:800:16c1::1, also habe ich schlicht die 1 am Ende im DNS Eintrag vergessen.
Manchmal stelle ich mich echt extra doof an :oops:

[Tobi]

Die korrekte IPv6 ist 2001:41d0:8000: 16c1::1

Cool, dass es jetzt funktioniert.