Wenn Let’s Encrypt nicht erneuern will …
Freitag, 23. April 2021
Ich habe das jetzt schon ein paarmal beobachtet: Let's Encrypt, hier „vertreten“ durch den Certbot, meldet immer mal wieder für die eine oder andere (Sub-)Domain, daß eine Erneuerung des Zertifikats nicht möglich sei, weil die Bots, die die Challenge überprüfen, in einen Timeout gelaufen seien. Die Standard-Vermutung ist, sie seien in die Firewall geraten. Das passierte bisher sowohl hier auf meinem eigenen Server als auch auf dem Server eines Vereins, den ich administriere.
Und jedesmal überprüfte ich die vier IP-Adressen, mit denen Let's Encrypt zugreifen wollte, und sie standen natürlich nicht in der Firewall. fail2ban wußte jeweils auch nix davon.
Das Problem löst sich manchmal von selbst, indem Let's Encrypt dann doch irgendwann nach Tagen oder Wochen die Erneuerung durchführt, als wäre nichts gewesen. Aber manchmal will es gar nicht funktionieren, dann muß man etwas nachhelfen – so wie ich heute bei einer Subdomain, bei der sich der Certbot bereits seit 40 Tagen vergeblich um eine Erneuerung bemühte.
Die Lösung ist … unkonventionell und vom Typ „muß ich nicht verstehen, oder?“. So geht's: (mehr …)