KeyHelp Community

Hallo zusammen,

erstmal frohe Ostern.

Nun zu meinem Problem, ich habe vor einiger Zeit letsencrypt Zertifikate für domain eingerichtet. Dann kann die Umstellung das im DNS noch was eingetragen werden muss CAA, seit dem bekomme ich jede nach eine ERROR Mail:

Domain: xxx
Error: Verification ended with an error. Response: {"type":"http-01","status":"invalid","error":{"type":"urn:acme:error:connection","detail":"DNS problem: SERVFAIL looking up CAA for xxx

Nun ich habe die Domains wieder auf nicht ssl eingestellt da mein Provider den DNS Record CAA nicht unterstüzt und auch nicht anbieten wird.
Nachdem ich die Domains ohne ssl Cert konfiguriert hatte bekomme ich die Mails weiter.
Vor lauter frust habe ich im /etc/ssl/keyhelp/letsencrypt alles gelöscht, ja ich weiss war keine gute idee. Nun bekomme ich was soll ich sagen weiterhin mail nur jetzt mit folgendem Inhalt:

Domain: xxx
Error: Invalid HTTP code "403" as response to CSR. Response: {"type":"urn:acme:error:unauthorized","detail":"Error creating new cert :: authorizations for these names not found or expired: xxx","status":403}

könnt ihr mir hierbei helfen? Gibt es eine möglichkeit den DNS Record CAA zu umgehen damit ich dennoch letsencrypt benutzen kann?
Danke für eure Hilfe.

Mir ist nicht bekannt, dass Let's Encrypt zwingend einen CAA Record bräuchte.
Siehe auch: https://letsencrypt.org/docs/caa/

Dort steht aber auch wie es zu dem von dir beschriebenen Fehler kommen kann.

Ich vermute, dass es daran liegt, dass dein Nameserveranbieter zwar kein CAA unterstützt, die Anfragen von LE aber nicht als "ungültig" zurück gewiesen werden. Dein Provider antwortet wohl mit einem falschen Statuscode.

Leite den Link weiter. Wenn die das nicht reparieren können wirst du wohl den Anbieter wechseln müssen.

Hallo,

grundsätzlich ist CAA nicht erforderlich. Allerdings reagiert ACME allergisch auf SRVFAIL DNS Fehler, wenn kein CAA gesetzt ist sollte hier keine Antwort kommen.