フォーラムがダウンし、その後ファイアウォール設定に関する証明書更新エラーが発生しましたか？

Canapin · 2022 年 4 月 14 日午前 11:37

こんにちは！

私のフォーラムが今夜、10時間から17時間前（正確にはわかりません）の間にダウンしました。ページはキャッシュされたバージョンを読み込んでいるようで、多くのリソースが読み込まれませんでした。

コンテナを停止して開始しましたが、うまくいきませんでした。

再構築したところ（一度）、証明書失効メッセージが表示されました。

https://www.ssllabs.com/ssltest/analyze.html?d=unicyclist.com は次のように表示されます。
有効期限 2022年4月13日水曜日 23:22:28 UTC（11時間15分前に失効）失効済み

acme.sh.log には次のように表示されます。

新しい注文の作成エラー。Le_OrderFinalizeが見つかりません。 {
  "type": "urn:ietf:params:acme:error:rateLimited",
  "detail": "新しい注文の作成エラー :: 最近、認証の失敗が多すぎます: https://letsencrypt.org/docs/rate-limits/ を参照してください",
  "status": 429
}

ログをより注意深く確認したところ、3月から毎日複数回、一度に（ログによると、Letsencryptのレート制限をトリガーするには十分ではない）発生していました。

unicyclist.com:Verify error:Fetching http://unicyclist.com/.well-known/acme-challenge/uSv1JIUxVs-Nn7Zn2cIZO355KGaqrtutELs4pgw67_Y: Connection timed out (likely firewall problem)

3月初旬にHetznerで次のようなファイアウォールルールを設定しました。

それで、基本的に、いくつか質問があります。

これらのHetznerファイアウォールルールが問題である可能性はありますか？もしそうなら、問題を引き起こす可能性のある欠けているルールは何ですか？ちなみに、これらのルールはすべて現在削除しました。
今朝の1回の再構築で、unicyclist.com:Verify error:Fetching […] Timeout during connect (likely firewall problem) メッセージが10回表示されたのはなぜですか？1回の再構築でLetsencryptのレート制限がトリガーされる可能性がありますか？
レート制限に達した場合、フォーラムは基本的に1週間ダウンしており、何もできないということですか？

pfaffman · 2022 年 4 月 14 日午後 1:23

私が使用した解決策は、Let’s Encrypt を複数のドメインで設定するで提案されているように、2番目のホスト名（例：www、ただし何でもよい）を追加することでしたが、テンプレートにいくつかの変更が加えられたため、これらの指示が機能しなくなったと考えています。数日前に別のサイトで行ったことは、/etc/runit/1.d/letsencrypt を編集し、-d realdomain が表示されている場所に -d newdomain を追加することでした。次に、新しいドメインがサーバーを指していることを確認し、/etc/runit/1.d/letsencrypt を実行します。

ポート80を開く必要がある場合もあります。有効な証明書がある場合は必要ないと思いますが、有効な証明書がないため、開始するにはポート80から読み取る必要があると思います。ポート80を開いておくことに欠点はありません。http:// でアクセスしようとする人もいるかもしれませんが、ポート80を開いておけばhttpsにリダイレクトできます。

これらの指示を更新する予定ですが、明日引っ越しトラックが到着するので、メタに投稿するよりもそちらの準備をするべきです。

Canapin · 2022 年 4 月 14 日午後 1:30

返信ありがとうございます！
新しいドメイン/サブドメインを使用すると、すべての投稿を再ベイクする必要がありますか？
160万件の投稿があります。このフォーラムをvBulletinからインポートした際に発生したように、再ベイクはYouTubeの埋め込みレート制限もトリガーします。

一時的な新しいドメイン/サブドメインの問題は、フォーラムがホストされているドメインの所有者ではないため、非常に煩わしいことです。所有者の返信は遅くなる可能性があり、何か問題が発生した場合、メールのやり取りがさらに増えることになります…あまり実用的ではありません

Challenge Types - Let's Encrypt で、ポート80が一部の「チャレンジ」（Discourseから証明書を更新する際にどのようなチャレンジが使用されるかはわかりません）で利用可能である必要があることを確認しました。

これとは別に、1回の再構築中に10回のチャレンジ失敗（これは証明書リクエストに相当しますか？）が発生しているように見えることについて、もう少し詳しく知りたいです。

公式からの回答があれば興味深いかもしれません。

もし何らかの理由でLet’s Encryptのレート制限を超えた証明書リクエストが発生する場合、そのように動作するべきではありません

acme.sh.log の抜粋：

[Thu 14 Apr 2022 10:29:01 AM UTC] payload
[Thu 14 Apr 2022 10:29:01 AM UTC] POST
[Thu 14 Apr 2022 10:29:01 AM UTC] _post_url='https://acme-v02.api.letsencrypt.org/acme/chall-v3/98157717290/JXMDvA'
[Thu 14 Apr 2022 10:29:01 AM UTC] _CURL='curl --silent --dump-header /shared/letsencrypt/http.header  -L '
[Thu 14 Apr 2022 10:29:01 AM UTC] _ret='0'
[Thu 14 Apr 2022 10:29:01 AM UTC] code='200'
[Thu 14 Apr 2022 10:29:01 AM UTC] Pending
[Thu 14 Apr 2022 10:29:01 AM UTC] sleep 2 secs to verify
[Thu 14 Apr 2022 10:29:03 AM UTC] checking
[Thu 14 Apr 2022 10:29:03 AM UTC] url='https://acme-v02.api.letsencrypt.org/acme/chall-v3/98157717290/JXMDvA'
[Thu 14 Apr 2022 10:29:03 AM UTC] payload
[Thu 14 Apr 2022 10:29:03 AM UTC] POST
[Thu 14 Apr 2022 10:29:03 AM UTC] _post_url='https://acme-v02.api.letsencrypt.org/acme/chall-v3/98157717290/JXMDvA'
[Thu 14 Apr 2022 10:29:03 AM UTC] _CURL='curl --silent --dump-header /shared/letsencrypt/http.header  -L '
[Thu 14 Apr 2022 10:29:04 AM UTC] _ret='0'
[Thu 14 Apr 2022 10:29:04 AM UTC] code='200'
[Thu 14 Apr 2022 10:29:04 AM UTC] unicyclist.com:Verify error:Fetching http://unicyclist.com/.well-known/acme-challenge/uSv1JIUxVs-Nn7Zn2cIZO355KGaqrtutELs4pgw67_Y: Timeout during connect (likely firewall problem)
[Thu 14 Apr 2022 10:29:04 AM UTC] pid

その後、数秒後に：

[Thu 14 Apr 2022 10:29:18 AM UTC] payload
[Thu 14 Apr 2022 10:29:19 AM UTC] POST
[Thu 14 Apr 2022 10:29:19 AM UTC] _post_url='https://acme-v02.api.letsencrypt.org/acme/chall-v3/98157816830/tzknWw'
[Thu 14 Apr 2022 10:29:19 AM UTC] _CURL='curl --silent --dump-header /shared/letsencrypt/http.header  -L '
[Thu 14 Apr 2022 10:29:19 AM UTC] _ret='0'
[Thu 14 Apr 2022 10:29:19 AM UTC] code='200'
[Thu 14 Apr 2022 10:29:19 AM UTC] unicyclist.com:Verify error:Fetching http://unicyclist.com/.well-known/acme-challenge/UUi8goql9f4QjXwqdk_CUISDmwUpLHqhrSqwbr5D2aY: Timeout during connect (likely firewall problem)
[Thu 14 Apr 2022 10:29:19 AM UTC] pid

そして、この再構築中に10回このように発生しました。

この件についてはあまり詳しくないので、完全に誤解しているかもしれません。

gerhard · 2022 年 4 月 14 日午後 1:45

ポート80を開く必要があります。証明書の更新に必要です。また、HTTP経由で初めてアクセスしようとするユーザーはHTTPSへの恒久的なリダイレクトを受け取れないため、サイトが機能しなくなります。

Canapin · 2022 年 4 月 14 日午後 2:33

ポート80が利用可能になるようにフォーラムを再構築し、フォーラムが再びオンラインになりました。1週間待つ必要はありませんでした。

ありがとうございます！

pfaffman · 2022 年 4 月 14 日午後 3:56

うまくいってよかったです！(Let’s Encrypt のリクエストが多すぎる場合の回避策として、フォーラムの URL を変更するのではなく、証明書リクエストに別のドメインを追加します。所有している別のドメインをフォーラムに向け、提案したように再構築することもできますが、幸いなことに必要ありませんでした。)

system · 2022 年 5 月 14 日午後 3:56

This topic was automatically closed 30 days after the last reply. New replies are no longer allowed.

トピック		返信	表示
I can't access after installing Installation letsencrypt	6	982	2020 年 12 月 3 日
Let's encrypt SSL certificate expired: `urn:ietf:params:acme:error:rateLimited` Support	3	3004	2020 年 6 月 12 日
Let's Encrypt certificate doesn't automatically renew, but rebuilding does trigger the renewal Support letsencrypt	5	153	2025 年 9 月 20 日
Letsencrypt not renewing Installation	6	1486	2024 年 6 月 8 日
Fresh installation with Let’s Encrypt errors Installation	18	3977	2019 年 12 月 26 日

フォーラムがダウンし、その後ファイアウォール設定に関する証明書更新エラーが発生しましたか？

関連トピック