Let’s Encrypt SSL mogelijke issues
Standaard worden Let’s Encrypt SSL-certificaten automatisch vernieuwd. Er zijn echter een aantal gevallen waarop je SSL niet door het systeem kan vernieuwen of aanmaken
- Domeinen of subdomeinen die niet meer bestaan
- DNS elders en oud AAAA-record is niet verwijderd
- Custom url redirects of .htaccess instellingen
- Speciale instellingen voor wildcards, subdomeinen en aliassen
- Let's encrypt laat maximaal 10 registraties per 3 uur toe vanaf hetzelfde IP-adres.
- Let's encrypt heeft geen toegang tot de .well-known map.
Domeinen of subdomeinen die niet meer bestaan
Best Practices voor het Beheren van Let's Encrypt SSL Certificaten bij Domein- en Subdomeinwijzigingen
Opruimen van Ongebruikte Subdomeinen: Het is belangrijk om ongebruikte of overbodige subdomeinen regelmatig op te ruimen. Dit helpt bij het voorkomen van problemen bij de automatische vernieuwing van SSL-certificaten.
Verwijderen en Opnieuw Uitgeven van Certificaten bij Domeinwijzigingen:
- Als een domein (of alias) niet langer bestaat of niet meer naar de server verwijst in de DNS, is het raadzaam om het huidige Let's Encrypt certificaat te verwijderen.
Vervolgens moet je een nieuw certificaat uitgeven, maar dan zonder de betreffende domeinen of subdomeinen.
Impact van Domein- en Subdomeinverwijzingen op Vernieuwing:
- Als een domein of subdomein dat opgenomen is in het SSL-certificaat niet correct doorverwijst of fouten geeft op het moment van automatische vernieuwing, kan dit leiden tot het falen van de gehele certificaatvernieuwing.
- Dit probleem wordt vaak gezien bij Let's Encrypt SSL-certificaten die een reeks domeinen omvatten, waarvan er één of meer niet meer correct verwijzen naar de server.
Bijvoorbeeld, als het mailsubdomein in het Let's Encrypt SSL-certificaat staat, maar tussentijds naar een andere server verwijst, kan dit problemen opleveren bij de automatische verlenging.
DNS Vindbaarheidsproblemen:
- Wanneer de DNS van een domein niet gevonden kan worden, resulteert dit vaak in de foutmelding "NXDOMAIN looking up for A for [domeinnaam]". Dit geeft aan dat er een probleem is met de DNS-configuratie van het betreffende domein.
DNS elders en oud AAAA record niet verwijderd
Als de domeinnaam niet bij Hoasted zit en er ook geen Hoasted nameservers gebruikt worden, kan het zijn dat er nog een AAAA-record (IPv6) aanwezig is dat verwijst naar een andere server. De melding is dan:
De oplossing voor dit probleem is het verwijderen van het betreffende AAAA record. Om te controleren of er een AAAA record aanwezig is, kun je de website Dig Web Interface gebruiken. Voer daar je domeinnaam in het veld 'Hostname' in, selecteer 'AAAA' als het type en klik vervolgens op 'Dig'. Wanneer er een AAAA record bestaat, zul je onderaan de resultaten je domeinnaam zien, gevolgd door een reeks, bestaande uit een getal, 'IN', 'AAAA', en een reeks getallen gescheiden door dubbele punten.
Custom url redirects of htaccess settings.
Hiervoor zul je een aantal wijzigingen moeten doorvoeren aan het .htaccess bestand. Het doel is dat de url domein.nl/.well-known/ altijd beschikbaar blijft.
Voorbeeld:
Dit is een voorbeeld waarin alle url verzoeken worden herschreven van http://www.domein.nl naar http://www.domein.nl/shop/.
RewriteEngine on
RewriteCond %{HTTP_HOST} ^domein\.nl$ [OR]
RewriteCond %{HTTP_HOST} ^www\.domein\.nl$
RewriteRule ^index\.html$ http://www.domein.nl/shop/index.php [R=301,L]
RewriteRule ^(.*)$ http://www.domein.nl/shop/ [R=301,L]
- Open je .htaccess bestand.
- Plak de volgende code helemaal bovenaan in je .htaccess. Er mag niets boven deze code staan:
RewriteEngine on
RewriteRule ^.well-known - [L]
Je kunt nu testen door een SSL vernieuwing in cPanel uit te voeren. Als dit goed gaat, zal je SSL ook correct automatisch vernieuwen.
Onjuiste rechten op de mappen .well-known/acme-challenge
Krijg je een unable to create file, permission denied melding, wijzig dan de rechten van de mappen public_html/ .well-known en de public_html/.well-known/acme-challenge naar 755.
Speciale instellingen voor wildcards, subdomeinen en aliassen
Het aanmaken of vernieuwen van een Let’s Encrypt certificaat kan problemen opleveren in de onderstaande gevallen:
- Gebruik van Wildcard Subdomeinen:
- Wanneer je een wildcard subdomein gebruikt (bijvoorbeeld *.domeinnaam.nl).
- Als je een wildcard alias op je account hebt (*.domeinnaam.nl).
- Redirects en Domeinconflicten:
- Als je website wordt omgeleid naar een andere website.
- Wanneer je Let's Encrypt domeinsuggesties onder meerdere aparte groepen vallen, kan dit conflicten veroorzaken met mailprogramma’s en andere software. Dit komt omdat er onduidelijkheid ontstaat over welk certificaat leidend is.
- Incorrect: Twee of meer items om te vernieuwen.
- Correct: Slechts één item om te vernieuwen.
- DNS en CAA Foutmeldingen:
- Bij subdomeinen kun je de foutmelding 'DNS problem: SERVFAIL looking up CAA for domein.nl' tegenkomen.
- Oplossing: Bezoek SSL Mate CAA Record Helper en vul het hoofddomein in om de benodigde CAA records te verkrijgen:
domein.nl. IN CAA 0 issue "letsencrypt.org"
domein.nl. IN CAA 0 issuewild ";"
.
- Voeg beide CAA records toe in het cPanel onder 'Domeinen > Zone Editor' en probeer de Let's Encrypt installatie opnieuw voor het subdomein.
- .htaccess Problemen:
- Als je SSL nog steeds een foutmelding geeft, leeg dan je .htaccess-bestand en test opnieuw.
- Indien de SSL correct wordt aangemaakt, ligt het probleem waarschijnlijk bij je .htaccess-configuratie.
- Gebruik htaccess.madewithlove.be om te testen welke .htaccess-regel toegang tot de .well-known map blokkeert.
- Limiet op SSL Registraties:
- Let's Encrypt heeft een limiet van 50 registraties per week per IP-adres.
- Bij overschrijding krijg je de foutmelding "Too many registrations for this IP".
- Zie Let's Encrypt Rate Limits voor meer informatie.
- Oplossingen:
- Wacht een week of kies voor een betaald PositiveSSL certificaat, dat binnen een half uur geregeld kan zijn.
Zelf monitoren
Je hebt de mogelijkheid om zelf een script te schrijven dat je SSL-certificaten bijhoudt, gebruikmakend van deze tool: Relgrowth's SSL Expiration Checker. Hiermee kun je bijvoorbeeld onderstaande zien:
Naast de eerder genoemde informatie is het aan te raden om specifieke tools te gebruiken voor het monitoren van je SSL certificaten. Als de vervaldatum van een Let's Encrypt SSL certificaat binnen 7 dagen is, duidt dit meestal op een probleem met de automatische verlenging. Door het gebruik van monitoringtools kun je tijdig op de hoogte worden gesteld van dergelijke problemen en de nodige controles uitvoeren. Een uitstekende gratis tool voor deze taak is Let's Monitor, speciaal ontworpen om je te waarschuwen voor verlopende SSL certificaten. Andere nuttige tools zijn:
- SSL Expiration Checker van Relgrowth
- HTTPSCOP Alerts
- UptimeRobot (betaalde service)
- Updown.io (betaalde service)
Deze tools bieden een handige manier om je SSL certificaten proactief te beheren en te voorkomen dat ze onverwacht verlopen.
Advies
We adviseren je om je domeinen in een monitoringssysteem op te nemen dat een waarschuwing verstuurt wanneer een SSL certificaat minder dan 10 dagen van de vervaldatum verwijderd is. Dit signaleert meestal een probleem met de certificaatverlenging, ongeacht de oorzaak. Door dit te doen, vermijd je problemen met verlopen SSL certificaten en hoef je niet voortdurend handmatig je SSL-status te controleren.