SSL-Probleme seit gestrigem Update

  • Was bis gestern noch tadellos funktionierte, funktioniert heute nach dem Update auf die neue Version leider nicht mehr, gleich für 2 Domains, auf jeweils versch. Servern:


    Code
    [21.08.2019 13:57:55] ACME2: xx.de: DNS check failed: DNS lookup failed: domain not found (NXDOMAIN)


    Code
    [21.08.2019 13:59:14] ACME2: xx-xx.com: DNS check failed: DNS error: unknown/invalid IP(s) found in DNS: xx.xx.xx.xxx


    Sämtliche DNS-Einträge stimmen zu 100%, geprüft wurde dies u.a. mit whatsmydns.net.


    Was kann man hier tun?

  • Hallo


    da es genau 45 Minuten gedauert hat, wird es wohl 2 mal zu einem DNS Problem gekommen sein, und beim 3ten mal hat es dann geklappt, weil seid der 2.8 wird ja alle 15 Minuten bei Fehlern es erneut probiert.


    Was sagt den das Log dazu?


    Mit freundlichen Grüßen
    Martin Krüger

  • Nachtrag: das 1. Zertifikat ist nun aktiv. Es hat aber ungewöhnlich lange gedauert, was sonst in 5 Minuten erledigt war, hat hier 45 MInuten gedauert, obwohl die DNS der Domain aktiv und vorhanden waren. Woran liegt das?


    Es liegt schlicht am DNS. Ich kann von hier aus leider nicht sagen was exakt die Ursache war, aber die Meldungen lassen ja keinen Spielraum zur Interpretation: in einem Fall wurde ein "NXDOMAIN" vom DNS-Server geliefert (das bedeutet also nicht dass der DNS-Server nicht geantwortet hat, sondern die Domain war tatsächlich (noch) nicht vorhanden). Im anderen Fall liefert der angefragte DNS-Server andere IPs als auf dem Server vorhanden sind. Beide Fälle führen bei einer Domainvalidierung durch Let's Encrypt zu einem Fehler - das Verhalten ist also richtig.


    Bei neu angelegten Domains kann es immer ein wenig dauern bis diese im DNS konnektiert sind. Es macht keinen Sinn, eine Domainvalidierung anzustoßen bevor die Domain vollständig konfiguriert ist.


    Bei der zweiten Domain: schicken Sie uns einfach mal den Domainnamen an support@liveconfig.com, dann prüfen wir das gerne mal.


    Viele Grüße


    -Klaus Keppler


  • Nachricht ist raus. Zertifikat 2 ist noch immer nicht aktiv (trotz korrekter und geprüfter DNS), so endlos lange hat es noch nie gedauert, wie nach dem Update.


    Logs werden gleich studiert, ich gehe aber davon aus, dass in diesen selbiges vermerkt sein wird.

  • Um das klar zu stellen: das Problem liegt daran, dass zum Zeitpunkt der SSL-Bestellung die DNS-Server noch eine andere IP (die "alte") zurückgeliefert hatten - mit einer TTL von 86400 Sekunden (=24 Std).
    LiveConfig prüft die DNS-Daten erst nach Ablauf der TTL erneut (alles andere macht auch wenig Sinn) - in diesem Fall steht der nächste Versuch also erst in etwa 24 Stunden an.


    Workaround in so einem Fall ist, das noch nicht beantragte Zertifikat aus der SSL-Verwaltung zu löschen und dann erneut eines zu beantragen. Wir planen aber auch einen Button anzulegen, um die DNS-Prüfung manuell vorzuziehen.


    Bei Domainumzügen ist es üblich, die TTL vorab auf einen sinnvollen Wert von z.B. 5 Minuten herunter zu setzen. Eine TTL von 24 Stunden bedeutet, dass ein eventueller Umzug auch erst nach 24 Stunden vollständig abgeschlossen ist (so lange eben, bis die DNS-Daten aus allen Caches geflogen sind).


    Viele Grüße


    -Klaus Keppler


  • Workaround in so einem Fall ist, das noch nicht beantragte Zertifikat aus der SSL-Verwaltung zu löschen und dann erneut eines zu beantragen. Wir planen aber auch einen Button anzulegen, um die DNS-Prüfung manuell vorzuziehen.


    Hierum würde ich bitten!


    Unser Domainanbieter lässt leider keine sehr kleinen TTL-Werte zu. Und: vor dem Update konnte man ja auch ohne Wartezeit innerhalb v. 5 Minuten das Zertifikat beantragen, sobald die DNS umgestellt worden ist. TTL spielte dabei bisher keine Rolle.


    Vielen Dank im Voraus für's nachbessern in Form eines Buttons.

  • Das Problem haben wir leider immer noch. Reseller schalten Domains (bei denen DNS-Einträge vorhanden sind) auf und wollen ein Zertifikat für deren Kunden beantragen. Ich weiß gar nicht, wie viele Anfragen es schon gab, immer und immer wieder das selbe:


    Zitat

    [27.08.2019 18:10:15] ACME2: xxx.com: DNS check failed: DNS error: unknown/invalid IP(s) found in DNS: xx.xx.xx.xx


    Anschließend geht nichts mehr, was vor dem Update alles kein Problem war und funktionierte.


    Die Domain ist erreichbar und mit korrekten DNS-Einträgen versehen.

  • Ich denke das hatten wir schon geklärt?
    Wenn die IP-Adresse zum Zeitpunkt der Bestellung korrekt wäre, dann würde es diese Fehlermeldung nicht geben.


    Ansonsten bitte konkrete Daten (IP, Domainname, alle Log-Meldungen aus /var/log/liveconfig/liveconfig.log) an support@liveconfig.com schicken.


    Die DNS-Einträge werden von LiveConfig alle 15 Minuten überprüft - sobald die stimmen, wird die SSL-Bestellung automatisch fortgesetzt.

  • Ich denke das hatten wir schon geklärt?
    Wenn die IP-Adresse zum Zeitpunkt der Bestellung korrekt wäre, dann würde es diese Fehlermeldung nicht geben.


    Ansonsten bitte konkrete Daten (IP, Domainname, alle Log-Meldungen aus /var/log/liveconfig/liveconfig.log) an support@liveconfig.com schicken.


    Die DNS-Einträge werden von LiveConfig alle 15 Minuten überprüft - sobald die stimmen, wird die SSL-Bestellung automatisch fortgesetzt.


    Die DNS sind korrekt, laut https://www.whatsmydns.net zeigt jedes Ergebnis auf die korrekte IP. In den Logs steht das gleiche, wie ich schon einmal für eine andere Domain übermittelt hatte.


    Wir warten nun schon seit über einer Stunde, das Zertifikat aktiviert sich einfach nicht. Sonst hat das keine 5 Minuten gedauert. Der Endkunde des Resellers ist stocksauer (weil die Webseite nicht erreichbar ist) und vom Reseller haben wir auch schon eine klare Ansage bekommen. (Zitat: "Wenn das Problem nicht in den Griff zu bekommen ist, dannn ... bla bla bla... kündige ich sämtliche Verträge, von P***k kenne ich so etwas nicht.")


    Solche Probleme gab es vor dem Update nie, das war jeweils ein nur Klick und nach ca. 3 bis 5 Minuten war das Zertifikat immer und ohne solche Probleme aktiv. Niemand musste so lange warten. Was soll ich dem Kunden nun erklären? Der Schriftverkehr ist endlos.

  • Ich würde Ihnen ja wirklich gerne helfen - daher wiederhole ich mich gerne ein weiteres mal: ohne die genauen Log-Meldungen zu dieser Domain und konkreten Daten können wir nicht weiterhelfen.


    Würde die IP zum Bestellzeitpunkt stimmen, dann würde die Bestellung sofort durchgehen.
    Die Fehlermeldung ist extrem eindeutig und lässt KEINEN Spielraum zur Interpretation zu.
    Daher benötige ich konkrete, exakte Daten.


    Nutzen Sie vielleicht NAT-IPs auf Ihrem Server?


  • Nutzen Sie vielleicht NAT-IPs auf Ihrem Server?


    Nein.


    Die DNS hatte zum Zeitpunkt der beantragung gestimmt. Wie sonst auch seit Dez. 2015, als es nie bisher Probleme gab.


    Auszug aus dem Log:


    Zitat

    [2019/08/27 20:47:05.923828] [15823|15826] DNS check for 'xxx.com' failed: DNS error: unknown/invalid IP(s) found in DNS: xx.xxx.xxx.xx


    Das ganze wiederholt sich bereits 20 mal im Log. D.h. 20 x hat es bisher nicht funktioniert, trotz korrekter DNS, ein Zertifikat anzulegen.

  • Wurde denn einmal geprüft ob die IP vom Server direkt richtig aufgelöst wird? Es kann ja sein das bei whatsmydns.net schon die neue IP angekommen ist aber beim Server selbst noch nicht. Das sagt eigentlich gar nichts aus.

  • Wurde denn einmal geprüft ob die IP vom Server direkt richtig aufgelöst wird? Es kann ja sein das bei whatsmydns.net schon die neue IP angekommen ist aber beim Server selbst noch nicht. Das sagt eigentlich gar nichts aus.


    Ja, das wurde selbstverständlich auch schon mehrfach geprüft. Der Server zeigte stets jeweils die korrekte IP der Domain an.

  • Ich wiederhole mich gerne noch zum vierten Mal, aber gleichzeitig auch zum letzten Mal: ohne konkrete Daten können wir nicht weiterhelfen. Gerne per Mail an support@liveconfig.com. Ohne Hilfe keine Hilfe - sorry...
    Ich habe alleine in diesem Thread schon 3x geschrieben was wir brauchen, um das nachzuverfolgen:

    • einen betroffenen Domainnamen
    • dessen konfigurierte IP
    • (am besten den zuständigen <VirtualHost>-Abschnitt aus /etc/apache2/sites-enabled/<Vertrag>.conf)
    • und zudem alle Log-Einträge zu dieser Domain in /var/log/liveconfig/liveconfig.log


    Letztes Angebot.

  • Ich wiederhole mich gerne noch zum vierten Mal, aber gleichzeitig auch zum letzten Mal: ohne konkrete Daten können wir nicht weiterhelfen. Gerne per Mail an support@liveconfig.com. Ohne Hilfe keine Hilfe - sorry...
    Ich habe alleine in diesem Thread schon 3x geschrieben was wir brauchen, um das nachzuverfolgen:

    • einen betroffenen Domainnamen
    • dessen konfigurierte IP
    • (am besten den zuständigen <VirtualHost>-Abschnitt aus /etc/apache2/sites-enabled/<Vertrag>.conf)
    • und zudem alle Log-Einträge zu dieser Domain in /var/log/liveconfig/liveconfig.log


    Letztes Angebot.


    Mail geht gleich raus. Auch jetzt, nach 15 Stunden Wartezeit noch immer keine Chance / Möglichkeit, das Zertfikat zu beantragen.

  • Zur Information für andere Mitlesende: im DNS war die IP XX.XX.XX.42 hinterlegt, im Apache war diese Domain aber auf XX.XX.XX.45 konfiguriert. Die Fehlermeldung war also korrekt und berechtigt.


    Mit einem der nächsten Updates werden wir evtl. die Fehlermeldung noch etwas weiter aufbohren ("got XX.XX.XX.42, expected XX.XX.XX.45") - dann sieht man das vielleicht etwas schneller.


    Viele Grüße


    -Klaus Keppler


  • Es ist aber schon seit über 15(!!!) Stunden eine neue(!!!) und korrekte IP hinterlegt und es ist noch immer nicht möglich ein Zertifikat zu erstellen.


    Noch einmal: VOR dem Update wurde eine IP im DNS einer Domain geändert, anschließend war das Zertifikat sofort aktiv. Nun, nach dem Update dauert es ewigkeiten, wie in einem der letzten Fälle, schon über 16 Stunden.


    Es kann doch nicht sein, das nach über 16 Stunden noch immer irgendwo die alte IP hinterlegt oder zwischengespeichert ist! Wie soll ich das den Kunden erklären, die zu uns umziehen und anschließend funktioniert nichts mehr, was vor dem Update immer zu 100% funktionierte? Soll ich denen sagen, das es bis zu 24 Stunden dauern kann, obwohl es vor dem Update nie länger als 5 Minuten dauerte, ein Zertifikat zu erstellen?


    Gibt es denn keine Möglichkeit mehr, die Sache nachträglich manuell erneut anzustoßen um die Sache zu beschleunigen? Warum wird hier nach über 16 Stunden noch immer auf die alte IP zugegriffen?


    Insbesondere bei künftigen Shop-Umzügen habe ich Bauchschmerzen, wenn die Sache nicht zu 100% so funktioniert, wie vor dem Update.

  • weltmeister, du wiederholst dich - und die Vollzitate machen das Lesen nicht leichter.


    Für den Notfall sollte man immer ein separates Backend für Zertfikate haben.


    kk schrieb "im DNS war die IP XX.XX.XX.42 hinterlegt, im Apache war diese Domain aber auf XX.XX.XX.45 konfiguriert"
    Wenn es um von LC verwaltete NS geht verstehe ich diese Antwort nicht.

    # Das Gras wächst nicht schneller wenn man daran zieht # Bitte keine inflationären Vollzitate #

    Einmal editiert, zuletzt von lebenszeit ()

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!