Zertifikat erneuern (let's encrypt) klappt nicht

  • Moin,

    bei uns wäre heute die Erneuerung des Webbox-Zertifikats via Let's Encrypt dran. Es kommt aber nur:

    (AC) Certificate Order Error

    Code: 1008

    Error: Order certificate request failed

    StatusCode: 500

    Description: Failed to complete challenge

    Reason: Request failed

    An der Konfiguration hat sich nichts geändert, Port 80 ist offen, Webbox läuft. Porttest OK. Ich kann unsere öffentliche Adresse problemlos ansprechen, sowohl über den Hostnamen als auch über die IP.

    Problem bei LE? Oder was kann das sonst sein? Hat jemand von euch schon ein neues Zertifikat angefordert bzw. erhalten, seit Rollout 414 draußen ist?

  • OK, ich denke nicht, dass es an unserer Konfiguration liegt, bei einem Kunden ist das Problem soeben identisch aufgetreten. Die letzte automatische Aktualisierung funktionierte noch reibungslos.

    Also: Fehler bei Let's Encrpyt? Oder Bug in Rollout 414?

  • Bei LE läuft aktuell alles rund.
    Keine Einschränkungen bekannt, ein kurzer Test zeigt das neue Zertifikate via http bestätigt und alte erneuert werden können.

    Auf unserem David Server ist die Erneuerung allerdings erst in 2 Tagen wieder dran. Da kann ich erst dann etwas dazu sagen.

    Üblicher Weise deutet diese Fehlermeldung auf Firewall Einschränkungen hin.
    Bei uns passiert das immer dann wenn ich die Firewall nicht rechtzeitig für LE öffne, da wir normal nur bekannten Verkehr zu unserem Server zulassen und die LE Server nicht ausreichend gut vorhersagbar sind, was dazu führt das ich während des Updates immer einmal kurz alles Richtung Port 80 zulasse um es anschließend direkt wieder zu blocken.

    Das es auch bei einem Kunden von Euch auftritt würde ich ja nun auch nicht unbedingt als ein sicheres Indiz werten das es nicht doch an der lokalen Konfiguration liegt, schließlich übernimmt man gewisse Einstellungen ja gern auf alle von einem betreuten und hinreichend ähnlichen Systeme ;)

    Könnte aber natürlich auch ein Problem mit einem gemeinsamen Upstream gelegenen Provider sein...

  • übernimmt man gewisse Einstellungen ja gern auf alle von einem betreuten und hinreichend ähnlichen Systeme ;)

    Könnte aber natürlich auch ein Problem mit einem gemeinsamen Upstream gelegenen Provider sein...

    "Leider" nicht, ich habe zum Testen extra den Kunden ausgewählt, der von uns geographisch am weitesten entfernt sitzt. ;) Anderer Provider, anderer Router (beim Kunden nur eine simple Fritz!Box ohne besondere Firewall-Beschränkungen), anderer Subdomain-Host (einmal dyndns, einmal A-Record auf feste IP). Außer einer weitgehend identischen David-Installation kann ich derzeit keine potenziell Problem-verursachende Übereinstimmungen erkennen.

    Aber du hast natürlich Recht, bei Let's Encrypt selbst gibt es keine Störungsmeldungen und auch keine passenden neuen Einträge im Forum. Wäre schon seltsam, wenn eine Störung bei so einem großen Dienst nicht auch anderen Benutzern auffällt.

    Für heute ist eh erstmal Pause angesagt:

    Error: Error order certificate

    StatusCode: 500

    Description: Failed to create challenge

    Reason: RateLimit reached

    Ich schaue mir das morgen noch einmal an. Unser Zertifikat gilt ja noch bis 13.12. ...

  • OK, also irgend eine Art von Schluckauf gab es - das Problem war bei Tobit bekannt ("wir sind an dem Thema dran"), gestern Abend kam dann aber via Chat die Nachricht, dass es nun nicht mehr auftreten sollte.

    Wir hängen immer noch mit obiger Fehlermeldung fest und bekommen wegen des "RateLimit reached" kein neues Zertifikat ausgestellt. Werden mal ein paar Tage abwarten. Bei den Kunden gibt es zum Glück keine derartigen Auffälligkeiten.

  • Ich hatte es gerade in einem anderen Thread hier geschrieben, ich hatte das gleiche Problem auch bei einem Kunden. Nach drei Tagen ging es von alleine wieder.

    Wenn Tobit das aus der Ferne ohne Hotfix beheben kann, dann liegt es wahrscheinlich an dem Mechanismus, der vor dem LetsEncrypt-Update prüft, ob Sitecare aktiv ist. Oder geht LE inzwischen ohne Sitecare?

  • Oder geht LE inzwischen ohne Sitecare?

    Durch den David Server automatisiertes LE braucht zwingend SiteCare.

    Automatisierte LE Zertifikate für David ohne SiteCare gingen allerdings schon lange bevor Tobit dem David Server LE Zertifikate beigebracht hatte. Wir haben das damals sicher so 2 Jahre lang eingesetzt, bis Tobit das dann als Part von SiteCare angeboten hat.

Participate now!

Don’t have an account yet? Register yourself now and be a part of our community!