Deze handleiding legt uit hoe u een probleem kunt oplossen bij de installatie van een SSL-certificaat (Let's Encrypt of Sectigo), wanneer u Cloudflare gebruikt met strenge beveiligingsregels, zoals land- of IP-adresfiltering.

SSL-/geoblokkeringsinstellingen aanpassen

Wanneer een SSL-certificaat via Infomaniak (gratis Let's Encrypt of Sectigo) wordt aangevraagd, moet de certificeringsinstantie verifiëren of u de rechtmatige eigenaar van het domein bent. Deze verificatie kan via HTTP (via speciale bestanden die op uw website worden geplaatst), DNS of e-mail plaatsvinden:

• Let's Encrypt gebruikt /.well-known/acme-challenge/.
• Sectigo gebruikt doorgaans /.well-known/pki-validation/ (of DNS/e-mail, afhankelijk van de gekozen optie).

Als deze verificaties mislukken (bijvoorbeeld omdat Cloudflare de toegang blokkeert), kan het certificaat niet worden uitgegeven of verlengd. Let's Encrypt voert echter niet meer alleen verificaties uit vanaf één enkele locatie. Sinds enige tijd (en nog meer sinds maart 2024) voert het zijn verificaties tegelijkertijd uit vanuit meerdere landen – waaronder nieuwe landen zoals Zweden of Singapore. Het resultaat: als een van deze landen door uw Cloudflare-instellingen wordt geblokkeerd, kan de certificaataanvraag mislukken, zelfs als alles anders correct is geconfigureerd.

Nog erger: zelfs als u probeert een uitzondering te maken voor alleen het adres van de uitdaging (.well-known/acme-challenge), werkt dit mogelijk niet met bepaalde Cloudflare-regels. In feite worden de blokkeringsregels voor landen of IP-adressen vóór elke uitzondering toegepast op basis van URL-paden.

SSL/TLS-modus aanpassen

Bij Cloudflare gebruikt u de modus Full of Full (strict). Deze modi tolereren tijdelijk een verlopen of zelfondertekend certificaat, totdat de validatie is voltooid:

Validatiepaden vrijgeven

Vermijd blokkerende "IP Access Rules" en geef de voorkeur aan "Custom Rules", die de paden zonder beperkingen vrijgeven:

• /.well-known/acme-challenge/ (Let's Encrypt)
• /.well-known/pki-validation/ (Sectigo)

Geografische blokkade tijdelijk uitschakelen

Indien nodig, schakelt u tijdelijk de geografische of IP-blokkade uit, totdat de validatie is voltooid, en activeert u vervolgens uw beveiligingsmaatregelen na de uitgifte of vernieuwing van het certificaat.