SSL/TLS-Zertifikatsprobleme auf Server

[goldene-zeiten]

Liebe KeyHelp-Freunde,

jeden Tag bekomme ich nun schon diese Fehlermeldung per Mail:

--
Hallo keyadmin!

Bei der routinemäßigen Überprüfung der SSL/TLS-Zertifikate traten folgende Probleme auf:

------------------------------------
Zertifikatsname: superbrain.hahnefeld.it (Let’s Encrypt)

Code: Select all

Die Überprüfung wurde mit einem Fehler beendet.
Details: 217.160.193.173 : https://superbrain.hahnefeld.it/.well-known/acme-challenge/MwLbR5OsJdwNxVSr7cLyQ5w08VgVQ6hilqEYxDVki2s: Zeitüberschreitung während der Verbindung (wahrscheinlich Firewall-Problem)
Typ: urn:ietf:params:acme:error:connection
Vollständige Antwort: {"type":"http-01","url":"https:\/\/ acme-v02.api.letsencrypt.org \/acme\/chall-v3\/399835546276\/ZIQnjg","status":"ungültig","validiert":"2024-09-05T22:01:06Z","fehler":{"type":"urn:ietf:params:acme:error:connection","detail":" 217.160.193.173 : https:\/\/ superbrain.hahnefeld.it \/.well-known\/acme-challenge\/MwLbR5OsJdwNxVSr7cLyQ5w08VgVQ6hilqEYxDVki2s wird abgerufen: Zeitüberschreitung während der Verbindung (wahrscheinlich Firewall Problem)","status":400},"token":"MwLbR5OsJdwNxVSr7cLyQ5w08VgVQ6hilqEYxDVki2s","validationRecord":[{"url":"http:\/\/ superbrain.hahnefeld.it \/.well-known\/acme-challenge\/MwLbR5OsJdwNxVSr7cLyQ5w08VgVQ6hilqEYxDVki2s","hostname":" superbrain.hahnefeld.it ","port":"80","addressesResolved":["217.160.193.173","2001:8d8:1801:5f5::1"],"addressUsed":"2001:8d8:1801:5f5::1"},{"url":"http:\/\/ superbrain.hahnefeld.it \/.bekannt\/acme-challenge\/MwLbR5OsJdwNxVSr7cLyQ5w08VgVQ6hilqEYxDVki2s","hostname":" superbrain.hahnefeld.it ","port":"80","addressesResolved":["217.160.193.173","2001:8d8:1801:5f5::1"],"addressUsed":"217.160.193.173"},{"url":"https:\/\/ superbrain.hahnefeld.it \/.bekannt\/acme-challenge\/MwLbR5OsJdwNxVSr7cLyQ5w08VgVQ6hilqEYxDVki2s","hostname":" superbrain.hahnefeld.it ","port":"443","addressesResolved":["217.160.193.173","2001:8d8:1801:5f5::1"],"addressUsed":"2001:8d8:1801:5f5::1"}]}
Gültig bis: 2024-09-04 23:00:37 (noch 0 Tag(e) übrig)


------------------------------------

Mit freundlichen Grüßen
Ihr Support-Team
--

Da es ja vorher schon lief und über Monate klappte, bin ich ratlos, was da nun wohl los sein könnte. Backend jedenfalls ist nicht mehr deswegen erreichbar.

Liebe Grüße von

Björn

[Tobi]

Nachdem die IPs stimmen und auch Let‘s Encrypt keine bekannten Probleme hat, wage ich mal einen Schuss ins Blaue.

Meine Empfehlung ist, dass du alle Änderungen welche du im Zuge deines Bad Bots Threads gemacht hast, wieder rückgängig machst.
Anschließend über Wartungsaufgaben oder auch über die Konsole den SSL Wartungslauf aktivieren.

PS: Backend ist immer über die IP erreichbar!

[goldene-zeiten]

Nachdem die IPs stimmen und auch Let‘s Encrypt keine bekannten Probleme hat, wage ich mal einen Schuss ins Blaue.

Meine Empfehlung ist, dass du alle Änderungen welche du im Zuge deines Bad Bots Threads gemacht hast, wieder rückgängig machst.
Anschließend über Wartungsaufgaben oder auch über die Konsole den SSL Wartungslauf aktivieren.

PS: Backend ist immer über die IP erreichbar!

Lieber Tobi,

Vielen lieben Dank, dass du dich mit meinem Problem auseinandersetzt. Ich habe zwei Server exakt konfiguriert. Auch mit exakter gleichen Ubuntu Version und KeyHelp sowieso. Dann wirst du eigentlich beim Hauptserver auch das Problem auftreten. Tut es aber nicht? Aber ich kann mir das trotzdem noch einmal ansehen.

[Florian]

Hi,

ich bekomme nichts bei der IPv6 Adresse. Geht die?

[goldene-zeiten]

Die wäre vorgesehen und sollte demnach auch funktionieren.

[Florian]

Ich bekomme da nichts.

[Tobi]

Ich habe einen Vodafone IPV4 only Anschluss.
Kann das leider nicht testen.

[Florian]

Ping geht auch nicht. Das kann natürlich eine Firewalleinstellung sein, aber ich vermute, dass die IPv6 einfach nicht funktioniert.

Code: Select all

ping6 2001:8d8:1801:5f5::1
PING 2001:8d8:1801:5f5::1(2001:8d8:1801:5f5::1) 56 data bytes

--- 2001:8d8:1801:5f5::1 ping statistics ---
136 packets transmitted, 0 received, 100% packet loss, time 138221ms

[Fezzi]

Getestet mit https://www.ssllabs.com/ evtl. hilft Dir das weiter...

das wirft die IPV6 aus:

Das ist der ganze Test:

Hier die Details der IPV4 https://www.ssllabs.com/ssltest/analyze ... 60.193.173

Und mit der www. Abfrage kommt das

[goldene-zeiten]

Es scheint so zu sein, dass eine IP zwar existiert nach der internen Serverumstellung bei Ionos, aber scheinbar die nicht korrekt über DHCP gezogen wird. Folglich geht dann auch der Ping nicht. Das hatte ich schon mal mit einem anderen Hauptserver. Echt nervig - aber euer grundsätzlicher Tipp war schon mal sehr gut. Ein Mail an den Support geht raus.