Error DNS Name - DNS A/AAAA record(s) for that domain contain(s) the right IP address

Por favor, preencha todos os campos abaixo para que nós possamos ajudar você. Obs.: você deve indicar seu nome de domínio para receber ajuda. Os nomes de domínio dos certificados emitidos são divulgados nos logs da Transparência de Certificados (por exemplo, https://crt.sh/?q=example.com). Assim, não indicar seu nome de domínio não o mantém em segredo, mas torna a nossa ajuda mais difícil.

Posso ler respostas em inglês: Sim

Meu nome de domínio é: imbel.gov.br

Executei esse comando: certbot certonly --apache -d www.imbel.gov.br --verbose

Produziu essa saída:
certbot.errors.FailedChallenges: Failed authorization procedure. www.imbel.gov.br (http-01): urn:ietf:params:acme:error:unauthorized :: The client lacks sufficient authorization :: Invalid response from http://www.imbel.gov.br/.well-known/acme-challenge/gZb77oB4LNVau6qZQlSAWSIKdSaFeJnHuTaACkFrNwA [177.8.80.200]: “Request RejectedThe requested URL was rejected. Please consult with your administrator.<”
Failed authorization procedure. www.imbel.gov.br (http-01): urn:ietf:params:acme:error:unauthorized :: The client lacks sufficient authorization :: Invalid response from http://www.imbel.gov.br/.well-known/acme-challenge/gZb77oB4LNVau6qZQlSAWSIKdSaFeJnHuTaACkFrNwA [177.8.80.200]: “Request RejectedThe requested URL was rejected. Please consult with your administrator.<”

IMPORTANT NOTES:

  • The following errors were reported by the server:

    Domain: www.imbel.gov.br
    Type: unauthorized
    Detail: Invalid response from
    http://www.imbel.gov.br/.well-known/acme-challenge/gZb77oB4LNVau6qZQlSAWSIKdSaFeJnHuTaACkFrNwA
    [177.8.80.200]: “Request
    RejectedThe requested URL was rejected. Please
    consult with your administrator.<”

    To fix these errors, please make sure that your domain name was
    entered correctly and the DNS A/AAAA record(s) for that domain
    contain(s) the right IP address.

IMPORTANT NOTES:

  • The following errors were reported by the server:

    Domain: www.imbel.gov.br
    Type: unauthorized
    Detail: Invalid response from
    http://www.imbel.gov.br/.well-known/acme-challenge/gZb77oB4LNVau6qZQlSAWSIKdSaFeJnHuTaACkFrNwA
    [177.8.80.200]: “Request
    RejectedThe requested URL was rejected. Please
    consult with your administrator.<”

    To fix these errors, please make sure that your domain name was
    entered correctly and the DNS A/AAAA record(s) for that domain
    contain(s) the right IP address.

Meu servidor web é (com versão): Apache/2.4.38 (Debian)

O sistema operacional no meu servidor web é (com versão): Debian 4.19.67-2+deb10u2

O serviço de hospedagem do meu site (se aplicável) é:

Posso acessar um shell root na minha máquina (sim ou não, ou não sei): Sim

Uso um painel de controle para administrar meu site (não, ou indique o nome e a versão do painel de controle):Não

Bom dia @DavidRoma,

Pensando que esse erro não me parecia um erro gerado diretamente do servidor Apache, procurei na Internet e encontrei

A resposta indica que o erro foi gerado por um firewall que está localizado entre a Internet e seu servidor Apache, que decidiu, por algum motivo, impedir esse pedido. Assim, parece que terá que se entrar em contato com o administrador desse firewall para pedir mudanças na sua configuração.

Após algumas análises não identificamos nenhum drop ou bloqueio do firewall. O que mais pode estar gerando esse tipo de erro?

Infelizmente, todos os recursos que encontrei na Internet concordam que o erro é gerado por um firewall, aparentemente chamado de Application Security Manager (ASM). Esse firewall é um firewall da camada aplicação que pode ser distinto e independente de outros firewalls que funcionam nos outros camadas, como na camada rede. Ou seja, mesmo que não haja nenhum bloqueio (de endereço IP, por exemplo) pelo firewall clássico, esse firewall deve ser independente e capaz de fazer seus próprios bloqueios examinando as solicitações de forma minuciosa.

(infelizmente esse artigo não foi traduzido para português)

No caso, o seu cliente Let’s Encrypt coloca um arquivo específico (com nome e conteúdo indicados pela AC) no servidor web dentro de /.well-known/acme-challenge, e logo a AC tenta baixar esse arquivo, que existe sim porque o cliente já o criou. Mas algum outro dispositivo no caminho entre seu servidor web e a AC responde que a solicitação foi proíbido e não deixe o servidor web respondê-la.

Se você e seus colegas não consigam localizar esse firewall, existem outras maneiras de pedir certificados Let’s Encrypt, só que são mais difíceis em alguns ambientes de hospedagem.

O artigo da Wikipédia diz que o nome atual do produto ASM é “BIG-IP Advanced WAF”, uma funcionalidade (módulo) da marca BIG-IP da F5 Networks.