Let’s Encrypt SSL mogelijke issues

Standaard worden Let’s Encrypt SSL certificaten automatisch vernieuwd. Er zijn echter een aantal gevallen waarop je SSL niet door het systeem kan vernieuwen of aanmaken

  1. Domeinen of subdomeinen die niet meer bestaan
  2. DNS elders en oud AAAA record is niet verwijderd
  3. Custom url redirects of .htaccess instellingen
  4. Speciale instellingen voor wildcards, subdomeinen en aliassen
  5. Let's encrypt laat maximaal 10 registraties per 3 uur toe vanaf hetzelfde IP-adres.
  6. Let's encrypt heeft geen toegang tot de .well-known map.

Domeinen of subdomeinen die niet meer bestaan

Het beste is dus om altijd ongebruikte subdomeinen op te ruimen. Daarnaast als een (Alias) domein niet meer bestaat of niet meer in de DNS verwijst naar de server het bestaande Let's Encrypt certificaat te verwijderen en opnieuw uit te geven, maar dan zonder de betreffende subdomeinen of domeinen. Als er een domein of subdomein in het certificaat aanwezig is, en deze wijst op het moment van automatische vernieuwing niet goed door of geeft fouten, dan kan het gehele certificaat niet vernieuwd worden. Dit zien we soms ook met Let's Encrypt SSL certificaat voor een reeks domeinen, waarvan er een of meer niet meer resolven naar deze server. Als bijvoorbeeld het mail subdomein in je bestaande Let's Encrypt SSL certificaat staat, maar in de tussenperiode verwijst die naar een andere server, zal ook de Let's Encrypt automatische verlenging problemen geven.

Kan de DNS voor een domein niet gevonden worden, dan krijg je als foutmelding NXDOMAIN looking up for A for:

DNS elders en oud AAAA record niet verwijderd

Als de domeinnaam niet bij Hoasted zit en er ook geen Hoasted nameservers gebruikt worden, kan het zijn dat er nog een AAAA record (IPv6) aanwezig is dat verwijst naar een andere server. De melding is dan:

Het verwijderen dat AAAA record is dan de oplossing.
Of er een AAAA record is kun je ook nagaan op  https://www.digwebinterface.com

  1. Type in het Hostname vak je domeinnaam, kies bij Type: AAAA en klik op de Dig-knop.
  2. Als er een AAAA record is dan zie je onderaan je domeinnaam gevolgd door  een getal, IN, AAAA en een combinatie van getallen gescheiden door : tekens.

Custom url redirects of htaccess settings.

Hiervoor zul je een aantal wijzigingen moeten doorvoeren aan het .htaccess bestand. Het doel is dat de url domein.nl/.well-known/ altijd beschikbaar blijft. Voorbeeld:

Dit is een voorbeeld waarin alle url verzoeken worden herschreven van http://www.domein.nl naar http://www.domein.nl/shop/.

RewriteEngine on
RewriteCond%{HTTP_HOST} ^domein\.nl$ [OR]
RewriteCond%{HTTP_HOST} ^www\.domein\.nl$
RewriteRule ^index\.html$ “http\:\/\/www\.domein\.nl\/shop\/index\.php” [R=301,L]
RewriteRule ^(.*) <a href="http://www.domein.nl/shop/">http://www.domein.nl/shop/</a> [R=301,L]
  1. Open je .htaccess bestand.
  2. Plak de volgende code helemaal bovenaan in je .htaccess. Er mag niets boven deze code staan:

    RewriteEngine on
RewriteRule ^.well-known - [L]

Je kunt nu testen door een SSL vernieuwing in cPanel uit te voeren. Als dit goed gaat, zal je SSL ook correct automatisch vernieuwen.

Onjuiste rechten op de mappen .well-known/acme-challenge

Krijg je een unable to create file, permission denied melding, wijzig dan de rechten van de mappen public_html/ .well-known en de public_html/.well-known/acme-challenge naar 755.

Speciale instellingen voor wildcards, subdomeinen en aliassen

Het aanmaken of vernieuwen van een Let’s Encrypt certificaat kan problemen opleveren in de onderstaande gevallen:

  • Je maakt gebruik van een wildcard subdomein (*.domeinnaam.nl)
  • Je hebt een wildcard alias op je account (*.domeinnaam.nl)
  • Je website wordt geredirect naar een andere website
  • Je Let's Encrypt domeinsuggesties vallen onder meerdere aparte groepen. Hierdoor zal een conflict gaan ontstaan bij mailprogramma’s en overige software, aangezien er niet bepaald kan worden welk certificaat leidend is. Incorrect (twee of meer items om te issuen):Correct (één item om te issuen):
  • In geval van een subdomein kan deze foutmelding komen: 
    DNS problem: SERVFAIL looking up CAA for domein.nl komen.
    Ga dan naar https://sslmate.com/caa/ en vul daar het hoofddomein in. Je krijgt dan later op de pagina de twee CAA records:
    domein.nl. IN CAA 0 issue "letsencrypt.org"
    domein.nl. IN CAA 0 issuewild ";"
    Ga dan in het cPanel van het hoofddomein naar Domeinen > Zone Editor en voeg beide CAA records toe. Probeer daarna voor het subdomein opnieuw de Let's Encrypt te laten installeren.

In het geval je SSL nog steeds een foutmelding geeft

Haal dan je .htaccess file leeg en test het dan nogmaals. Indien de SSL wel correct wordt aangemaakt, weet je dat het probleem in je .htaccess zit. Op basis van http://htaccess.madewithlove.be/ kun je testen welke htaccess regel je het bereiken .well-known map tegenhoudt.

Too many registrations for this IP
Let's Encrypt heeft een maximum van 50 per week. Kom je daarboven, dan krijg je de foutmelding: "Too many registrations for this IP". Zie https://letsencrypt.org/docs/rate-limits/
Oplossing is dan die week uur te wachten, of een betaald PositiveSSL certificaat, dat kan binnen een half uur rond zijn. 

Zelf monitoren
Je kunt dit zelf een script maken dat het bijhoudt middels deze tool:
https://relgrowth.com/seo-tools/ssl-expiration-checker/

Je ziet dan bijvoorbeeld:

SSL certificate expiry monitor

Los van bovenstaande is het handig om onderstaande tool te gebruiken om je certificaten te monitoren. Als een Let’s Encrypt SSL certificaat onder de 7 dagen voor verlenging komt, dan gaat er iets niet goed met de verlenging. Dan weet je dat je alles moet controleren.

Er is een zeer handige tool die je kan waarschuwen over verlopende SSL certificaten. Hiervoor kun je https://certificatemonitor.org/ gebruiken. Kosteloos en ideaal hiervoor! Een andere fijne tool is deze:

https://relgrowth.com/seo-tools/ssl-expiration-checker/
https://letsmonitor.org/
https://alerts.httpscop.com/

https://uptimerobot.com/ (betaald)
https://updown.io/ (betaald)

Advies
We raden je aan domeinen in een monitor stoppen, waar je aangeeft dat een domein met minder dan 10 dagen tot aan SSL verloop, een notificatie triggert. In die gevallen is er waarschijnlijk iets niet goed gegaan met de verlenging, wat de reden daarvan ook mag zijn. Zo heb je nooit een issue met verlopen SSL, zonder dat je routinematig je SSL's hoeft na te lopen.

Heeft dit artikel je goed geholpen? Dank voor je feedback! Er is een probleem opgetreden bij het verzenden. Probeer opnieuw.