Erro nas validações ao gerar certificado para domínio com sp.gov.br

dtisistemas · February 7, 2023, 1:04am

Interesting, it seems to be a problem only on sp.gov.br but it affects all dependents

schoen · February 7, 2023, 1:06am

@phsm @dtisistemas, eu estava a ponto de escrever o seguinte que é um jeito mais prolixo de dizer o que @dtisistemas disse.

Já que os servidores DNS dos quais vocês dois dependem são os do governo paulista, e já que vocês dois têm problemas parecidos na resolução de nomes, acho provável que seja o problema nesses servidores. Por exemplo, talvez eles não respondam pesquisas de todas as redes estrangeiras?

Uma coisa que notei muitas vezes é que os servidores Let's Encrypt são muito exigentes na resolução DNS. Não usam caches (como a maioria dos sistemas na Internet), falando quase sempre com um servidor autoritativo, e não aceitam nenhuma falha de protocolo durante a resolução. Isso faz com que hajam muitos erros de DNS que um usuário comum num dispositivo comum provavelmente nunca encontraria.

Se houver uma falha aleatória em apenas 50% das respostas autoritativas, a Let's Encrypt encontraria dificuldades na maioria dos casos, mas o usuário final quase nunca, usando o cache local do provedor que já conteria o resultado preciso.

dtisistemas · February 7, 2023, 11:24am

Vou tentar entrar em contato com os responsáveis. Caso consiga uma resposta, volto para dar uma resposta. Obrigado.

Thanks everyone for the help.

schoen · February 9, 2023, 4:23am

Novo tópico meu com um tema um pouco mais ambicioso:

shibatawebline · February 9, 2023, 1:41pm

Bom dia

Pelo que verifiquei com a Prodesp teve bastante ataques ao estado de São Paulo por isso tomaram algumas iniciativas de bloqueios, o que está causando bloqueio do dns para alguns países ou de locais específicos como o letsencrypt se alguém tiver contato com alguém da comunidade que pode verificar os DNS *.sp.gov.br, estou tentando verificar o range de ip da letsencrypt e mandando para eles, mas até agora sem sucesso.

Good morning,

From what I've verified with Prodesp, there have been many attacks on the state of São Paulo, so they have taken some blocking initiatives, which is causing DNS blocking for some countries or specific locations such as Let's Encrypt. If anyone has contact with someone from the community who can verify the *.sp.gov.br DNS, I am trying to verify the Let's Encrypt IP range and sending it to them, but so far without success.

Bruce5051 · February 9, 2023, 4:22pm

Hello @shibatawebline

What IP addresses does Let’s Encrypt use to validate my web server?
Let’s Encrypt does not publish a list of IP addresses we use to validate,
and these IP addresses may change at any time.

Let's Encrypt uses Multi-Perspective Validation Improves Domain Validation Security - Let's Encrypt

shibatawebline · February 10, 2023, 12:37pm

Eu entrei em contato com a prodesp e em conjunto com eles conseguimos liberar alguns ranges de ips que percebemos ser do letsencrypt, isso inicialmente até ser possível configurar outras opções no firewall de borda do mesmo.

I reached out to Prodesp and together we were able to unblock some IP ranges that we noticed were from Let's Encrypt. This was initially until it was possible to configure other options in the same firewall.

schoen · February 12, 2023, 6:03am

Isso é extremamente útil mas, conforme as políticas que o @Bruce5051 mencionou acima, pode não ser uma solução permanente—a Let's Encrypt pode ativar outros datacenters no futuro sem avisar os usuários.

Danielsolfa · March 7, 2023, 2:41am

Alguem pode me ajudar tenho dois dominios.sp.gov.br que nao quer ativar o ssl, ja tentei de tudo é a empresa fala que o problema é a prodesp. Nunca consigo fala com eles alguem já consegui resolver? Com http vai de boa qundo acessa https ele nao abre. Alguem pode me ajudar

A Hostgator fala pra desabilitar do domínio DNSSEC mas a questão é como vou desabilita isso na prodesp.

schoen · March 7, 2023, 3:18am

Oi @Danielsolfa,

Você tem um erro específico que o software indicou?

Parece sim que muita gente está com problemas agora mesmo pedindo certificados para os domínios governamentais paulistas. Mas uma mensagem específica de erro poderá ajudar a determinar se o problema esteja na Prodesp ou outro.

Danielsolfa · March 7, 2023, 3:26am

Alguém conseguiu chegar algum resultado referente ao ssl em domínios sp.gov.br? Preciso de uma ajuda

Danielsolfa · March 7, 2023, 3:29am

Opa tenho sim, do nada os meus certificados paro de funcionar entrei em contato com a Hostgator e eles falo que meu problema he domínio

Danielsolfa · March 7, 2023, 3:32am

Refere a esse problema de ativação qual foi o passo a passo que fez pra ativar o certificado?

schoen · March 7, 2023, 8:52am

É possível que a Hostgator tenha razão ou não, mas é difícil verificar daqui sem saber o nome de domínio completo, já que ele não aparece na captura de tela que eles colocaram... Pode dar o nome completo aqui para que a gente possa conferir?

Danielsolfa · March 7, 2023, 10:25am

O mistério começa: quando acessa http://camaradircereis.sp.gov.br ele abre site NORMAL, quando acessa https://camaradircereis.sp.gov.br ele Abre UM OUTRO SITE NADA HAVER

dtisistemas · March 7, 2023, 11:45am

A Prodesp tem bloqueado acessos externos aos servidores deles por conta de ataques, o que não permite que as validações de domínio das certificadoras ocorram.
Não só a Let´s Encrypt, mas também tentamos utilizar o ACME da ZeroSSL e também estava com problemas.
Por fim, conseguimos criar por outra certificadora, mas não sei quanto tempo até que a Prodesp bloqueie também.

Danielsolfa · March 7, 2023, 12:35pm

Qual vc esta utilizando

paulopera · March 7, 2023, 9:12pm

Apparently it's working now. I called Prodesp this morning, tried to describe the problem in the first call but I was talking to like the 1st level of support and she couldn't help/understanding what I was talking. Then she said that she would redirect my ticket support and I would receive a new call.
1 hour later I received a call from Prodesp asking more details about the problem and then I tried to explain again that "some checks and requests" that LE makes to check the domain are being blocked by Prodesp. Told the person that I did some research online and a lot of other admins from sp.gov.br domains are facing the same problem. And that I was calling to get some information if is a well know problem or not.
This second person couldn't understand/help me at the moment but got notes on everything I said and told me to wait another call.
Like just half hour ago we got an email saying that Cloudflare has observed issuance of the following certificate for one of our domains.
We checked and it was right.
We tried to renew some certificates and it worked as expected but a new one wasn't issued stating that the service was busy or something like that.
There's hope guys, lets wait and see.
Now I dont know if it was something specifically made for our domain or not.
if somebody could test too would be awesome.

shibatawebline · March 8, 2023, 2:21pm

Bom dia,

Hoje recebi um e-mail da Prodesp onde modificaram o firewall de borda do mesmo para amenizar os ataques que vem recebendo, pelo que verifiquei depois da respostas os DNS *.sp.gov.br voltaram a responder em todos os países o que deve ter resolvido o problema que estamos tendo.

Good morning,

Today I received an email from Prodesp where they modified the edge firewall to mitigate the attacks they have been receiving. From what I verified after the responses, the *.sp.gov.br DNSs started responding in all countries, which must have solved the problem we were having.

system · April 7, 2023, 2:21pm

This topic was automatically closed 30 days after the last reply. New replies are no longer allowed.