Vamos Criptografar - “DNS… consulta expirou procurando CAA por…”

Question

Vamos Criptografar - “DNS… consulta expirou procurando CAA por…”

#1 resposta do (1 votos)
#2 resposta do (0 votos)

5

Eu tenho usado o Let's Encrypt em alguns domínios por alguns meses agora, e geralmente está funcionando. Eu estava passando pela renovação dos certificados e, para um dos domínios, recebo a seguinte mensagem de erro (no objeto JSON retornado em challenges[1].error.detail ):

DNS problem: query timed out looking up CAA for [somedomain.com]

Eu tentei pesquisar o erro, mas até o Google encontrou resultados nulos (até o momento em que escrevo). Para os pessimistas: Sim, este domínio (exatamente como mostrado na mensagem de erro) é válido e totalmente acessível e pingável de longe.

Existe uma situação importante (pista) aqui, no entanto, a respeito de porque esta condição surgiu. Eu tinha as configurações desse domínio definidas para redirecionar todo o tráfego para HTTPS quando tentei renovar esse domínio em particular pela primeira vez. Parece que o LE tentou acessar o servidor no HTTPS e falhou. Desde então, alterei as configurações do servidor para que o domínio não seja redirecionado para HTTPS para a pasta acme-challenge. O problema parece ser que LE está lembrando que uma solicitação anterior foi redirecionada e agora não deseja acessar a URL HTTP. O challenges[1].validationRecord tem duas entradas, uma em [0] para HTTP e outra em [1] para HTTPS, então LE está ciente de que o servidor também pode ser acessado no endereço HTTP. Além disso, posso acessar o arquivo de verificação de validação (no domínio em questão) na URL, conforme fornecido em challenges[1].validationRecord[0].url , sem problemas.

Minha pergunta é: Como faço para LE esquecer que tentei solicitar um certificado enquanto o servidor estava configurado para redirecionar todo o tráfego para HTTPS? Portanto, como faço para que LE use o URL HTTP?

ssl redirect ssl-certificate lets-encrypt

por Michael 15.01.2016 / 16:39

2 respostas

Tags ssl redirect ssl-certificate lets-encrypt

304 com o CORS no apache Bash para começar a perder o depurador após a atualização para 4.2

score 1 · Answer 1

O Let's Encrypt não controla os redirecionamentos anteriores. Você pode usar a versão HTTP ou HTTPs para validação.

Seu erro destaca um problema diferente

DNS problem: query timed out looking up CAA for [somedomain.com]

O sistema de validação não conseguiu concluir uma pesquisa de DNS do domínio. Pode ser possível que o provedor DNS que você está usando tenha algum problema, ou que a rota entre os servidores Vamos criptografar e seu servidor tenha algum problema de rede.

Este é um problema similar , descrito no fórum oficial da comunidade LE.

I think the problem is on the DN look-up step. There is no CAA record. Somehow it took very long time for domain name server to respond. Here are some results Osiris sent to me. He mentioned that getting ip is fast, but 'one but last step is often quite slow'. Slowness could be the reason for failing at CAA checking step.

e

Based on the original error and those times, it's very likely there are some problems with the DNS servers you're using or the route to them from Let's Encrypt's data center, and it's causing timeouts.

Investigue suas configurações de DNS e, se a pesquisa for bem-sucedida, tente enviar a solicitação de certificado depois de algum tempo.

score 0 · Answer 2

A versão atualizada do cliente acme geralmente exibe o IP de destino que atingiu o tempo limite. Parece que o cliente emite consultas para diferentes servidores de nomes durante a rotina de solicitação de certificado. Esses servidores incluem, mas não se limitam ao servidor DNS padrão da máquina, e ao servidor de nomes autoritativo do domínio que você está usando.

Eu vi uma situação em que, com uma conexão de rede perfeita, a rota para o servidor de nomes autoritativo era bloqueada no firewall da empresa. (Eu sei, estranho). Assim, enquanto todos os nomes (incluindo este domínio em particular) foram resolvidos perfeitamente, quando o cliente acme tentou entrar em contato diretamente com o servidor de nomes autoritativo, o processo falhou. Isso foi resolvido alterando as regras do firewall para permitir que a solicitação fosse concluída.

Portanto, para o ano 2018 e posterior - observe os registros, eles normalmente informam qual endereço IP atinge o tempo limite e verifica a conectividade do cliente acme para esse endereço.