Dieser Leitfaden erklärt, wie Sie ein Problem bei der Installation eines SSL-Zertifikats (Let's Encrypt oder Sectigo) beheben können, wenn Sie Cloudflare mit strengen Sicherheitsregeln wie Länder- oder IP-Adressen-Filterung verwenden.

SSL-/Geoblocking-Einstellungen anpassen

Wenn ein SSL-Zertifikat über Infomaniak (kostenloses Let's Encrypt oder Sectigo) angefordert wird, muss die Zertifizierungsstelle überprüfen, dass Sie der rechtmäßige Besitzer der Domain sind. Diese Überprüfung kann über HTTP (über spezielle Dateien, die auf Ihrer Website platziert werden), DNS oder E-Mail erfolgen:

• Let's Encrypt verwendet /.well-known/acme-challenge/.
• Sectigo verwendet in der Regel /.well-known/pki-validation/ (oder DNS/E-Mail, je nach gewählter Option).

Wenn diese Überprüfungen fehlschlagen (z.B. weil Cloudflare den Zugriff blockiert), kann das Zertifikat nicht ausgestellt oder erneuert werden. Let's Encrypt überprüft jedoch nicht mehr nur von einem einzigen Ort aus. Seit einiger Zeit (und noch mehr seit März 2024) führt es seine Überprüfungen gleichzeitig aus mehreren Ländern aus – einschließlich neuer Länder wie Schweden oder Singapur. Ergebnis: Wenn eines dieser Länder durch Ihre Cloudflare-Einstellungen blockiert wird, kann die Zertifikatsanfrage fehlschlagen, selbst wenn alles andere korrekt konfiguriert ist.

Schlimmer noch: Selbst wenn Sie versuchen, eine Ausnahme nur für die Adresse der Herausforderung (.well-known/acme-challenge) zu machen, funktioniert dies möglicherweise nicht mit bestimmten Cloudflare-Regeln. Tatsächlich werden die Sperrregeln für Länder oder IP-Adressen vor jeder Ausnahme basierend auf URL-Pfaden angewendet.

SSL/TLS-Modus anpassen

In Cloudflare verwenden Sie den Modus Full oder Full (strict). Diese Modi tolerieren vorübergehend ein abgelaufenes oder selbstsigniertes Zertifikat, bis die Validierung abgeschlossen ist:

Validierungspfade freigeben

Vermeiden Sie blockierende "IP Access Rules" und bevorzugen Sie "Custom Rules", die die Pfade ohne Einschränkungen freigeben:

• /.well-known/acme-challenge/ (Let's Encrypt)
• /.well-known/pki-validation/ (Sectigo)

Geoblocking vorübergehend deaktivieren

Wenn notwendig, deaktivieren Sie vorübergehend die geografische oder IP-Sperre, bis die Validierung abgeschlossen ist, und aktivieren Sie dann Ihre Schutzmaßnahmen nach der Ausstellung oder Erneuerung des Zertifikats.