Letsencrypt funktioniert derzeit bei All-inkl.com nicht mehr ! (Frohes neues Jahr)

Frohes neues Jahr !

Seit heute Vormittag versuche ich zu identifizieren, warum meine Zertifikate nicht wie erwartet automatisch erneuert wurden.

Nach einigem Rum-gesuche habe ich es endlich herausgefunden…

An English Version can be found here (click)

Das Problem war erst mal nicht zu klar zu erkennen. In den Logs und beim Starten der Skripte bekam ich folgenden Fehler:

Updating letsencrypt and virtual environment dependencies…….
Running with virtualenv: /root/.local/share/letsencrypt/bin/letsencrypt certonly –agree-tos –renew-by-default –text –rsa-key-size 4096 –webroot –webroot-path /mnt/ftp.domain.de/domain.de/subdomain.domain.de –email letsencrypt@domain.de -d subdomain.domain.de
Failed authorization procedure. subdomain.domain.de (http-01): urn:acme:error:unauthorized :: The client lacks sufficient authorization :: Error parsing key authorization file: Invalid key authorization: 1 parts
IMPORTANT NOTES:
– The following ‚urn:acme:error:unauthorized‘ errors were reported by
the server:
Domains: subdomain.domain.de
Error: The client lacks sufficient authorization

Nach einigem Probieren habe ich die Hilfe in der Comunity gesucht (klick).

Es stellte sich heraus, das mein Webserver immer eine leere Seite ausliefert, sobald ich irgendeine URL aufrufe die in den .well-known/acme-challenge/ ordner verweiset. Dabei war es auch egal, ob es die URL überhaupt gab.

Das passiert übrigens derzeit bei allen All-inkl.com gehosteten Domains.

Ich habe dann den Support angeschrieben und folgende Antwort bekommen.

vielen Dank für Ihre Anfrage.

Da wir selbst eine KAS-Untersützung von Letsencrypt einbinden möchten, ist ein Zugriff auf das genannte Verzeichnis nicht möglich. Auf Wunsch können wir Ihnen jedoch ein Letsencrypt-Zertifikat erzeugen. Nennen Sie uns dazu die Domain.

Bei weiteren Fragen stehen wir Ihnen gern zur Verfügung.

Die Tage hatte ich schon die Information bekommen, dass Zertifikate von Letsencrypt erst nach der Beta zur Verfügung stehen

vielen Dank für Ihre E-Mail.

Letsencrypt befindet sich derzeit in Planung. Wann dies umgesetzt wird, kann ich Ihnen im Moment noch nicht mitteilen. Während der Beta Phase wird es keine Umsetzung geben.

Das ist extrem ärgerlich derzeit. Mal schauen wie schnell sich das Ganze löst !

Update 2016-01-08

Ich habe gestern ein ganzen Schwung (sub) Domains beim Support einrichten lassen, da das StartSSL Zertifikat heute abgelaufen wäre. Das Ganze dauerte weniger als 10 Minuten (inklusive Mail schreiben). Sicher ist das ärgerlich und ich muss daran denken ende März die Zertifikate zu erneuern, aber mal ganz im ernst: Das Einrichten einer Automatik dauert länger. Zudem muss man auch diese regelmäßig überprüfen !

Update 2016-03-23: Seit kurzem ist nun ein vollständiger Let’s Encrypt Support vorhanden (klick)

5 Kommentare

  • HI ich kenne diesen Fehler und mit einem kurzfristigen deaktivieren der .htaccess sollte der renew passen. danach kann man ja die .htaccess wieder aktivieren

    • Nathan News

      Kannst du kurz erklären, was du damit meinst ?
      Ich habe bereits versucht ohne .htaccess das Problem zu umgehen, aber selbst dann habe ich nur eine leere Seite bekommen.

  • Ich kann’s bestätigen, dass es nicht geht. Hab einen Managed Server bei denen, und kanns noch gar nicht glauben, dass die mir den so kaputt-konfiguriert haben.
    Mir ist heute ein StartSSL Zertifikat ausgelaufen, und hätte es gerne eben durch ein LetsEncrypt Zertifikat ersetzt – nur geht das nicht. Alle Arbeit zum Aufsetzen einer virtuellen Maschine mit Scripten, welche das Erneuern des Zertifikats automatisieren, umsonst – da all-inkl.com im letzten Schritt einen riesen Stein in den Weg legt.

    Das mit 10 Minuten für das Zertifikat stimmt nicht, am Telefon wurde mir gesagt die Technik könne das schon von Hand einrichten, aber die sei frühestens erst wieder am Montag da – also mindestens zwei Tage warten. Na dann bekommen die mal ne Liste mit Domainnamen… sind mehr als ne handvoll.

    • Nathan News

      Versuch mal das einfach an den Support zu schicken. Gut ich habe es unter der Woche gemacht (Morgens recht früh) aber das ging recht schnell. Technischen Support hatte ich eigentlich auch am WE immer bekommen, allerdings habe ich die Jungs noch nie angerufen. Entweder über das interne „Mail Senden“ Ticketsystem oder über die Email Adresse.

  • Daniele Uliana

    Heute gab all-inkl.com folgende News heraus:

    „Alle Tarife mit SSL-Erweiterung unterstützen ab sofort die Einbindung von kostenlosen „Let’s Encrypt“-Zertifikaten. Hierfür gibt es im Punkt „Domain bzw. Subdomain bearbeiten“ unter „SSL Schutz: bearbeiten“ einen weiteren Menüpunkt „Let’s Encrypt“. Dort lässt sich mit einem einzigen Klick das Zertifikat für die jeweilige Sub-/Domain beziehen, welches vom System etwa 30 Tage vor dem Ablaufen automatisch erneuert wird. Bitte beachten Sie, dass sich das „Let’s encrypt“-Projekt derzeit noch in der offenen Testphase befindet.“

    Schöne Grüße
    Daniele