Servidor migrado/alterado para AutoSSL recebendo requisições Let's Encrypt

Olá. Acredito que não seja algo tão incomum mas não encontrei um caso igual no forum.
A algum tempo configurei o Let’s Encrypt no meu servidor com cPanel utilizando certbot. Um tempo depois realizei uma migração do servidor para cloud e acabei ativando o AutoSSL no lugar do Let’s Encrypt.
Agora percebi que diariamente os servidores do Let’s Encrypt realizam diversas requisições como estas:
18.197.227.110 - - [21/Aug/2019:08:49:49 -0300] “GET /.well-known/acme-challenge/8mFBtnyhcFKvHp9kf5rzFtLq2qxQvFSljzGOa5Vvvao HTTP/1.1” 404 65295 “-” “Mozilla/5.0 (compatible; Let’s Encrypt validation server; +https://www.letsencrypt.org)”
Sinceramente estou satisfeito com os certificados nativos da cPanel, mas gostaria de evitar estas várias requisições desnecessárias, sendo assim pergunto (finalmente)…
Existe uma forma de fazer parar estas requisições ao servidor por parte da Let’s Encrypt? Qual seria?
Se for uma alternativa melhor, seria fácil mudar o AutoSSL do cPanel para Let’s Encrypt? Não haveria conflitos com essa utilização antiga?
Peço desculpas se me alonguei e desde já agradeço o auxilio.

Olá @centerm,

A verificação diária (bem como o erro 404) indica uma falha de renovação, que no contexto sugere que seu servidor antigo ainda existe e ainda tenta renovar seus certificados antigos Let’s Encrypt, com Certbot, que não consegue por causa da troca dos registros DNS para o novo servidor.

Ou seja, o Certbot no servidor antigo ainda se acha responsável pela renovação do certificado, que tenta fazer, provavelmente, duas vezes por dia. Mas nunca consegue.

O melhor aqui seria desativar o outro servidor (se não precisa mais dele), ou pelo menos apagar o certificado nele com certbot --delete. (Se o certificado antigo ainda está mencionado pela configuração Apache ou nginx, apagar o certificado tornará inválida essa configuração.) O certificado apagado com certbot --delete não será renovado pelo Certbot, e isso parará as requisições que mencionou acima, que fazem parte do processo de verificação pela autoridade de certificação Let’s Encrypt.

No geral, são a melhor opção para quem usa o cPanel para administrar um site.

O estranho é que não tenho mais este servidor (só trabalho com um servidor). Sinceramente não sei exatamente quando e em qual servidor foi configurado o Certbot mas com certeza o servidor está desativado.

Mas provavelmente continua sendo utilizado o mesmo endereço do servidor antigo.

Isso é estranho sim, porque a Let’s Encrypt não faria essa verificação sem um pedido de um aplicativo cliente (pedindo um certificado). Vamos perguntar aos meus colegas da AC.

@lestaff, could someone confirm where this validation request originated?

18.197.227.110 - - [21/Aug/2019:08:49:49 -0300] “GET /.well-known/acme-challenge/8mFBtnyhcFKvHp9kf5rzFtLq2qxQvFSljzGOa5Vvvao HTTP/1.1” 404 65295 “-” “Mozilla/5.0 (compatible; Let’s Encrypt validation server; +https://www.letsencrypt.org)”

Is there a privacy problem in revealing the IP address and/or user-agent of the ACME client that made the corresponding authorization request?

Hi, @centerm,

Right now, we don’t reveal the client IP address for this type of request. Sorry about that! I think @schoen’s analysis is probably correct.

Once accounturi binding is available in our production environment, that could be a way to prevent unwanted validation requests.

Thanks, @JamesLE!

@centerm, bom, a AC não queria indicar a origem do pedido de certificado. Entretanto, tenho certeza de que resulte de um pedido feito por um aplicativo cliente em algum servidor, que pode ser, na teoria, qualquer servidor na Internet.

Aparentemente o padrão accounturi tornará possível bloqueiar requisições que resultam de pedidos de terceiros (e/ou de infraestrutura própria velha). A maioria dos usuários futuros disso terão mais interesse por bloqueiar os pedidos em si que as tentativas de verificação que resultam deles.

Essas requisições provavelmente não fazerão mal a nada no seu ambiente, já que, não recebendo o conteúdo solicitado, a AC não vai emitir outros certificados por seu domínio.

A mesma coisa já podia acontecer com outras ACs, por exemplo com um ser humano pedindo um certificado por um domínio que pertença a você. Qualquer AC pode tentar baixar arquivos do site para tentar verificar o direito dele de receber tal certificado (que, felizmente, nunca conseguiria verificar). A AC não saberia distinguir entre falhas técnicas, configurações incorretas, e tentativas de fraude, e assim, talvez, tentaria refazer a verificação repetidas vezes. Mas é aparente que a disponibilidade de serviços de certificação automatizados e gratuitos, como os da Let’s Encrypt, pode aumentar a frequência dessas verificações mal-sucedidas.

Obrigado @schoen sem querer abusar do teu auxilio mas já o fazendo, vc acredita que se eu alterar o emissor de certificados pelo AutoSSL do padrão da cPanel para Let’s Encrypt estas verificações deixarão de receber erro? (pois acredito que devido ao erro e a repetição das solicitações que está ocorrendo algumas sobrecargas)

Não, porque apenas o servidor que pede o certificado sabe qual o arquivo que a AC indicou para colocar no site. Não existe uma resposta com o efeito de dizer “sim, como dono do site, aceito a emissão de certificados Let’s Encrypt no geral”, apenas “sim, como dono do site, reconheço esse pedido de certificado em particular e quero que ele for aprovado”. Isso se faz apenas colocando o conteúdo escolhido pela AC que corresponde a cada pedido, que é sempre diferente.

Essas solicitações seriam 2× por domínio por dia, não seriam? No log que compartilhou acima, parece que sua página de erro (404) contém aproximadamente 64K de dados, assim acho que seriam 128K por domínio por dia…? Qual o recurso que essas solicitações consomem que resulta em sobrecargas?

Tem como falar com o provedor de hospedagem do servidor desativado? Qual tipo de ambiente de hospedagem usava naquele servidor?

Nunca usou nenhuma outra ferramenta no seu ambiente atual de hospedagem para pedir certificados Let’s Encrypt?

No seu ambiente atual, tem vários domínios hospedados no mesmo endereço IP? Tem alguns domínios ativos que não têm certificados atuais?

@JamesLE, would you be able to tell us whether or not these failed requests that I asked about before are associated with a Certbot instance?

@_az, without trying to make you read a long conversation in Portuguese, can you think of any circumstance in which a cPanel instance that successfully obtains cPanel certificates would somehow also unsuccessfully and frequently request Let’s Encrypt renewals?

Perhaps the cPanel server has both AutoSSL and a separate Let’s Encrypt plugin configured, and they’re fighting with each other. I do not think it would be my plugin, because we have a fairly aggressive exponential back-off for certificates that are failing renewals.

Is there any evidence that the ACME requests originate from the same server?

When I have seen such a symptom in the past, it has usually been the case that there is a second cPanel server (or any kind of webserver, really), that believes it is authoritative for that domain and is going about its day under that assumption.

For example, when the domain has been migrated from one cPanel host to another, and the old cPanel account was not terminated.

Or when a user stopped using a CDN and the CDN doesn’t have safeguards against it.

1 Like

That’s also what I think is the case here (particularly since this was a migration from a different server on a different hosting provider), but I just wanted to consider the other possibility. Thanks!

O problema é que são várias requisições, veja este log de acesso onde foi listado 47 requisições (no mesmo minuto) http://fetisologirua.com.br/requisicoes.txt
Os teus questionamentos me fizeram ir mais a fundo nos logs e descobri algumas coisas que mudam o que eu acreditava, pois pensava que isto estava ocorrendo a bastante tempo, mas não, está ocorrendo somente desde 12 de agosto, mas a principio nada foi alterado no servidor para iniciar isto.
Mas para complicar um pouquinho mais, eu estava verificando com a equipe de gerenciamento do datacenter sobre estes problemas e a possibilidade de habilitar o Let’s Encrypt e eles acabaram por já o fazer. Bom sei que não é possível informar o ip que origina as requisições, mas seria possível confirmar se é o meu ip? Que seria 198.49.71.179 Mas se for possível seria interessante verificar antes do dia 22 (quando foi habilitado).
Respondendo as suas questões, depois que começamos a conversar lembrei que entre a migração de um vps para cloud eu tentei utilizar um serviço de revenda cPanel, mas tive que migrar uma semana depois, eu entrei em contato com este fornecedor e ele confirmou que utilizava ou utiliza Let’s Encrypt mas me afirmou que o servidor não está mais ativo (achei que ele foi muito rápido ao afirmar isto) verifiquei que o existe um servidor cPanel ativo no mesmo ip (45.234.92.4) Mas como isto só começou agora em Agosto e esta migração foi no final de setembro de 2018 acho que não deve ser deste servidor.
Não lembro de ter usado alguma outra ferramenta para isto ultimamente. Devo ter uns 100 domínios neste servidor. A principio o autossl deveria estar ativo em todos.
Mais uma vez muito obrigado por todo o apoio e desculpe por me alongar.

Não posso ver esse arquivo; parece que o domínio não existe na Internet.

@JamesLE, @centerm is wondering if you’re allowed to confirm if the requests originated from his older server’s specific IP address 198.49.71.179 (or, less likely, his other previous hosting provider’s server 45.234.92.4).

1 Like

Perdão errei o link http://fertisologirua.com.br/requisicoes.txt

FWIW, we are usually hesitant to pull IP addresses or user agents unless we are troubleshooting a problem that may be systemic (a problem on our end, or one that affects multiple users).

It looks like all recent validation traffic (successful and unsuccessful) has been coming from the domain’s current IP address. That probably confirms @_az’s “two clients” theory.

1 Like

Thanks, @JamesLE! I’ll try to avoid asking for this kind of information frequently.

@centerm, o @JamesLE aceitou verificar (fora do costume da AC) que essas requisições resultaram de pedidos de certificados do seu próprio servidor atual, talvez feitos por outro aplicativo cliente diferente do cPanel. Assim, você terá que encontrar a origem desses pedidos dentro do servidor atual.

1 Like

Muito obrigado @schoen realmente isto ainda é um mistério para mim, de como começou, mas vou verificar com a equipe do datacenter para solucionar isto.