Let’s Encrypt SSL mogelijke issues

Standaard worden Let’s Encrypt SSL certificaten inderdaad automatisch vernieuwd. Er zijn echter een aantal gevallen waarop je SSL niet door het systeem kan vernieuwen:

  1. domeinen of subdomeinen die niet meer bestaan
  2. DNS elders en oud AAAA record niet verwijderd
  3. custom url redirects of htaccess settings
  4. speciale instellingen voor wildcards, subdomeinen en aliassen

Domeinen of subdomeinen die niet meer bestaan

Het beste is dus om altijd ongebruikte subdomeinen op te ruimen. Daarnaast als een domein niet meer bestaat of niet meer in de DNS verwijst naar de server het bestaande Let's Encrypt certificaat te verwijderen en opnieuw uit te geven, maar dan zonder de betreffende subdomeinen of domeinen. Als er een domein of subdomein in het certificaat aanwezig is, en deze wijst op het moment van automatische vernieuwing niet goed door of geeft fouten, dan kan het gehele certificaat niet vernieuwd worden. 
Kan de DNS voor een domein niet gevonden worden, dan krijg je als foutmelding NXDOMAIN looking up for A for:

DNS elders en oud AAAA record niet verwijderd

Als de domeinnaam niet bij Hoasted zit, en ook geen Hoasted nameservers gebruikt, kan het zijn dat er nog een AAAA record (IPv6) aanwezig is dat verwijst naar een andere server. Verwijder dat record is dan de oplossing.
Of er een AAAA record is kun je ook nagaan op  https://www.digwebinterface.com

  1. Type in het Hostname vak je domeinnaam, kies bij Type: AAAA en klik op de Dig-knop.
  2. Als er een AAAA record is dan zie je onderaan je domeinnaam gevolgd door  een getal, IN, AAAA en een combinatie van getallen gescheiden door : tekens.

Custom url redirects of htaccess settings.

Hiervoor zul je een aantal wijzigingen moeten doorvoeren aan het .htaccess bestand. Het doel is dat de url domein.nl/.well-known/ altijd beschikbaar blijft. Voorbeeld:

Dit is een voorbeeld waarin alle url verzoeken worden herschreven van http://www.domein.nl naar http://www.domein.nl/shop/.

RewriteEngine on
RewriteCond%{HTTP_HOST} ^domein\.nl$ [OR]
RewriteCond%{HTTP_HOST} ^www\.domein\.nl$
RewriteRule ^index\.html$ “http\:\/\/www\.domein\.nl\/shop\/index\.php” [R=301,L]
RewriteRule ^(.*) <a href="http://www.domein.nl/shop/">http://www.domein.nl/shop/</a> [R=301,L]
  1. Open je .htaccess bestand.
  2. Plak de volgende code helemaal bovenaan in je .htaccess. Er mag niets boven deze code staan:

    RewriteEngine on
    RewriteRule ^.well-known - [L]
    	

Je kunt nu testen door een SSL vernieuwing in cPanel uit te voeren. Als dit goed gaat, zal je SSL ook correct automatisch vernieuwen.

Onjuiste rechten op de mappen .well-known/acme-challenge

Krijg je een unable to create file, permission denied melding, wijzig dan de rechten van de mappen public_html/ .well-known en de public_html/.well-known/acme-challenge naar 755.

Speciale instellingen voor wildcards, subdomeinen en aliassen

Het aanmaken of vernieuwen van een Let’s Encrypt certificaat kan problemen opleveren in de onderstaande gevallen:

  • Je maakt gebruik van een wildcard subdomein (*.domeinnaam.nl)
  • Je hebt een wildcard alias op je account (*.domeinnaam.nl)
  • Je website wordt geredirect naar een andere website
  • Je Lets Encrypt domeinsuggesties vallen onder meerdere aparte groepen. Hierdoor zal een conflict gaan ontstaan bij mailprogramma’s en overige software, aangezien er niet bepaald kan worden welk certificaat leidend is.Incorrect (twee of meer items om te issuen):Correct (één item om te issuen):

In het geval je SSL nog steeds een foutmelding geeft

Haal dan je .htaccess file leeg, en test het dan nogmaals. Indien de SSL wel correct wordt aangemaakt, weet je dat het probleem in je .htaccess zit. Op basis van http://htaccess.madewithlove.be/ kun je testen welke htaccess regel je het bereiken .well-known map tegenhoudt.

SSL certificate expiry monitor

Los van bovenstaande, is het handig om onderstaande tool te gebruiken om je certificaten te monitoren. Als een Let’s Encrypt SSL certificaat onder de 7 dagen tot verlenging komt, dan gaat er iets niet goed met de verlenging. Dan weet je dat je alles moet controleren.

Er is een zeer handige tool die je kan waarschuwen over verlopende SSL certificaten. Hiervoor kun je https://certificatemonitor.org/ gebruiken. Een kosteloze tool en ideaal hiervoor!

Nog steeds hulp nodig? Contact ons Contact ons