Der Artikel beschreibt häufige Probleme bei der Installation von SSL-Zertifikaten von Let's Encrypt. Zu den Problemen gehören nicht auflösbare Domains, fehlende Rechte auf die Verifizierungs-URL, unsichere Domain-Einstufungen durch Google und fehlende DNS-Einträge für Platzhalterzertifikate. Lösungen umfassen DNS-Überprüfungen, Anpassungen in der .htaccess-Datei und das Hinzufügen von erforderlichen DNS-Einträgen. Bei Google als unsicher eingestufte Domains können über den Safe Browsing-Websitestatus überprüft werden, um den Grund der Einstufung zu erfahren und Anleitungen zur Bereinigung zu erhalten.
Domain (noch) nicht aktiv/auflösbar
Keine Rechte auf die Verifizierungs-URL
Domain wird von Google als unsicher eingestuft
SSL/TLS-Platzhalterzertifikat angewählt ohne entsprechende DNS-Einträge
|
Fehlermeldung |
oder
| Invalid response from https://acme-v02.api.letsencrypt.org/acme/authz-v3/2884970686. Details: Type: urn:ietf:params:acme:error:dns Status: 400 Detail: DNS problem: SERVFAIL looking up A for hansmuster.ch - the domain's nameservers may be malfunctioningy |
Ursache
Die Domain löst nicht auf die IP Adresse des Servers auf wo Let's Encrypt installiert werden sollte. Es kann sein, dass die Domain noch nicht aktiv (Neubestellung Domain/Hosting) oder die DNS Zone vollständig propagiert ist.
Lösung
Überprüfen Sie, ob die IP Adresse für die Domain (A-Record und www) auf den Server auflösen, auf dem Let's Encrypt installiert werden soll. Bitte beachten Sie, dass nach einer Anpassung der Nameserver oder in der DNS-Zone bis zu 24 Stunden abgewartet werden müssen, bis die Domain auf die neuen Einträge auflöst.
|
Fehlermeldung Fehler bei der Installation des SSL-Zertifikats von Let's Encrypt: Failed letsencrypt execution: Failed authorization procedure. www.hansmuster.ch (http-01): urn:acme:error:unauthorized :: The client lacks sufficient authorization :: Invalid response from http://www.hansmuster.ch/.well-known/acme-challenge/c7t_LmLlPxmICnDeaLXhVjcnt51KkQyCbU3q2bxPowo oder Error: Let's Encrypt SSL certificate installation failed: Challenge marked as invalid. Details: Invalid response from http://hansmuster.ch/.well-known/acme-challenge/AiXBJuXuawjMQbVh9Vn3jinzy7eRmVozdYE3qBkDEqM: " |
Ursache
Beim Verbindungsaufbau mit Let's Encrypt erreicht dieser den Stammordnerpfad. Dort angekommen kann Let's Encrypt das Zertifikat aufgrund von Weiterleitungen nicht installieren.
|
Hinweis Let's Encrypt Zertifikate sind immer 3 Monate gültig. In der letzten Wochen werden diese automatisch erneuert. Falls zu diesem Zeitpunkt die .htaccess Datei erneut umbenannt wurde, kann Let's Encrypt das Zertifikat nicht ausstellen. |
Mögliche Lösung
Ergänzen Sie in der .htaccess die Ausnahme für den Ordner .well-known wie folgt:
RewriteEngine on
RewriteCond %{REQUEST_URI} !^/.well-known/
RewriteRule (.*) http://www.domain.ch [R=301,L]
Beachten Sie, dass es sich hierbei um einen Lösungsansatz handelt. Je nach eingesetzter Applikation kann der Inhalt der angegebenen .htaccess Datei variieren.
|
Fehlermeldung Fehler bei der Installation des SSL-Zertifikats von Let's Encrypt: Type: urn:acme:error:unauthorized Status: 403 Detail: Error creating new authz :: "DOMAIN" was considered an unsafe domain by a third-party API Execution of /usr/local/psa/admin/plib/modules/letsencrypt/scripts/cli.php failed with exit code 1 and the output: Invalid response from https://acme-v01.api.letsencrypt.org/acme/new-authz. Details: Type: urn:acme:error:unauthorized Status: 403 Detail: Error creating new authz :: "DOMAIN" was considered an unsafe domain by a third-party API |
Ursache
Google hat die Seite als unsicher eingestuft.
Lösung
Rufen Sie den folgenden Link auf und suchen Sie nach der in der Meldung angegebenen Domain: Safe Browsing-Websitestatus
Ihnen wird der aktuelle Status sowie der Grund für die unsichere Einstufung angezeigt.
Auf der selben Seite finden Sie weiterführende Informationen sowie Anleitungen zum bereingen der Domain.
| Fehlermeldung: SSL/TLS-Platzhalterzertifikat von Let's Encrypt wird ausgestellt für die Domain beispieldomain.ch. Bitte warten Sie, bis ein DNS-Eintrag mit den folgenden Parametern hinzugefügt wird: Eintragstyp: TXT Domainname: _acme-challenge.beispieldomain.ch Eintrag: GPVH0rWlDPfr-GvWZeQ633T2_bmGc9R1Cqu-45ZC3U8 |
Wenn Sie die Zertifikatanforderungen abbrechen und löschen möchten, klicken Sie auf "Abbrechen".
Bevor Sie auf "Weiter" klicken, vergewissern Sie sich, dass der DNS-Eintrag hinzugefügt wurde und extern aufgelöst werden kann.
Wird bei der Ausstellung des Let's Encrypt Zertifikats die Option " SSL/TLS-Platzhalterzertifikat ausstellen " angewählt ist für die Verifizierung ein TXT Eintrag in der DNS-Zone der betroffenen Domain notwendig. Dieser Eintrag muss erstellt werden bevor die Ausstellung des Zertifikates abgeschlossen werden kann. Wenn die Plesk eigenen Nameserver für die Domain ausgewählt sind wird der benötigte TXT-Eintrag direkt von Plesk erstellt.