Résoudre un problème Let's Encrypt et Cloudflare

Ce guide explique comment résoudre un problème d'installation de certificat Let's Encrypt si vous utilisez Cloudflare avec des règles de sécurité strictes – surtout celles qui filtrent par pays ou par adresse IP.

Adapter les réglages SSL / geoblocking

Lorsque vous protégez un site Web avec Cloudflare, et que vous souhaitez en même temps obtenir un certificat SSL gratuit Let's Encrypt auprès d'Infomaniak, il peut y avoir des conflits techniques. Ces problèmes proviennent souvent de la manière dont Cloudflare gère la sécurité et les connexions réseau.

Let's Encrypt a besoin de vérifier que vous êtes bien le propriétaire du nom de domaine pour lequel vous demandez un certificat. Pour cela, il envoie ce qu’on appelle un « challenge » : une requête HTTP spécifique vers votre site, à une adresse du type http://domain.xyz/.well-known/acme-challenge/.... Si cette vérification échoue, le certificat ne peut pas être délivré ou renouvelé.

Le souci, c’est que certaines protections activées sur Cloudflare peuvent bloquer ces vérifications :

• Des règles de sécurité (WAF), par exemple si vous bloquez certaines régions du monde (comme les États-Unis ou la Suisse).
• Des règles personnalisées, comme le filtrage des adresses IP.
• Le blocage géographique (geoblocking), qui empêche certains pays d’accéder à votre site.

Or, Let's Encrypt ne vérifie plus uniquement depuis un seul endroit. Depuis un certain temps (et plus encore depuis mars 2024), il effectue ses vérifications depuis plusieurs pays en même temps – y compris des nouveaux comme la Suède ou Singapour. Résultat : si l’un de ces pays est bloqué par vos réglages Cloudflare, la demande de certificat peut échouer, même si tout le reste est correctement configuré.

Pire encore : même si vous essayez de faire une exception uniquement pour l’adresse du challenge (.well-known/acme-challenge), cela ne fonctionne pas forcément avec certaines règles Cloudflare. En effet, les règles de blocage par pays ou par IP sont appliquées avant toute exception basée sur des chemins d’URL.

Ajuster le mode SSL/TLS dans Cloudflare

Cloudflare propose différents niveaux de chiffrement SSL. Si vous avez un souci avec le certificat Let's Encrypt, passez en mode "Full" ou "Full (strict)" plutôt que "Strict seul". Ces modes permettent d’utiliser un certificat auto-signé ou expiré temporairement, en attendant que le vrai certificat soit renouvelé.

Utiliser des règles personnnalisées (utilisateurs avancés)

Il est recommandé de ne pas utiliser de "IP Access Rules" qui ne peuvent être outrepassées, mais mettre en place des "Custom rules" avec la geoip ou toute autre règle souhaitée, et surtout en autorisant le path "/.well-known/acme-challenge/" sans restriction d'accès pour que les challenges Let's Encrypt passent malgré la restriction en place.

Désactiver temporairement le blocage géographique

Si vous bloquez l’accès à votre site depuis certains pays (par exemple pour éviter les attaques), pensez à lever cette restriction temporairement le temps que Let's Encrypt puisse faire sa vérification. Une fois le certificat délivré ou renouvelé, vous pouvez réactiver les protections.