Mon forum est tombé cette nuit, il y a entre 10 et 17 heures (je ne peux pas dire précisément). Les pages semblaient charger des versions mises en cache et de nombreuses ressources ne se chargeaient pas.
J’ai arrêté et redémarré le conteneur sans succès.
Je l’ai reconstruit (une fois), et j’ai maintenant un message de certificat expiré.
Erreur de création de nouvelle commande. Le_OrderFinalize non trouvé. {
"type": "urn:ietf:params:acme:error:rateLimited",
"detail": "Erreur lors de la création de la nouvelle commande :: trop d'autorisations échouées récemment : voir https://letsencrypt.org/docs/rate-limits/",
"status": 429
}
J’ai regardé le journal plus attentivement et j’ai vu précédemment plusieurs fois, une fois par jour depuis mars (pas assez pour déclencher la limite de débit de Letsencrypt, d’après mes journaux) :
unicyclist.com:Erreur de vérification:Récupération de http://unicyclist.com/.well-known/acme-challenge/uSv1JIUxVs-Nn7Zn2cIZO355KGaqrtutELs4pgw67_Y: Timeout lors de la connexion (problème de pare-feu probable)
J’ai configuré ces règles de pare-feu sur Hetzner début mars :
Ces règles de pare-feu Hetzner pourraient-elles être la cause du problème ? Si oui, quelle(s) règle(s) manquent et pourraient causer le problème ? J’ai supprimé toutes ces règles maintenant, d’ailleurs.
Pourquoi ai-je eu le message unicyclist.com:Erreur de vérification:Récupération […] Timeout lors de la connexion (problème de pare-feu probable)10 fois en une seule reconstruction ce matin ? Une seule reconstruction pourrait-elle déclencher la limite de débit de Letsencrypt ?
Puisque j’ai atteint une limite de débit, cela signifie-t-il que mon forum est essentiellement hors service pendant une semaine et que je ne peux rien y faire ?
[quote=“Canapin, post:1, topic:224261”]
Puisque j’ai atteint une limite de débit, cela signifie-t-il que mon forum est essentiellement hors service pour une semaine et que je ne peux rien y faire ?
[/quote]La solution que j’ai utilisée est d’ajouter un deuxième nom d’hôte (par exemple, www, mais cela pourrait être n’importe quoi) comme suggéré dans Configuration de Let’s Encrypt avec plusieurs domaines, mais je crois qu’il y a eu quelques changements dans les modèles qui font que ces instructions ne fonctionnent pas. Ce que j’ai fait pour un autre site il y a quelques jours, c’est d’éditer /etc/runit/1.d/letsencrypt et d’ajouter -d newdomain aux endroits où vous voyez -d realdomain. Ensuite, assurez-vous que le nouveau domaine pointe vers votre serveur, puis exécutez /etc/runit/1.d/letsencrypt.
Vous devrez peut-être également ouvrir le port 80. Je crois qu’il n’est pas nécessaire lorsqu’il y a un certificat valide, mais vous n’avez pas de certificat valide, donc je pense qu’il doit lire à partir du port 80 pour que les choses commencent. Il n’y a aucun inconvénient à avoir le port 80 ouvert, car certaines personnes pourraient essayer d’accéder via http:// et si vous avez le port 80 ouvert, elles peuvent être redirigées vers https.
Je vais travailler à la mise à jour de ces instructions, mais j’ai un camion de déménagement qui arrive demain et je devrais vraiment me préparer pour cela plutôt que de poster sur meta de toute façon.
Merci pour votre réponse !
L’utilisation d’un nouveau domaine/sous-domaine nécessiterait-il un re-cuisson de tous les messages ?
J’ai 1,6 million de messages. Une re-cuisson déclencherait également la limite de débit d’intégration de YouTube, comme je l’ai constaté lors de l’importation de ce forum depuis vBulletin.
Le problème avec un nouveau domaine/sous-domaine temporaire est que je ne suis pas le propriétaire du domaine sur lequel mon forum est hébergé, ce qui est assez ennuyeux. Les réponses du propriétaire peuvent être lentes, et si quelque chose tourne mal, ce sont d’autres e-mails qui circulent… Pas très pratique
J’ai en effet vu sur Challenge Types - Let's Encrypt que le port 80 doit être disponible pour certains “défis” (je ne sais pas quel type de défi est utilisé lors du renouvellement d’un certificat de Discourse).
En dehors de cela, je suis vraiment intéressé de savoir un peu plus sur ce qui semble être 10 défis échoués (est-ce égal à une demande de certificat ?) lors d’une seule reconstruction.
Peut-être qu’une réponse officielle à ce sujet serait intéressante ?
Car si pour une raison quelconque cela déclenche plus de demandes de certificats que ce qui est autorisé par la limite de débit de Let’s Encrypt, alors il ne devrait pas se comporter ainsi
Extrait de acme.sh.log :
[Thu 14 Apr 2022 10:29:01 AM UTC] payload
[Thu 14 Apr 2022 10:29:01 AM UTC] POST
[Thu 14 Apr 2022 10:29:01 AM UTC] _post_url='https://acme-v02.api.letsencrypt.org/acme/chall-v3/98157717290/JXMDvA'
[Thu 14 Apr 2022 10:29:01 AM UTC] _CURL='curl --silent --dump-header /shared/letsencrypt/http.header -L '
[Thu 14 Apr 2022 10:29:01 AM UTC] _ret='0'
[Thu 14 Apr 2022 10:29:01 AM UTC] code='200'
[Thu 14 Apr 2022 10:29:01 AM UTC] Pending
[Thu 14 Apr 2022 10:29:01 AM UTC] sleep 2 secs to verify
[Thu 14 Apr 2022 10:29:03 AM UTC] checking
[Thu 14 Apr 2022 10:29:03 AM UTC] url='https://acme-v02.api.letsencrypt.org/acme/chall-v3/98157717290/JXMDvA'
[Thu 14 Apr 2022 10:29:03 AM UTC] payload
[Thu 14 Apr 2022 10:29:03 AM UTC] POST
[Thu 14 Apr 2022 10:29:03 AM UTC] _post_url='https://acme-v02.api.letsencrypt.org/acme/chall-v3/98157717290/JXMDvA'
[Thu 14 Apr 2022 10:29:03 AM UTC] _CURL='curl --silent --dump-header /shared/letsencrypt/http.header -L '
[Thu 14 Apr 2022 10:29:04 AM UTC] _ret='0'
[Thu 14 Apr 2022 10:29:04 AM UTC] code='200'
[Thu 14 Apr 2022 10:29:04 AM UTC] unicyclist.com:Verify error:Fetching http://unicyclist.com/.well-known/acme-challenge/uSv1JIUxVs-Nn7Zn2cIZO355KGaqrtutELs4pgw67_Y: Timeout during connect (likely firewall problem)
[Thu 14 Apr 2022 10:29:04 AM UTC] pid
Puis quelques secondes plus tard :
[Thu 14 Apr 2022 10:29:18 AM UTC] payload
[Thu 14 Apr 2022 10:29:19 AM UTC] POST
[Thu 14 Apr 2022 10:29:19 AM UTC] _post_url='https://acme-v02.api.letsencrypt.org/acme/chall-v3/98157816830/tzknWw'
[Thu 14 Apr 2022 10:29:19 AM UTC] _CURL='curl --silent --dump-header /shared/letsencrypt/http.header -L '
[Thu 14 Apr 2022 10:29:19 AM UTC] _ret='0'
[Thu 14 Apr 2022 10:29:19 AM UTC] code='200'
[Thu 14 Apr 2022 10:29:19 AM UTC] unicyclist.com:Verify error:Fetching http://unicyclist.com/.well-known/acme-challenge/UUi8goql9f4QjXwqdk_CUISDmwUpLHqhrSqwbr5D2aY: Timeout during connect (likely firewall problem)
[Thu 14 Apr 2022 10:29:19 AM UTC] pid
Et ainsi de suite, 10 fois pendant cette reconstruction.
Je n’y connais pas grand-chose, alors peut-être que je comprends tout de travers.
Vous devriez ouvrir le port 80. Il est nécessaire pour renouveler le certificat. De plus, votre site ne fonctionnera pas pour les personnes qui essaient d’y accéder via HTTP pour la première fois car elles ne recevront pas la redirection permanente vers HTTPS.
Content que cela ait fonctionné ! (Pour ma solution de contournement pour trop de requêtes Let’s Encrypt, vous ne changez pas l’URL du forum, vous ajoutez simplement un deuxième domaine à la demande de certificat. Il peut s’agir de n’importe quel autre domaine, vous pourriez donc pointer un domaine que vous possédez vers le forum et reconstruire comme je l’ai suggéré, mais heureusement, vous n’en aviez pas besoin.)
