Fallo en la renovación del certificado de Let's Encrypt

Soporte
1

Creo que han pasado años desde que vi un certificado de Let’s Encrypt que no se renovara, pero en la última semana o dos he tenido tres sitios con certificados obsoletos. Una reconstrucción lo soluciona y hasta ahora no he buscado pistas en los registros.

La próxima vez haré un poco más para diagnosticar el problema antes de solucionarlo en el sitio.

2 Me gusta
2

Por favor, consulte:

3 Me gusta
3

¡Gracias, Daniela! Eso parece estar relacionado, pero no sé qué hacer al respecto ni cómo saber si un sitio debe obligar a obtener un nuevo certificado. Acabo de revisar un puñado de sitios y varios han renovado en los últimos días. Creo que en todos los casos el certificado había expirado (verifiqué de nuevo solo el que acabo de corregir), así que cuanto más lo pienso, menos creo que esto lo explique, a menos que algunos de estos sitios tuvieran una imagen base lo suficientemente antigua como para que fallara al intentar obtener un nuevo certificado porque esa imagen base tenía un certificado raíz desactualizado.

¡AH! Eso podría explicarlo. Otro sitio basado en Docker con Debian 9 que gestiono está dando errores al usar curl porque su imagen raíz es defectuosa.

2 Me gusta
4

¿Qué edad tiene la imagen base de Discourse en esos sitios? Por favor, comparte la etiqueta exacta de la imagen.

1 me gusta
5

Aquí está la lista de imágenes del sitio que acabo de actualizar (parece que es hora de ejecutar ./launcher cleanup). Así que supongo que fue 2.0.20210528-1735?


REPOSITORY                      TAG                 IMAGE ID            CREATED             SIZE
local_discourse/app             latest              dab985be22b0        17 minutos          2.84GB
discourse/base                  2.0.20210528-1735   482386bf57af        4 meses             2.36GB
<none>                          <none>              38be7702e0fc        5 meses             2.75GB
discourse/base                  2.0.20210415-1332   30e4746e631e        5 meses             2.23GB
discourse/base                  2.0.20201221-2020   c0704d4ce2b4        9 meses             2.11GB
discourse/base                  2.0.20201004-2310   b64c37d7ab06        12 meses            2.4GB
discourse/base                  2.0.20200429-2110   dc919e1dae2c        17 meses            2.13GB
local_discourse/mail-receiver   latest              711fb527de35        21 meses            128MB
discourse/base                  2.0.20191219-2109   4a99baef7044        21 meses            2.23GB
discourse/mail-receiver         release             06fe375fe2c8        22 meses            128MB
discourse/base                  2.0.20190901-2315   10f636afbeaf        2 años              2.29GB
discourse/base                  2.0.20190625-0946   2b3a5b47565f        2 años              1.93GB
discourse/base                  2.0.20190505-2322   ed87227f60d2        2 años              1.91GB
discourse/base                  2.0.20190321-0122   7db99586b5b5        2 años              1.97GB
discourse/mail-receiver         1.1.2               44042627246b        4 años              142MB

Aquí está la información del certificado del último certificado:

Emitido el    Sábado, 26 de junio de 2021 a las 19:31:09
Vence el      Viernes, 24 de septiembre de 2021 a las 19:31:08

Sin embargo, no parece afectar a todos ni a muchos sitios.

Correcto. Es solo la tercera vez que sucede y cada vez he priorizado volver a poner el sitio en línea. La próxima vez intentaré tomar mejores notas.

Véanse las llamadas a acme.sh en los registros, pero la salida se dirige a /dev/null.

1 me gusta
6

Ah, entonces la información se ha perdido aquí. Necesitaríamos saber cuál fue la fuente de la capa padre antigua de local_discourse/app.

Tengo un sitio de prueba con la última imagen y el certificado se renovó sin problemas la semana pasada.

2 Me gusta
7

Sí. Acabo de revisar media docena más y todos están bien también.

Supongo que debería haber etiquetado esto como #misterio.

1 me gusta
8

Tengo el mismo problema. Solo reconstruí, pero mi certificado de Let’s Encrypt para Discourse no se renueva. ¿Cómo podría verificar mi instalación?

1 me gusta
9

Solucionado: reconstruyendo y esperando

2 Me gusta
10

¡Ajá! Es ese error relacionado con el uso de ZeroSSL como CA predeterminada. Ahora recuerdo que eso fue un problema hace relativamente poco.

Aquí hay uno que aún no he reconstruido:

root@community:~# docker ps
CONTAINER ID   IMAGE                           COMMAND        CREATED        STATUS      PORTS                                      NAMES
9b97fe9b5c22   local_discourse/web_only        "/sbin/boot"   9 months ago   Up 5 days   0.0.0.0:80->80/tcp, 0.0.0.0:443->443/tcp   web_only
b3eae8a90cd7   local_discourse/mail-receiver   "/sbin/boot"   9 months ago   Up 5 days   0.0.0.0:25->25/tcp                         mail-receiver
5e90805e6d0d   local_discourse/data            "/sbin/boot"   9 months ago   Up 5 days                                              data
root@community:~# docker images
REPOSITORY                      TAG                 IMAGE ID       CREATED         SIZE
local_discourse/web_only        latest              ffd890f053e7   9 months ago    2.39GB
local_discourse/mail-receiver   latest              0d49c641ca25   9 months ago    128MB
<none>                          <none>              e53ed7c5db0f   9 months ago    2.34GB
local_discourse/data            latest              8c1539b06db4   9 months ago    2.15GB
discourse/base                  2.0.20201221-2020   c0704d4ce2b4   9 months ago    2.11GB
discourse/base                  2.0.20201208-1739   9da970f9c0bd   9 months ago    2.1GB
discourse/mail-receiver         release             06fe375fe2c8   22 months ago   128MB

Y cuando ejecuto el comando acme en el contenedor, obtengo esto:

root@community-web-only:/# "/shared/letsencrypt"/acme.sh --cron --home "/shared/letsencrypt" 
[Mon 04 Oct 2021 02:01:39 PM UTC] ===Iniciando cron===
[Mon 04 Oct 2021 02:01:39 PM UTC] ¡Ya está actualizado!
[Mon 04 Oct 2021 02:01:39 PM UTC] ¡Actualización exitosa!
[Mon 04 Oct 2021 02:01:39 PM UTC] Actualizado automáticamente a: 3.0.1
[Mon 04 Oct 2021 02:01:39 PM UTC] Renovar: 'community.thedaily9.in'
[Mon 04 Oct 2021 02:01:41 PM UTC] Usando CA: https://acme.zerossl.com/v2/DV90
[Mon 04 Oct 2021 02:01:41 PM UTC] No se encontraron credenciales EAB para ZeroSSL, vamos a obtener una
[Mon 04 Oct 2021 02:01:41 PM UTC] acme.sh está usando ZeroSSL como CA predeterminada ahora.
[Mon 04 Oct 2021 02:01:41 PM UTC] Por favor, actualice su cuenta con una dirección de correo electrónico primero.
[Mon 04 Oct 2021 02:01:41 PM UTC] acme.sh --register-account -m my@example.com
[Mon 04 Oct 2021 02:01:41 PM UTC] Ver: https://github.com/acmesh-official/acme.sh/wiki/ZeroSSL.com-CA
[Mon 04 Oct 2021 02:01:41 PM UTC] Por favor, consulte el archivo de registro para más detalles: /shared/letsencrypt/acme.sh.log
[Mon 04 Oct 2021 02:01:41 PM UTC] Error al renovar community.thedaily9.in.
[Mon 04 Oct 2021 02:01:41 PM UTC] Renovar: 'community.thedaily9.in'
[Mon 04 Oct 2021 02:01:43 PM UTC] Usando CA: https://acme.zerossl.com/v2/DV90
[Mon 04 Oct 2021 02:01:43 PM UTC] No se encontraron credenciales EAB para ZeroSSL, vamos a obtener una
[Mon 04 Oct 2021 02:01:43 PM UTC] acme.sh está usando ZeroSSL como CA predeterminada ahora.
[Mon 04 Oct 2021 02:01:43 PM UTC] Por favor, actualice su cuenta con una dirección de correo electrónico primero.
[Mon 04 Oct 2021 02:01:43 PM UTC] acme.sh --register-account -m my@example.com
[Mon 04 Oct 2021 02:01:43 PM UTC] Ver: https://github.com/acmesh-official/acme.sh/wiki/ZeroSSL.com-CA
[Mon 04 Oct 2021 02:01:43 PM UTC] Por favor, consulte el archivo de registro para más detalles: /shared/letsencrypt/acme.sh.log
[Mon 04 Oct 2021 02:01:43 PM UTC] Error al renovar community.thedaily9.in_ecc.
[Mon 04 Oct 2021 02:01:43 PM UTC] ===Fin de cron===
root@community-web-only:/#
2 Me gusta
11

Pienso que este commit resuelve el problema, y apuesto a que los sitios con este problema son anteriores a este commit.

1 me gusta
12

This topic was automatically closed 30 days after the last reply. New replies are no longer allowed.