Startseite » Forum » LiveConfig-Foren (deutsch) » Fehler und Problembehebung » SSL-Probleme seit gestrigem Update
Seite 1 von 5 123 ... LetzteLetzte
Ergebnis 1 bis 10 von 42
  1. #1
    Erfahrener Benutzer
    Registriert seit
    06.11.2013
    Beiträge
    323

    SSL-Probleme seit gestrigem Update

    Was bis gestern noch tadellos funktionierte, funktioniert heute nach dem Update auf die neue Version leider nicht mehr, gleich für 2 Domains, auf jeweils versch. Servern:

    Code:
    [21.08.2019 13:57:55] ACME2: xx.de: DNS check failed: DNS lookup failed: domain not found (NXDOMAIN)
    Code:
    [21.08.2019 13:59:14] ACME2: xx-xx.com: DNS check failed: DNS error: unknown/invalid IP(s) found in DNS: xx.xx.xx.xxx
    Sämtliche DNS-Einträge stimmen zu 100%, geprüft wurde dies u.a. mit whatsmydns.net.

    Was kann man hier tun?

  2. #2
    Erfahrener Benutzer
    Registriert seit
    06.11.2013
    Beiträge
    323
    Nachtrag: das 1. Zertifikat ist nun aktiv. Es hat aber ungewöhnlich lange gedauert, was sonst in 5 Minuten erledigt war, hat hier 45 MInuten gedauert, obwohl die DNS der Domain aktiv und vorhanden waren. Woran liegt das?

  3. #3
    Erfahrener Benutzer
    Registriert seit
    21.08.2012
    Ort
    Lebus
    Beiträge
    440
    Hallo

    da es genau 45 Minuten gedauert hat, wird es wohl 2 mal zu einem DNS Problem gekommen sein, und beim 3ten mal hat es dann geklappt, weil seid der 2.8 wird ja alle 15 Minuten bei Fehlern es erneut probiert.

    Was sagt den das Log dazu?

    Mit freundlichen Grüßen
    Martin Krüger
    RB Media Group GmbH - Ihr IT Service & Webhosting Provider
    Geschäftsführer: M. Krüger | Beeskower Str. 259e | D - 15890 Eisenhüttenstadt |
    Kontakt: ICQ# 117049978 | E-Mail: m.krueger@rb-media-group.de

  4. #4
    LiveConfig-Team Avatar von kk
    Registriert seit
    10.12.2010
    Beiträge
    3.312
    Zitat Zitat von weltmeister Beitrag anzeigen
    Nachtrag: das 1. Zertifikat ist nun aktiv. Es hat aber ungewöhnlich lange gedauert, was sonst in 5 Minuten erledigt war, hat hier 45 MInuten gedauert, obwohl die DNS der Domain aktiv und vorhanden waren. Woran liegt das?
    Es liegt schlicht am DNS. Ich kann von hier aus leider nicht sagen was exakt die Ursache war, aber die Meldungen lassen ja keinen Spielraum zur Interpretation: in einem Fall wurde ein "NXDOMAIN" vom DNS-Server geliefert (das bedeutet also nicht dass der DNS-Server nicht geantwortet hat, sondern die Domain war tatsächlich (noch) nicht vorhanden). Im anderen Fall liefert der angefragte DNS-Server andere IPs als auf dem Server vorhanden sind. Beide Fälle führen bei einer Domainvalidierung durch Let's Encrypt zu einem Fehler - das Verhalten ist also richtig.

    Bei neu angelegten Domains kann es immer ein wenig dauern bis diese im DNS konnektiert sind. Es macht keinen Sinn, eine Domainvalidierung anzustoßen bevor die Domain vollständig konfiguriert ist.

    Bei der zweiten Domain: schicken Sie uns einfach mal den Domainnamen an support@liveconfig.com, dann prüfen wir das gerne mal.

    Viele Grüße

    -Klaus Keppler

  5. #5
    Erfahrener Benutzer
    Registriert seit
    06.11.2013
    Beiträge
    323
    Zitat Zitat von kk Beitrag anzeigen
    Es liegt schlicht am DNS. Ich kann von hier aus leider nicht sagen was exakt die Ursache war, aber die Meldungen lassen ja keinen Spielraum zur Interpretation: in einem Fall wurde ein "NXDOMAIN" vom DNS-Server geliefert (das bedeutet also nicht dass der DNS-Server nicht geantwortet hat, sondern die Domain war tatsächlich (noch) nicht vorhanden). Im anderen Fall liefert der angefragte DNS-Server andere IPs als auf dem Server vorhanden sind. Beide Fälle führen bei einer Domainvalidierung durch Let's Encrypt zu einem Fehler - das Verhalten ist also richtig.

    Bei neu angelegten Domains kann es immer ein wenig dauern bis diese im DNS konnektiert sind. Es macht keinen Sinn, eine Domainvalidierung anzustoßen bevor die Domain vollständig konfiguriert ist.

    Bei der zweiten Domain: schicken Sie uns einfach mal den Domainnamen an support@liveconfig.com, dann prüfen wir das gerne mal.

    Viele Grüße

    -Klaus Keppler
    Nachricht ist raus. Zertifikat 2 ist noch immer nicht aktiv (trotz korrekter und geprüfter DNS), so endlos lange hat es noch nie gedauert, wie nach dem Update.

    Logs werden gleich studiert, ich gehe aber davon aus, dass in diesen selbiges vermerkt sein wird.

  6. #6
    Erfahrener Benutzer
    Registriert seit
    06.11.2013
    Beiträge
    323
    Nun ist schon weit über eine Stunde vergangen und das Zertifikat ist leider noch nicht aktiv. Der Kunde wird langsam sauer, da ich ihm mitteilte, dass SSL wie bisher gewohnt sofort aktiv wird, wenn die DNS-Einträge stimmen, womit es bisher ansonsten noch nie Probleme gab.

  7. #7
    LiveConfig-Team Avatar von kk
    Registriert seit
    10.12.2010
    Beiträge
    3.312
    Um das klar zu stellen: das Problem liegt daran, dass zum Zeitpunkt der SSL-Bestellung die DNS-Server noch eine andere IP (die "alte") zurückgeliefert hatten - mit einer TTL von 86400 Sekunden (=24 Std).
    LiveConfig prüft die DNS-Daten erst nach Ablauf der TTL erneut (alles andere macht auch wenig Sinn) - in diesem Fall steht der nächste Versuch also erst in etwa 24 Stunden an.

    Workaround in so einem Fall ist, das noch nicht beantragte Zertifikat aus der SSL-Verwaltung zu löschen und dann erneut eines zu beantragen. Wir planen aber auch einen Button anzulegen, um die DNS-Prüfung manuell vorzuziehen.

    Bei Domainumzügen ist es üblich, die TTL vorab auf einen sinnvollen Wert von z.B. 5 Minuten herunter zu setzen. Eine TTL von 24 Stunden bedeutet, dass ein eventueller Umzug auch erst nach 24 Stunden vollständig abgeschlossen ist (so lange eben, bis die DNS-Daten aus allen Caches geflogen sind).

    Viele Grüße

    -Klaus Keppler

  8. #8
    Erfahrener Benutzer
    Registriert seit
    06.11.2013
    Beiträge
    323
    Zitat Zitat von kk Beitrag anzeigen
    Workaround in so einem Fall ist, das noch nicht beantragte Zertifikat aus der SSL-Verwaltung zu löschen und dann erneut eines zu beantragen. Wir planen aber auch einen Button anzulegen, um die DNS-Prüfung manuell vorzuziehen.
    Hierum würde ich bitten!

    Unser Domainanbieter lässt leider keine sehr kleinen TTL-Werte zu. Und: vor dem Update konnte man ja auch ohne Wartezeit innerhalb v. 5 Minuten das Zertifikat beantragen, sobald die DNS umgestellt worden ist. TTL spielte dabei bisher keine Rolle.

    Vielen Dank im Voraus für's nachbessern in Form eines Buttons.

  9. #9
    Erfahrener Benutzer
    Registriert seit
    06.11.2013
    Beiträge
    323
    Das Problem haben wir leider immer noch. Reseller schalten Domains (bei denen DNS-Einträge vorhanden sind) auf und wollen ein Zertifikat für deren Kunden beantragen. Ich weiß gar nicht, wie viele Anfragen es schon gab, immer und immer wieder das selbe:

    [27.08.2019 18:10:15] ACME2: xxx.com: DNS check failed: DNS error: unknown/invalid IP(s) found in DNS: xx.xx.xx.xx
    Anschließend geht nichts mehr, was vor dem Update alles kein Problem war und funktionierte.

    Die Domain ist erreichbar und mit korrekten DNS-Einträgen versehen.

  10. #10
    LiveConfig-Team Avatar von kk
    Registriert seit
    10.12.2010
    Beiträge
    3.312
    Ich denke das hatten wir schon geklärt?
    Wenn die IP-Adresse zum Zeitpunkt der Bestellung korrekt wäre, dann würde es diese Fehlermeldung nicht geben.

    Ansonsten bitte konkrete Daten (IP, Domainname, alle Log-Meldungen aus /var/log/liveconfig/liveconfig.log) an support@liveconfig.com schicken.

    Die DNS-Einträge werden von LiveConfig alle 15 Minuten überprüft - sobald die stimmen, wird die SSL-Bestellung automatisch fortgesetzt.

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •