1000 FAQ, 500 tutorial e video esplicativi. Qui ci sono delle soluzioni!
Risolvere un problema Let's Encrypt e Cloudflare
Questa guida spiega come risolvere un problema di installazione di certificato Let's Encrypt se si utilizza Cloudflare con regole di sicurezza rigide – soprattutto quelle che filtrano per paese o per indirizzo IP.
Adattare le impostazioni SSL/geoblocking
Quando proteggi un sito web con Cloudflare e desideri contemporaneamente ottenere un certificato SSL gratuito Let's Encrypt da Infomaniak, possono verificarsi conflitti tecnici. Questi problemi derivano spesso dal modo in cui Cloudflare gestisce la sicurezza e le connessioni di rete.
Let's Encrypt deve verificare che tu sia il proprietario del dominio per il quale richiedi un certificato. A tal fine, invia una richiesta HTTP specifica al tuo sito, a un indirizzo del tipo http://domain.xyz/.well-known/acme-challenge/.... Se questa verifica fallisce, il certificato non può essere rilasciato o rinnovato.
Il problema è che alcune protezioni attivate su Cloudflare possono bloccare queste verifiche:
- Regole di sicurezza (WAF), ad esempio se bloccate alcune regioni del mondo (come gli Stati Uniti o la Svizzera).
- Regole personalizzate, come il filtraggio degli indirizzi IP.
- Il blocco geografico (geoblocking), che impedisce a certi paesi di accedere al tuo sito.
Ormai, Let's Encrypt non verifica più solo da un unico luogo. Da un po' di tempo (e ancora di più da marzo 2024), effettua le sue verifiche da diversi paesi contemporaneamente – inclusi nuovi come la Svezia o Singapore. Risultato: se uno di questi paesi è bloccato dalle tue impostazioni Cloudflare, la richiesta del certificato può fallire, anche se tutto il resto è configurato correttamente.
Ancora peggio: anche se provate a fare un'eccezione solo per l'indirizzo della sfida (.well-known/acme-challenge), potrebbe non funzionare con alcune regole di Cloudflare. Infatti, le regole di blocco per paese o per IP vengono applicate prima di qualsiasi eccezione basata sui percorsi URL.
Regolare la modalità SSL/TLS in Cloudflare
Cloudflare offre diversi livelli di crittografia SSL. Se hai un problema con il certificato Let's Encrypt, passa alla modalità "Full" o "Full (strict)" invece che "Strict solo". Questi modi permettono di utilizzare un certificato auto-firmato o scaduto temporaneamente, in attesa che il vero certificato venga rinnovato.
Utilizzare regole personalizzate (utenti avanzati)
È consigliabile non utilizzare le "IP Access Rules" che non possono essere aggirate, ma impostare delle "Custom rules" con geoip o qualsiasi altra regola desiderata, e soprattutto autorizzando il percorso "/.well-known/acme-challenge/" senza restrizioni di accesso affinché i challenge Let's Encrypt possano passare nonostante le restrizioni in atto.
Disattivare temporaneamente il blocco geografico
Se bloccate l'accesso al tuo sito da alcuni paesi (ad esempio per evitare attacchi), considera di rimuovere temporaneamente questa restrizione fino a quando Let's Encrypt può completare la verifica. Una volta che il certificato è stato rilasciato o rinnovato, puoi riattivare le protezioni.