Dieser Leitfaden erklärt, wie Sie ein Problem bei der Installation eines SSL-Zertifikats (Let's Encrypt oder Sectigo) beheben, wenn Sie Cloudflare mit strengen Sicherheitsregeln wie Länderfilterung oder IP-Adressen verwenden.

SSL-/Geoblocking-Einstellungen anpassen

Wenn ein SSL-Zertifikat über Infomaniak (kostenloses Let's Encrypt oder Sectigo) angefordert wird, muss die Zertifizierungsstelle überprüfen, ob Sie tatsächlich Inhaber der Domain sind. Diese Überprüfung kann über HTTP (über spezielle Dateien, die auf Ihrer Website platziert werden), DNS oder E-Mail erfolgen:

• Let's Encrypt verwendet /.well-known/acme-challenge/.
• Sectigo verwendet in der Regel /.well-known/pki-validation/ (oder DNS/E-Mail je nach gewählter Option).

Wenn diese Überprüfungen fehlschlagen (z. B. weil Cloudflare den Zugriff blockiert), kann das Zertifikat nicht ausgestellt oder erneuert werden. Let's Encrypt überprüft jedoch nicht mehr nur von einem einzigen Ort aus. Seit einiger Zeit (und noch mehr seit März 2024) führt es seine Überprüfungen gleichzeitig aus mehreren Ländern aus – einschließlich neuer wie Schweden oder Singapur. Ergebnis: Wenn eines dieser Länder durch Ihre Cloudflare-Einstellungen blockiert wird, kann die Zertifikatsanforderung fehlschlagen, selbst wenn alles andere korrekt konfiguriert ist.

Schlimmer noch: Selbst wenn Sie versuchen, eine Ausnahme nur für die Adresse der Herausforderung (.well-known/acme-challenge) zu erstellen, funktioniert dies möglicherweise nicht mit bestimmten Cloudflare-Regeln. Tatsächlich werden die Blockierungsregeln nach Ländern oder IP-Adressen vor jeder Ausnahme basierend auf URL-Pfaden angewendet.

SSL/TLS-Modus anpassen

In Cloudflare verwenden Sie den Modus Full oder Full (strict). Diese Modi tolerieren vorübergehend ein abgelaufenes oder selbstsigniertes Zertifikat, bis die Validierung abgeschlossen ist:

Validierungspfade zulassen

Vermeiden Sie blockierende "IP Access Rules" und bevorzugen Sie "Custom Rules", die die Pfade ohne Einschränkungen zulassen:

• /.well-known/acme-challenge/ (Let's Encrypt)
• /.well-known/pki-validation/ (Sectigo)

Geoblocking vorübergehend deaktivieren

Wenn notwendig, deaktivieren Sie vorübergehend die geografische oder IP-Blockierung, bis die Validierung abgeschlossen ist, und aktivieren Sie dann Ihre Schutzmaßnahmen nach der Ausstellung oder Erneuerung des Zertifikats.