Erro nas validações ao gerar certificado para domínio com sp.gov.br

Posso ler respostas em inglês: Sim

Meu nome de domínio é: pma.sp.gov.br

Executei esse comando: certbot certonly --manual -d pma.sp.gov.br

Produziu essa saída: Certbot failed to authenticate some domains (authenticator: manual). The Certificate Authority reported these problems:
Domain: pma.sp.gov.br
Type: dns
Detail: DNS problem: SERVFAIL looking up A for pma.sp.gov.br - the domain's nameservers may be malfunctioning; DNS problem: SERVFAIL looking up AAAA for pma.sp.gov.br - the domain's nameservers may be malfunctioning

Meu servidor web é (com versão): Apache 2.4.34

O sistema operacional no meu servidor web é (com versão): Windows Server 2008 R2

O serviço de hospedagem do meu site (se aplicável) é: N/A

Posso acessar um shell root na minha máquina (sim ou não, ou não sei): Sim

Uso um painel de controle para administrar meu site (não, ou indique o nome e a versão do painel de controle): N/A

Obs: Utilizei outros domínios que nós temos (araras.sp.gov.br // dti.sp.gov.br) para teste e todos retornam o mesmo resultado.
Obs2: A poucas semanas atrás consegui registrar um certificado *.pma.sp.gov.br sem problemas.
Obs3: A validação HTTP emite esse erro looking up A for pma.sp.gov.br e a DNS retorna: DNS problem: query timed out looking up TXT for _acme-challenge.pma.sp.gov.br

Let's Debug -- Utilizando a ferramenta letsdebug, testei todos os nossos domínios e alguns domínios de cidades da região e retorna o mesmo erro.
Nosso domínio fica registrado na PRODESP e o DNS é gerenciado via UOLHOST.

Hi @dtisistemas, and welcome to the LE community forum

There was a cert issued for that name three days ago:
crt.sh | pma.sp.gov.br
Was that done on this system?
What has changed since then?

Hi, thanks.

We tried renewing the certificate via certbot (let's encrypt), but it was returning the described errors. As an emergency, due to the expiration of the certificate, we tried to create the certificate with ZeroSSL, which to our surprise worked (activation method via file upload). However, our concern is for future renewals, as ZeroSSL doesn't work for us as well as certbot (let's encrypt).

But, since our last cert issued with certbot (2023-01-23), nothing has changed on our server.

I see that now.

Well, we should review the DNS problem.
I'll start with DNS-Viz ...

I can't find anything wrong.
I tried DNS-Viz and DNS-SPY and even manually with nslookup.

We'll have to wait for @lestaff to chime in with more detail on this failure.

E aí, blz??

Sou responsável pelo domínio itanhaem.sp.gov.br e estou enfrentando o mesmo problema.
Tenho um tópico aberto em:

Tomei a liberdade de citar seu tópico.

QQuer coisa manda um DM.

Boa sorte

From Hardenize Report: sp.gov.br
"Name resolution failures
We have observed one or more name resolution failures when quering various DNS resource records. "

And the online tool Zonemaster is showing Critical issues

https://zonemaster.net/en/result/1c7f4a4af5a38dda

image1738×963 37.6 KB

Opa, tranquilo? Então cara, parece ser muito alguma coisa que mudou na PRODESP e está causando instabilidade... Acho que mais domínios do estado poderão ter problemas.

Interesting, it seems to be a problem only on sp.gov.br but it affects all dependents

@phsm @dtisistemas, eu estava a ponto de escrever o seguinte que é um jeito mais prolixo de dizer o que @dtisistemas disse.

Já que os servidores DNS dos quais vocês dois dependem são os do governo paulista, e já que vocês dois têm problemas parecidos na resolução de nomes, acho provável que seja o problema nesses servidores. Por exemplo, talvez eles não respondam pesquisas de todas as redes estrangeiras?

Uma coisa que notei muitas vezes é que os servidores Let's Encrypt são muito exigentes na resolução DNS. Não usam caches (como a maioria dos sistemas na Internet), falando quase sempre com um servidor autoritativo, e não aceitam nenhuma falha de protocolo durante a resolução. Isso faz com que hajam muitos erros de DNS que um usuário comum num dispositivo comum provavelmente nunca encontraria.

Se houver uma falha aleatória em apenas 50% das respostas autoritativas, a Let's Encrypt encontraria dificuldades na maioria dos casos, mas o usuário final quase nunca, usando o cache local do provedor que já conteria o resultado preciso.

Vou tentar entrar em contato com os responsáveis. Caso consiga uma resposta, volto para dar uma resposta. Obrigado.

Thanks everyone for the help.

Novo tópico meu com um tema um pouco mais ambicioso:

Bom dia

Pelo que verifiquei com a Prodesp teve bastante ataques ao estado de São Paulo por isso tomaram algumas iniciativas de bloqueios, o que está causando bloqueio do dns para alguns países ou de locais específicos como o letsencrypt se alguém tiver contato com alguém da comunidade que pode verificar os DNS *.sp.gov.br, estou tentando verificar o range de ip da letsencrypt e mandando para eles, mas até agora sem sucesso.

Good morning,

From what I've verified with Prodesp, there have been many attacks on the state of São Paulo, so they have taken some blocking initiatives, which is causing DNS blocking for some countries or specific locations such as Let's Encrypt. If anyone has contact with someone from the community who can verify the *.sp.gov.br DNS, I am trying to verify the Let's Encrypt IP range and sending it to them, but so far without success.

Hello @shibatawebline

What IP addresses does Let’s Encrypt use to validate my web server?
Let’s Encrypt does not publish a list of IP addresses we use to validate,
and these IP addresses may change at any time.

Let's Encrypt uses Multi-Perspective Validation Improves Domain Validation Security - Let's Encrypt

Eu entrei em contato com a prodesp e em conjunto com eles conseguimos liberar alguns ranges de ips que percebemos ser do letsencrypt, isso inicialmente até ser possível configurar outras opções no firewall de borda do mesmo.

I reached out to Prodesp and together we were able to unblock some IP ranges that we noticed were from Let's Encrypt. This was initially until it was possible to configure other options in the same firewall.

Isso é extremamente útil mas, conforme as políticas que o @Bruce5051 mencionou acima, pode não ser uma solução permanente—a Let's Encrypt pode ativar outros datacenters no futuro sem avisar os usuários.

Alguem pode me ajudar tenho dois dominios.sp.gov.br que nao quer ativar o ssl, ja tentei de tudo é a empresa fala que o problema é a prodesp. Nunca consigo fala com eles alguem já consegui resolver? Com http vai de boa qundo acessa https ele nao abre. Alguem pode me ajudar

A Hostgator fala pra desabilitar do domínio DNSSEC mas a questão é como vou desabilita isso na prodesp.

Oi @Danielsolfa,

Você tem um erro específico que o software indicou?

Parece sim que muita gente está com problemas agora mesmo pedindo certificados para os domínios governamentais paulistas. Mas uma mensagem específica de erro poderá ajudar a determinar se o problema esteja na Prodesp ou outro.

Alguém conseguiu chegar algum resultado referente ao ssl em domínios sp.gov.br? Preciso de uma ajuda