Annonce

Lorsque vous exposez un problème que vous rencontrez sur votre site, n’omettez pas de bien préciser l’adresse de la page (URL) concernée.

Ouvrez un nouveau sujet de discussion pour poser une question, n'utilisez pas une discussion déjà ouverte si votre problème est différent.
Lorsque votre sujet est résolu, indiquez-le en cliquant sur le lien "Passer le sujet en résolu".

Pour les possesseurs de sites Minecraft : Tous les ports TCP/UDP en sortie sont ouverts.
Pour en savoir plus : https://www.franceserv.fr/wiki/minecraft

#1 12/05/2017 10:50:59

captaintringa
Membre
Inscription : 05/05/2013
Messages : 24

[Résolu] Lets Encrypt non fonctionnel

Bonjour,

Depuis ce matin le Lets Encrypt de mon site tringaboat.fr ne fonctionne plus. Hier j'ai rajouté un sous-domaine configurator.tringaboat.fr, mais je ne pense pas que ça soit la cause du problème.

Je suis un peu en panique vu que j'avais redirigé en 301 sur le HTTPS via mon htaccess, et je n'arrive même plus a rediriger sur HTTP tongue

Toute aide serait la bienvenue!

EDIT: Il semble que le certificat aie expiré. Le renouvellement est automatique normalement ?

Dernière modification par captaintringa (12/05/2017 11:01:54)

Hors ligne

#2 12/05/2017 11:04:05

elodie
Responsable/CEO FranceServ Hébergement
Lieu : Jura
Inscription : 02/04/2010
Messages : 7 040
Site Web

Re : [Résolu] Lets Encrypt non fonctionnel

Bonjour,

Vous avez reçu un mail le 14/04/2017 vous signalant que votre nom de domaine ainsi que votre site n'était plus hébergé par mes soins mais chez OVH.

Je viens de tester à la main la zone DNS de votre domaine je vois qu'il est maintenant hébergé par mes soins, j'imagine alors que vous avez dû l'héberger à nouveau sur mes services il y a peu.

Il vous faut alors patienter le temps que la propagation DNS d'OVH vers FSH se finalise (ça prend généralement 1 petite heure, jusqu'à un maximum de 24 heures), vous pouvez déjà réactiver le robot Let's Encrypt sur votre nom de domaine via l'interface de gestion FSH et le passer en "Forcer" pour le régénérer avec votre nouveau sous domaine.

De mon coté je vais vous forcer la vérification DNS par mes robots pour vous éviter d'attendre les quelques heures.


P8OdseCN.gifVous avez une question ?

Posez-la de préférence sur le forum et si ça demande un contact plus instantané, n'hésitez pas à vous rendre sur le t'chat IRC. Si votre question est personnelle, utilisez alors dans ce cas le formulaire de contact ou alors le téléphone.

Hors ligne

#3 12/05/2017 11:13:54

captaintringa
Membre
Inscription : 05/05/2013
Messages : 24

Re : [Résolu] Lets Encrypt non fonctionnel

Merci pour cette réponse rapide.

Mes DNS sont actuellement chez OVH (effectivement depuis le 14/04), mais je ne les ai pas retransférés depuis.

Ma zone DNS OVH a l'air correcte également : https://images.franceserv.fr/image/wO

EDIT: j'ai nettoyé un peu la zone Franceserv qui était en échec, mais normalement elle ne devrait même pas être active il me semble vu que mes DNS sont toujours censés être chez OVH. (dns200.anycast.me et ns200.anycast.me)

EDIT 2: Je viens de me rendre compte qu'il y a une option pour activer Lets Encrypt dans les paramètres du site, mais aussi dans les paramètres du nom de domaine. Si mon domaine utilise des DNS externes je suppose qu'il faut désactiver l'option pour le nom de domaine, et l'activer pour le site uniquement, c'est bien ça ? Enfait non.

Dernière modification par captaintringa (12/05/2017 11:39:58)

Hors ligne

#4 12/05/2017 11:53:47

elodie
Responsable/CEO FranceServ Hébergement
Lieu : Jura
Inscription : 02/04/2010
Messages : 7 040
Site Web

Re : [Résolu] Lets Encrypt non fonctionnel

Votre fichier .htaccess était incorrect, vous aviez entre autre cette ligne :

RewriteCond %{HTTP:SSL} !On

Or je n'ai pas connaissance que cette ligne fonctionne sur mes services, pour plus de sécurité il faudrait utiliser ces deux lignes à la place :

RewriteCond %{HTTPS} !=on
RewriteCond %{HTTP:X-Forwarded-Proto} !https [NC]

Je vous ai alors commenter vos lignes dans votre htaccess mais votre site semble toujours être redirigé vers le HTTPS automatiquement. Il vous faudrait alors désactiver cette redirection le temps que Let's Encrypt accepte à nouveau à vous délivrer un certificat SSL correct gratuitement :

Obtaining a new certificate
An unexpected error occurred:
There were too many requests of a given type :: Error creating new authz :: Too many invalid authorizations recently.

Je vais vérifier dans la journée ce qui se passe pour votre certification auprès de Let's Encrypt.


P8OdseCN.gifVous avez une question ?

Posez-la de préférence sur le forum et si ça demande un contact plus instantané, n'hésitez pas à vous rendre sur le t'chat IRC. Si votre question est personnelle, utilisez alors dans ce cas le formulaire de contact ou alors le téléphone.

Hors ligne

#5 12/05/2017 13:49:59

elodie
Responsable/CEO FranceServ Hébergement
Lieu : Jura
Inscription : 02/04/2010
Messages : 7 040
Site Web

Re : [Résolu] Lets Encrypt non fonctionnel

J'ai trouvé un début de réponse, il vous faudrait ajouter un champ A à www.configurator.tringaboat.fr sur l'adresse IP 62.4.19.110 car :

"Failed authorization procedure. www.configurator.tringaboat.fr (http-01): urn:acme:error:connection :: The server could not connect to the client to verify the domain :: DNS problem: SERVFAIL looking up A for www.configurator.tringaboat.fr"

Même si je recommande toujours de modifier les NS pour y spécifier les miens, vous pourrez toujours adapter votre zone DNS sur mes services par exemple pour la partie Mail de votre domaine.


P8OdseCN.gifVous avez une question ?

Posez-la de préférence sur le forum et si ça demande un contact plus instantané, n'hésitez pas à vous rendre sur le t'chat IRC. Si votre question est personnelle, utilisez alors dans ce cas le formulaire de contact ou alors le téléphone.

Hors ligne

#6 12/05/2017 14:22:36

captaintringa
Membre
Inscription : 05/05/2013
Messages : 24

Re : [Résolu] Lets Encrypt non fonctionnel

J'ai rajouté les champs A et AAAA pour www.configurator.tringaboat.fr.

Je sais bien que vous laisser gérer les DNS est bien plus simple, mais j'ai besoin de l'API DNS d'OVH qui me permet de renouveller le certificat Lets Encrypt de mon serveur mail sans passer par un serveur web (DNS-01 challenge).

Dernière modification par captaintringa (12/05/2017 14:56:21)

Hors ligne

#7 12/05/2017 18:07:28

elodie
Responsable/CEO FranceServ Hébergement
Lieu : Jura
Inscription : 02/04/2010
Messages : 7 040
Site Web

Re : [Résolu] Lets Encrypt non fonctionnel

Lorsque je me rend à l'adresse http://configurator.tringaboat.fr/ rien ne s'affiche.

Votre champ configurator.tringaboat.fr n'existe pas en DNS chez OVH, il vous faut à la fois les champs www.configurator.tringaboat.fr mais aussi configurator.tringaboat.fr pour que la certification puisse se faire.

dig configurator.tringaboat.fr A | grep -vE '^;|^$'
tringaboat.fr.          3566    IN      SOA     dns200.anycast.me. tech.ovh.net. 2017051213 86400 3600 3600000 86400


P8OdseCN.gifVous avez une question ?

Posez-la de préférence sur le forum et si ça demande un contact plus instantané, n'hésitez pas à vous rendre sur le t'chat IRC. Si votre question est personnelle, utilisez alors dans ce cas le formulaire de contact ou alors le téléphone.

Hors ligne

#8 12/05/2017 18:55:45

captaintringa
Membre
Inscription : 05/05/2013
Messages : 24

Re : [Résolu] Lets Encrypt non fonctionnel

Oui, je viens à l'instant de supprimer complètement le sous domaine configurator, à la fois dans mes DNS et sur Franceserv .. Je mettrai mes trucs dans un sous dossier plutot qu'un sous domaine. Je vais juste attendre une heure pour pouvoir réactiver proprement Lets Encrypt (je me suis fais bloquer pour avoir fait trop d'essais infructueux roll).

Aussi il semble que Lets Encrypt (ou votre script) n'aime pas les CNAME pour le www. J'ai donc aussi changé ça sur le domaine principal qui bloquait.

EDIT: Ceci dit il y a toujours quelque chose qui me chiffonne. Dans le panneau d'administration, le DNS de mon domaine est marqué comme actif, et non DNS externe. Est-ce un problème d'affichage ?

EDIT 2: J'ai maintenant attendu une heure et reessayé d'activer Lets Encrypt, mais j'obtiens toujours une erreur comme quoi www.tringaboat.fr ne pointe pas sur vos serveurs.

Un dig me confirme que pourtant mes DNS ont l'air corrects :

$ dig www.tringaboat.fr

; <<>> DiG 9.11.1 <<>> www.tringaboat.fr
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 38519
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 3

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;www.tringaboat.fr.             IN      A

;; ANSWER SECTION:
www.tringaboat.fr.      3600    IN      A       62.4.19.110

;; AUTHORITY SECTION:
tringaboat.fr.          172800  IN      NS      ns200.anycast.me.
tringaboat.fr.          172800  IN      NS      dns200.anycast.me.

;; ADDITIONAL SECTION:
ns200.anycast.me.       48790   IN      A       46.105.207.200
dns200.anycast.me.      48752   IN      A       46.105.206.200

Je n'ai jamais eu à attendre plus d'une heure de propagation, je ne sais plus trop que faire.

Dernière modification par captaintringa (12/05/2017 19:17:37)

Hors ligne

#9 12/05/2017 19:17:10

elodie
Responsable/CEO FranceServ Hébergement
Lieu : Jura
Inscription : 02/04/2010
Messages : 7 040
Site Web

Re : [Résolu] Lets Encrypt non fonctionnel

captaintringa a écrit :

Oui, je viens à l'instant de supprimer complètement le sous domaine configurator, à la fois dans mes DNS et sur Franceserv .. Je mettrai mes trucs dans un sous dossier plutot qu'un sous domaine.

D'accord, je comprend mieux maintenant.

captaintringa a écrit :

Je vais juste attendre une heure pour pouvoir réactiver proprement Lets Encrypt (je me suis fais bloquer pour avoir fait trop d'essais infructueux roll).

Oui, Let's Encrypt limite à 5 erreurs de validation par heure :

" We recently (April 2017) introduced a Failed Validation limit of 5 failures per account, per hostname, per hour. " source : https://letsencrypt.org/docs/rate-limits/

captaintringa a écrit :

Aussi il semble que Lets Encrypt (ou votre script) n'aime pas les CNAME pour le www. J'ai donc aussi changé ça sur le domaine principal qui bloquait.

Depuis la dernière version de mon robot de supervision DNS, celui-ci accepte les CNAME. Je ne peux cependant pas vous dire concernant les robots chez Let's Encrypt mais je pense que c'est de même pour eux.

captaintringa a écrit :

EDIT: Ceci dit il y a toujours quelque chose qui me chiffonne. Dans le panneau d'administration, le DNS de mon domaine est marqué comme actif, et non DNS externe. Est-ce un problème d'affichage ?

Je vois qu'en base de données SQL, vos NS sont bien externes, ça serai donc un problème d'affichage. Pourriez-vous actualiser la page et me montrer une capture écran de ce que vous voyez s'il vous plait ?


P8OdseCN.gifVous avez une question ?

Posez-la de préférence sur le forum et si ça demande un contact plus instantané, n'hésitez pas à vous rendre sur le t'chat IRC. Si votre question est personnelle, utilisez alors dans ce cas le formulaire de contact ou alors le téléphone.

Hors ligne

#10 12/05/2017 19:20:32

captaintringa
Membre
Inscription : 05/05/2013
Messages : 24

Re : [Résolu] Lets Encrypt non fonctionnel

Voici une capture de mon panel actualisé : http://images.franceserv.fr/image/wR

Et comme dit dans mon édit plus haut :

captaintringa a écrit :

J'ai maintenant attendu une heure et reessayé d'activer Lets Encrypt, mais j'obtiens toujours une erreur comme quoi www.tringaboat.fr ne pointe pas sur vos serveurs.

Un dig me confirme que pourtant mes DNS ont l'air corrects :

$ dig www.tringaboat.fr

; <<>> DiG 9.11.1 <<>> www.tringaboat.fr
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 38519
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 3

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;www.tringaboat.fr.             IN      A

;; ANSWER SECTION:
www.tringaboat.fr.      3600    IN      A       62.4.19.110

;; AUTHORITY SECTION:
tringaboat.fr.          172800  IN      NS      ns200.anycast.me.
tringaboat.fr.          172800  IN      NS      dns200.anycast.me.

;; ADDITIONAL SECTION:
ns200.anycast.me.       48790   IN      A       46.105.207.200
dns200.anycast.me.      48752   IN      A       46.105.206.200

Je n'ai jamais eu à attendre plus d'une heure de propagation, je ne sais plus trop que faire.

Hors ligne

#11 12/05/2017 19:35:21

elodie
Responsable/CEO FranceServ Hébergement
Lieu : Jura
Inscription : 02/04/2010
Messages : 7 040
Site Web

Re : [Résolu] Lets Encrypt non fonctionnel

captaintringa a écrit :

Je n'ai jamais eu à attendre plus d'une heure de propagation, je ne sais plus trop que faire.

Bingo, je viens de trouver !

Les robots chez Let's Encrypt sont compatibles IPv6 depuis peu (apparemment) et essayent de certifier le domaine en se connectant à la fois en IPv4 mais aussi en IPv6.

Comme les protocoles IPv4 et IPv6 sont gérés par des machines distinctes, le robot tournant sur la machine IPv4 qui doit répondre à un échange de query/response aux interrogations des robots chez Let's Encrypt n'est pas présent sur la machine IPv6; et même si je place un second robot sur ce protocole il ne répondra pas la même chose car ce n'est pas ce second robot qui aura fait la demande ...

Une solution temporaire (et rapide) serai de désactiver l'IPv6 dans votre zone DNS, faire votre demande de certification puis réactiver l'IPv6 une fois que c'est bon.

Je vais chercher une autre solution de mon coté ... peut être en mutualisant l'espace de stockage des "jetons" entre les machines ...


P8OdseCN.gifVous avez une question ?

Posez-la de préférence sur le forum et si ça demande un contact plus instantané, n'hésitez pas à vous rendre sur le t'chat IRC. Si votre question est personnelle, utilisez alors dans ce cas le formulaire de contact ou alors le téléphone.

Hors ligne

#12 12/05/2017 19:43:44

captaintringa
Membre
Inscription : 05/05/2013
Messages : 24

Re : [Résolu] Lets Encrypt non fonctionnel

Très bien, je viens de supprimer les deux records AAAA. Je referais une tentative après la propagation.

Hors ligne

#13 12/05/2017 19:54:08

elodie
Responsable/CEO FranceServ Hébergement
Lieu : Jura
Inscription : 02/04/2010
Messages : 7 040
Site Web

Re : [Résolu] Lets Encrypt non fonctionnel

elodie a écrit :

Je vais chercher une autre solution de mon coté ... peut être en mutualisant l'espace de stockage des "jetons" entre les machines ...

C'est fait, via un montage NFS entre les machines. En attendant une machine spécialisée pour la certification, ça devrai fonctionner correctement.

Il n'y a plus qu'à tester.

captaintringa a écrit :

je viens de supprimer les deux records AAAA. Je referais une tentative après la propagation.

Vous avez été plus rapide que moi wink Vous pourriez alors essayer dès maintenant sans avoir à attendre la propagation.


P8OdseCN.gifVous avez une question ?

Posez-la de préférence sur le forum et si ça demande un contact plus instantané, n'hésitez pas à vous rendre sur le t'chat IRC. Si votre question est personnelle, utilisez alors dans ce cas le formulaire de contact ou alors le téléphone.

Hors ligne

#14 12/05/2017 19:58:25

captaintringa
Membre
Inscription : 05/05/2013
Messages : 24

Re : [Résolu] Lets Encrypt non fonctionnel

Ca marche ! Mon navigateur ne voulait apparemment pas oublier l'ancien certificat mais sur une session propre tout semble être rentré dans l'ordre.

Donc au final le CNAME n'était surement pas le problème, je disais ça car mon www n'était pas bien reconnu.

elodie a écrit :

C'est fait, via un montage NFS entre les machines.

elodie a écrit :

Vous avez été plus rapide que moi wink

J'ai eu deux pauvres records à supprimer, c'est vous qui avez été rapide!

En tout cas MERCI pour ce support de l'enfer cool Je connais peu de personnes qui passeraient leur vendredi soir à débugger.

Hors ligne

#15 12/05/2017 20:09:43

elodie
Responsable/CEO FranceServ Hébergement
Lieu : Jura
Inscription : 02/04/2010
Messages : 7 040
Site Web

Re : [Résolu] Lets Encrypt non fonctionnel

Merci à vous également smile

Le certificat SSL a bien pu être renouvelé automatiquement et silencieusement à 20:47 :

2017-05-12 20:47:01 - letsencrypt-auto tringaboat.fr ...
2017-05-12 20:47:11 - Apply SQL tringaboat.fr ...

Tout est bon en mutualisant l'espace de stockage des jetons Let's Encrypt via NFS entre les machines smile


P8OdseCN.gifVous avez une question ?

Posez-la de préférence sur le forum et si ça demande un contact plus instantané, n'hésitez pas à vous rendre sur le t'chat IRC. Si votre question est personnelle, utilisez alors dans ce cas le formulaire de contact ou alors le téléphone.

Hors ligne

Pied de page des forums

[ Générées en 0.034 secondes, 9 requêtes exécutées - Utilisation de la mémoire : 798.36 Kio (pic d'utilisation : 1001.63 Kio) ]