1000 FAQ, 500 Anleitungen und Lernvideos. Hier gibt es nur Lösungen!
Ein Problem mit Let's Encrypt und Cloudflare beheben
Diese Anleitung erklärt, wie Sie ein Problem bei der Installation eines Let's Encrypt-Zertifikats beheben können, wenn Sie Cloudflare mit strengen Sicherheitsregeln verwenden – insbesondere solche, die nach Land oder IP-Adresse filtern.
SSL-/Geoblocking-Einstellungen anpassen
Wenn Sie eine Website mit Cloudflare schützen und gleichzeitig ein kostenloses SSL-Zertifikat von Let's Encrypt bei Infomaniak erhalten möchten, können technische Konflikte auftreten. Diese Probleme entstehen oft durch die Art und Weise, wie Cloudflare die Sicherheit und Netzwerkverbindungen verwaltet.
Let's Encrypt muss überprüfen, dass Sie der Eigentümer der Domain sind, für die Sie ein Zertifikat beantragen. Dazu sendet es eine sogenannte „Herausforderung“: eine spezifische HTTP-Anfrage an Ihre Website, an eine Adresse wie http://domain.xyz/.well-known/acme-challenge/.... Wenn diese Überprüfung fehlschlägt, kann das Zertifikat nicht ausgestellt oder erneuert werden.
Das Problem ist, dass bestimmte auf Cloudflare aktivierte Schutzmaßnahmen diese Überprüfungen blockieren können:
- Sicherheitsregeln (WAF), zum Beispiel, wenn Sie bestimmte Regionen der Welt (wie die USA oder die Schweiz) blockieren.
- Benutzerdefinierte Regeln, wie die IP-Filterung.
- Die geografische Sperrung (Geoblocking), die bestimmten Ländern den Zugriff auf Ihre Website verhindert.
Allerdings überprüft Let's Encrypt nicht mehr nur von einem einzigen Standort aus. Seit einiger Zeit – und noch mehr seit März 2024 – führt es seine Überprüfungen gleichzeitig aus mehreren Ländern durch – einschließlich neuer wie Schweden oder Singapur. Ergebnis: Wenn eines dieser Länder durch Ihre Cloudflare-Einstellungen blockiert wird, kann die Zertifikatsanfrage fehlschlagen, selbst wenn alles andere korrekt konfiguriert ist.
Schlimmer noch: Selbst wenn Sie versuchen, eine Ausnahme nur für die Challenge-Adresse (.well-known/acme-challenge) zu machen, funktioniert dies möglicherweise nicht mit bestimmten Cloudflare-Regeln. Tatsächlich werden die Sperrregeln nach Ländern oder IP-Adressen vor jeder URL-Pfad-basierten Ausnahme angewendet.
Den SSL/TLS-Modus in Cloudflare anpassen
Cloudflare bietet verschiedene SSL-Verschlüsselungsstufen an. Wenn Sie Probleme mit dem Let's Encrypt-Zertifikat haben, wechseln Sie in den Modus "Full" oder "Full (strict)" anstelle von "Strict allein". Diese Modi ermöglichen die Verwendung eines selbstsignierten oder vorübergehend abgelaufenen Zertifikats, bis das echte Zertifikat erneuert wird.
Benutzerdefinierte Regeln verwenden (für Fortgeschrittene)
Es wird empfohlen, keine "IP Access Rules" zu verwenden, die nicht umgangen werden können, sondern benutzerdefinierte Regeln mit GeoIP oder einer anderen gewünschten Regel zu erstellen und insbesondere den Pfad "/.well-known/acme-challenge/" ohne Zugriffsbeschränkungen zuzulassen, damit die Let's Encrypt-Herausforderungen trotz der bestehenden Einschränkungen durchgehen können.
Geoblocking vorübergehend deaktivieren
Wenn Sie den Zugriff auf Ihre Website aus bestimmten Ländern blockieren (z.B. um Angriffe zu vermeiden), denken Sie daran, diese Einschränkung vorübergehend aufzuheben, damit Let's Encrypt die Überprüfung durchführen kann. Sobald das Zertifikat ausgestellt oder erneuert wurde, können Sie die Schutzmaßnahmen wieder aktivieren.