Letsencrypt certificato fallimento nel rinnovo

Supporto
1

Penso che siano passati anni dall’ultima volta che ho visto un certificato Let’s Encrypt non rinnovarsi, ma nelle ultime una o due settimane ho avuto tre siti con certificati obsoleti. Una ricostruzione risolve il problema e finora non ho cercato indizi nei log.

La prossima volta farò un po’ di più per diagnosticare il problema prima di risolvere la situazione per il sito.

2 Mi Piace
2

Si prega di consultare:

3 Mi Piace
3

Grazie, Daniela! Sembra effettivamente che possa essere correlato, ma non sono sicuro di cosa fare al riguardo o di come capire se un sito debba forzare il rinnovo di un certificato. Ho appena controllato alcune decine di siti e diversi hanno rinnovato il certificato negli ultimi giorni. Credo che in tutti i casi il certificato fosse scaduto (ho verificato attentamente solo quello che ho appena corretto), quindi più ci penso, meno penso che questo spieghi il problema—a meno che alcuni di questi siti non avessero un’immagine base abbastanza vecchia da impedire il recupero di un nuovo certificato, perché l’immagine base conteneva un certificato radice obsoleto?

AH! Questo potrebbe spiegarlo. Un altro sito basato su Docker con Debian 9 che gestisco sta riscontrando errori con curl perché la sua immagine radice è problematica.

2 Mi Piace
4

Quanto è vecchio l’immagine base di Discourse su quei siti? Per favore, condividi l’esatto tag dell’immagine.

1 Mi Piace
5

Ecco l’elenco delle immagini del sito che ho appena aggiornato (sembra sia il momento di eseguire ./launcher cleanup!). Quindi immagino fosse 2.0.20210528-1735?


REPOSITORY                      TAG                 IMAGE ID            CREATED             SIZE
local_discourse/app             latest              dab985be22b0        17 minuti fa        2.84GB
discourse/base                  2.0.20210528-1735   482386bf57af        4 mesi fa           2.36GB
<none>                          <none>              38be7702e0fc        5 mesi fa           2.75GB
discourse/base                  2.0.20210415-1332   30e4746e631e        5 mesi fa           2.23GB
discourse/base                  2.0.20201221-2020   c0704d4ce2b4        9 mesi fa           2.11GB
discourse/base                  2.0.20201004-2310   b64c37d7ab06        12 mesi fa          2.4GB
discourse/base                  2.0.20200429-2110   dc919e1dae2c        17 mesi fa          2.13GB
local_discourse/mail-receiver   latest              711fb527de35        21 mesi fa          128MB
discourse/base                  2.0.20191219-2109   4a99baef7044        21 mesi fa          2.23GB
discourse/mail-receiver         release             06fe375fe2c8        22 mesi fa          128MB
discourse/base                  2.0.20190901-2315   10f636afbeaf        2 anni fa           2.29GB
discourse/base                  2.0.20190625-0946   2b3a5b47565f        2 anni fa           1.93GB
discourse/base                  2.0.20190505-2322   ed87227f60d2        2 anni fa           1.91GB
discourse/base                  2.0.20190321-0122   7db99586b5b5        2 anni fa           1.97GB
discourse/mail-receiver         1.1.2               44042627246b        4 anni fa           142MB

Ecco le informazioni sul certificato dell’ultimo certificato:

Emesso il	Sabato 26 giugno 2021 alle 19:31:09
Scade il	Venerdì 24 settembre 2021 alle 19:31:08

Non sembra essere tutti o molti i siti, però.

Esatto. È solo la terza volta che succede e ogni volta ho dato priorità al ripristino del sito. La prossima volta cercherò di prendere appunti migliori.

Vedi le chiamate a acme.sh nei log, ma l’output viene reindirizzato su /dev/null."

1 Mi Piace
6

Ah, quindi le informazioni sono perse qui. Dovremmo sapere qual era la fonte del livello padre del vecchio local_discourse/app.

Ho un sito di test con l’immagine più recente e il certificato è stato rinnovato la settimana scorsa senza problemi.

2 Mi Piace
7

Sì. E ho appena controllato altri sei siti e anche loro sono tutti a posto.

Credo che avrei dovuto aggiungere il tag #mistero.

1 Mi Piace
8

Ho lo stesso problema. Basta ricostruire, ma il mio certificato Let’s Encrypt di Discourse non si rinnova.
Come posso controllare la mia installazione?

1 Mi Piace
9

Risolto: ricostruzione in corso e in attesa

2 Mi Piace
10

Aha! È quell’errore legato all’uso di ZeroSSL come CA predefinita. Ora ricordo che era un problema in un passato semi-recente.

Ecco un esempio che non ho ancora ricostruito:

root@community:~# docker ps
CONTAINER ID   IMAGE                           COMMAND        CREATED        STATUS      PORTS                                      NAMES
9b97fe9b5c22   local_discourse/web_only        "/sbin/boot"   9 mesi fa      Up 5 giorni   0.0.0.0:80->80/tcp, 0.0.0.0:443->443/tcp   web_only
b3eae8a90cd7   local_discourse/mail-receiver   "/sbin/boot"   9 mesi fa      Up 5 giorni   0.0.0.0:25->25/tcp                         mail-receiver
5e90805e6d0d   local_discourse/data            "/sbin/boot"   9 mesi fa      Up 5 giorni                                              data
root@community:~# docker images
REPOSITORY                      TAG                 IMAGE ID       CREATED         SIZE
local_discourse/web_only        latest              ffd890f053e7   9 mesi fa       2.39GB
local_discourse/mail-receiver   latest              0d49c641ca25   9 mesi fa       128MB
<none>                          <none>              e53ed7c5db0f   9 mesi fa       2.34GB
local_discourse/data            latest              8c1539b06db4   9 mesi fa       2.15GB
discourse/base                  2.0.20201221-2020   c0704d4ce2b4   9 mesi fa       2.11GB
discourse/base                  2.0.20201208-1739   9da970f9c0bd   9 mesi fa       2.1GB
discourse/mail-receiver         release             06fe375fe2c8   22 mesi fa      128MB

E quando eseguo il comando acme nel contenitore, ottengo questo:

root@community-web-only:/# "/shared/letsencrypt"/acme.sh --cron --home "/shared/letsencrypt" 
[lun 04 ott 2021 14:01:39 UTC] ===Avvio di cron===
[lun 04 ott 2021 14:01:39 UTC] Già aggiornato!
[lun 04 ott 2021 14:01:39 UTC] Aggiornamento riuscito!
[lun 04 ott 2021 14:01:39 UTC] Aggiornato automaticamente a: 3.0.1
[lun 04 ott 2021 14:01:39 UTC] Rinnovo: 'community.thedaily9.in'
[lun 04 ott 2021 14:01:41 UTC] Utilizzo CA: https://acme.zerossl.com/v2/DV90
[lun 04 ott 2021 14:01:41 UTC] Nessun credenziale EAB trovato per ZeroSSL, ne otteniamo uno
[lun 04 ott 2021 14:01:41 UTC] acme.sh sta usando ZeroSSL come CA predefinita ora.
[lun 04 ott 2021 14:01:41 UTC] Aggiorna prima il tuo account con un indirizzo email.
[lun 04 ott 2021 14:01:41 UTC] acme.sh --register-account -m my@example.com
[lun 04 ott 2021 14:01:41 UTC] Vedi: https://github.com/acmesh-official/acme.sh/wiki/ZeroSSL.com-CA
[lun 04 ott 2021 14:01:41 UTC] Controlla il file di log per ulteriori dettagli: /shared/letsencrypt/acme.sh.log
[lun 04 ott 2021 14:01:41 UTC] Errore nel rinnovo di community.thedaily9.in.
[lun 04 ott 2021 14:01:41 UTC] Rinnovo: 'community.thedaily9.in'
[lun 04 ott 2021 14:01:43 UTC] Utilizzo CA: https://acme.zerossl.com/v2/DV90
[lun 04 ott 2021 14:01:43 UTC] Nessun credenziale EAB trovato per ZeroSSL, ne otteniamo uno
[lun 04 ott 2021 14:01:43 UTC] acme.sh sta usando ZeroSSL come CA predefinita ora.
[lun 04 ott 2021 14:01:43 UTC] Aggiorna prima il tuo account con un indirizzo email.
[lun 04 ott 2021 14:01:43 UTC] acme.sh --register-account -m my@example.com
[lun 04 ott 2021 14:01:43 UTC] Vedi: https://github.com/acmesh-official/acme.sh/wiki/ZeroSSL.com-CA
[lun 04 ott 2021 14:01:43 UTC] Controlla il file di log per ulteriori dettagli: /shared/letsencrypt/acme.sh.log
[lun 04 ott 2021 14:01:43 UTC] Errore nel rinnovo di community.thedaily9.in_ecc.
[lun 04 ott 2021 14:01:43 UTC] ===Fine cron===
root@community-web-only:/#
2 Mi Piace
11

Penso che questo commit risolva il problema, e scommetto che i siti con questo problema siano precedenti a questo commit.

1 Mi Piace
12

This topic was automatically closed 30 days after the last reply. New replies are no longer allowed.