Renouvellement certificat en erreur (timeout)


#1

Bonjour, à tous et bonne année.

Je suis nouveau sur le forum et novice dans ce domaine donc merci par avance pour votre indulgence en cas de question bête :slight_smile:

suite à l’achat de ma maison, je possède une installation domotique depuis 1 an, mon accès https fonctionnait correctement jusqu’à maintenant. Le certificat délivré par Let’s Encrypt se renouvelait automatiquement correctement aussi. Mais depuis la fin de l’année dernière, ce dernier n’a pas été renouvellé et une erreur est remontée sans que je sache pourquoi et sans avoir (enfin il me semble) changer une configuration sur mon système. Ci après, les détails :

Je peux lire des réponses en Anglais : OUI

Mon nom de domaine est : domo-pla31.myddns.com

J’ai exécuté cette commande : certbot-auto renew

Elle a produit cette sortie :
All renewal attempts failed. The following certs could not be renewed:
/etc/letsencrypt/live/domo-pla31.myddns.com/fullchain.pem (failure)
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
IMPORTANT NOTES:
- The following errors were reported by the server:

Domain: domo-pla31.myddns.com
Type: connection
Detail: Fetching
http://domo-pla31.myddns.com/.well-know … IhBgxng_UE:
Timeout during connect (likely firewall problem)

To fix these errors, please make sure that your domain name was entered correctly and the DNS A/AAAA record(s) for that domain contain(s) the right IP address. Additionally, please check that your computer has a publicly routable IP address and that no firewalls are preventing the server from communicating with the client. If you’re using the webroot plugin, you should also verify that you are serving files from the webroot path you provided.

Le système d’exploitation sur lequel mon serveur raspberry s’exécute est (version incluse) : linux

Mon fournisseurs d’accès est : Free

Je peux me connecter à un shell root sur ma machine (oui ou non, ou je ne sais pas) : oui

Ma configuration domo-pla31.myddns.com.conf est :
# renew_before_expiry = 30 days
version = 0.27.1
archive_dir = /etc/letsencrypt/archive/domo-pla31.myddns.com
cert = /etc/letsencrypt/live/domo-pla31.myddns.com/cert.pem
privkey = /etc/letsencrypt/live/domo-pla31.myddns.com/privkey.pem
chain = /etc/letsencrypt/live/domo-pla31.myddns.com/chain.pem
fullchain = /etc/letsencrypt/live/domo-pla31.myddns.com/fullchain.pem

# Options used in the renewal process
[renewalparams]
authenticator = apache
installer = apache
account = 606bf30e5XXXXXXXXXXXXXXb59a431eb (j’ai masqué avec des X ne sachant pas si cette données est sensible)
server = https://acme-v02.api.letsencrypt.org/directory

A noter que je ne possède pas d’enregistrement AAAA puisque je ne suis pas en iPV6 il me semble.

J’ai lu des dizaine de posts sur le sujet avec des gens aillant le même problème mais leur cas correspondait ç un 1er renouvellement en échec alors que dans mon cas, le renouvellement était OK jusqu’à maintenant. Seriez-vous en mesure de m’aider ?

D’avance merci .


#2

A recent Certbot update switched to performing validation on port 80 by default instead of port 443 (in preparation for the upcoming removal of the old TLS-SNI-01 challenge by the CA).

Your server is currently not externally reachable on port 80. If you can fix that, the renewal should work again as before.

If you can’t, there are two alternatives:

  • Switch to DNS authentication (if your DNS provider has an API allowing automated updates)
  • Switch to the new TLS-ALPN-01 validation method, which works on port 443 (this is not supported by Certbot yet but is supported by some other clients).

#3

Thanks a lot jmrahan for your quickly answer. I could solve my problem : I opened my port 80.
However, I would like open this port only for Letsencrypt, is it possible ?


#4

Unfortunately no, it is not possible. The validation IP addresses are not predictable (https://letsencrypt.org/docs/faq/#what-ip-addresses-does-let-s-encrypt-use-to-validate-my-web-server):

We don’t publish a list of IP addresses we use to validate, because they may change at any time. In the future we may validate from multiple IP addresses at once…

Port 80 must be open publicly.