Fehlersuche bei Let's Encrypt/Certbot: Häufige Fehler und Lösungen

Es treten jedoch häufig Probleme auf, wenn Sie DNS-Einträge ändern oder die Unterstützung für SSL/HTTPS-Zertifikate für einen Webserver über einen Zertifikatsanbieter wie Let's Encrypt aktivieren müssen.

In diesem Artikel gehen wir auf häufige Probleme ein, die bei der Konfiguration Ihres Servers auftreten können, und zeigen Wege zur Fehlerbehebung auf.

Navigieren in der Welt der DNS-Einträge​​

Domains sind ein wesentlicher Bestandteil der Webnavigation. Ohne Domänen wäre es schwierig, Websites zu finden und zu identifizieren.

• DNS-Datensätze (Domain Name System) sind das, woraus DNS besteht. Sie speichern die Informationen über eine Domäne und ermöglichen es Ihnen, dem Domäneninhaber, die Daten zu kontrollieren, die DNS-Einträge speichern (Sie können angeben, welche Inhalte Sie unter einer Domäne speichern). Wenn Sie mehrere Domains haben, haben Sie für diese separate DNS-Einträge.
• Ein Eintrag ist einer der häufigsten DNS-Einträge, der eine IP-Adresse Ihres Servers bezeichnet. Eine Art von DNS-Eintrag ermöglicht das Durchsuchen einer Website über die Domäne. Selbst wenn die IP-Adresse der Website unbekannt ist, kann eine Website über A-Einträge aufgerufen werden. A-Einträge können auch für eine Blackhole-Liste im DNS verwendet werden; damit können Sie unerwünschte Inhalte wie Spam-Mails blockieren.
• AAAA-DNS-Einträge ermöglichen die Zuweisung von IPv6-Adressen an Hosts (Computer oder Geräte) im Internet. IPv6 ist ein Kommunikationsprotokoll, mit dem Computer im Internet lokalisiert und identifiziert werden können. AAAA-Datensätze sind Teil von IPv6 und ermöglichen die Zuweisung einer Adresse an einen Host oder eines Hosts an eine bestimmte Adresse. Netzwerkadministratoren verwenden diesen Typ von DNS-Datensätzen häufig, um ihre Geräte mit benutzerdefinierten Adressen zu verknüpfen. AAAA ist den A-Datensätzen ähnlich. Er bietet jedoch aktuellere Daten zu Adressen. Wenn also eine Website bereits das IPv6-Protokoll verwendet, müssen Sie AAAA-DNS-Einträge verwenden.
• Nameserver-Einträge werden verwendet, um festzustellen, zu welchem DNS-Server Ihre Domäne gehört. Sie teilen den Benutzern mit, auf welches DNS sie zugreifen müssen, um eine IP-Adresse für Ihre Domäne zu finden.
• CHAME-Einträge erstellen ein alternatives Verzeichnis für Ihre Domäne, so dass ein Benutzer, der beispielsweise Ihren Domänennamen in der falschen Reihenfolge eingibt, trotzdem zu Ihrer Website weitergeleitet werden kann.
• Mail-Exchange-Datensätze enthalten Daten zu Mail-Servern für den Empfang von Nachrichten, die an Ihre Domäne gesendet werden. Sie verweisen auch auf A- oder AAAA-DNS-Datensätze, die auf eine Adresse verweisen, an der Ihr Mail-Server gehostet wird.
• Und schließlich können Sie mit TXT-Einträgen zusätzliche Informationen über Ihre Domäne im DNS hinzufügen.

DNS-Einträge sind unerlässlich, um eine Domäne mit einem Hosting-Server zu verbinden und so sicherzustellen, dass Ihre Website funktioniert.

Es gibt Optionen zum Erstellen, Bearbeiten oder Löschen von DNS-Einträgen. Wir werden sehen, was das bedeutet.

Die Kunst des Aktualisierens oder Migrierens von DNS-Einträgen beherrschen

DNS-Einträge können also aktualisiert und migriert werden. Beide Vorgänge nehmen einige Zeit in Anspruch, je nachdem, welche Einträge Sie ändern möchten. Wenn Sie DNS-Einträge für eine Domäne aktualisieren, kann es bis zu 48 Stunden dauern, bis die Änderungen übernommen werden.

Die Wartezeit wird DNS-Propagation genannt. DNS-Propagation bedeutet, dass ISP-Knoten (Internet Service Provider) ihre Datenbank mit den neuen DNS-Informationen zu Ihrer Domäne aktualisieren.

Einige Benutzer werden während der DNS-Propagierung auf Ihren alten Server umgeleitet, während andere auf Ihre Website auf einem neuen Server zugreifen können, wenn Sie sich für die Migration Ihrer DNS-Einträge entscheiden.

Die Dauer der DNS-Weiterleitung hängt von der TTL (Time-To-Live), Ihrem Internetanbieter und Ihrem Standort ab und lässt sich daher nur schwer vorhersagen. Sie können jedoch Online-DNS-Checker verwenden, um zu sehen, ob sich die DNS-Eintragsdaten über mehrere zufällig ausgewählte Server weltweit verbreitet haben. Mit Hilfe eines DNS-Checkers können Sie feststellen, ob sich Ihre Website in Übereinstimmung mit den Änderungen auf allen Servern der Welt verbreitet hat.

In einigen Fällen kann es sein, dass Ihr ISP langsamer aktualisiert als Ihr Remote-Server. Um zu prüfen, ob dies die Ursache des Fehlers ist, können Sie den Befehl "nslookup" verwenden, um zu sehen, ob die lokalen Aktualisierungsergebnisse mit den globalen DNS-Auflösern übereinstimmen. Wenn in dieser Hinsicht keine Fehler auftreten, Ihre Ergebnisse aber trotzdem nicht übereinstimmen, könnte der Fehler in einem längeren TTL-Wert liegen.

Der TTL-Wert sollte neben den A-Einträgen angezeigt werden und kann angepasst werden. Wenn Sie Änderungen an den DNS-Einträgen schneller übernehmen möchten, können Sie den TTL-Wert herabsetzen; dies könnte helfen, den Fehler zu beheben.

Browser-Fehler entschlüsseln und HTTPS-Konfigurationspannen enträtseln

Lassen Sie uns die Grundlagen besprechen.

Das HTTPS-Protokoll verwendet Verschlüsselung für die sichere Kommunikation zwischen Webbrowsern und Webservern. Das "S" in HTTPS steht für "sicher" und wird durch TLS- oder SSL-Verschlüsselung geregelt. Durch LetsEncrypt und seine zugänglichen SSL/HTTPS-Zertifikate konnten viele Leistungsprobleme vermieden werden.

Eine Website, die keine sichere Verbindung herstellen kann, hat in der Regel Fehler bei der HTTPS-Konfiguration, nicht unbedingt bei HTTPS selbst. Wie auch immer, wenn die Fehler nicht behoben sind, erhalten die Benutzer beim Versuch, auf Ihre Website zuzugreifen, Fehlermeldungen.

Wenn Sie eine Anwendung für ein HTTPS-Gateway wie Nginx Reverse Proxy haben und das Gateway falsch konfiguriert ist, können Fehler wie der 502 "Bad Gateway"-Fehler auftreten.

Auch wenn Sie kein kommerzielles HTTPS-Zertifikat, sondern ein LetsEncrypt-Zertifikat verwenden, können Fehler auftreten, da die Zertifikate von LetsEncrypt nach einiger Zeit erneuert werden müssen. In diesem Fall erhalten Sie eine Fehlermeldung, die lautet: "Ihre Verbindung ist nicht privat", wobei der Fehler als "NET::ERR_CERT_DATE_INVALID" beschrieben wird. Das bedeutet, dass Sie Ihr LetsEncrypt-Zertifikat aktualisieren sollten.

Normalerweise erhalten Sie bei der Erstkonfiguration von LetsEncrypt die Option, Ihr Zertifikat automatisch zu erneuern. Alternativ dazu sendet LetsEncrypt eine Benachrichtigung an Ihre E-Mail, dass Ihr Zertifikat bald abläuft. Wenn aus irgendeinem Grund beide Wege nicht funktionieren, können Sie Ihr Zertifikat manuell erneuern: "sudo certbot renew --nginx -d example.com -d www.example.com".

Sie müssen Ihren Webserver neu starten, um den Fehler im Zusammenhang mit einem abgelaufenen Zertifikat zu beheben. Wenn Sie möchten, dass dieser Vorgang automatisch ausgeführt wird, können Sie den Befehl "systemctl restart nginx" verwenden, nachdem Sie Ihr Zertifikat manuell erneuert haben.

Lösung des Problems der gemischten Inhalte

Der Fehler für gemischte Inhalte tritt auf, wenn die Website, auf die ein Benutzer zuzugreifen versucht, gleichzeitig die Protokolle HTTPS und HTTP lädt. HTTPS und HTTP sind von Natur aus unterschiedliche Protokolle. Wenn Sie also zu HTTPS wechseln, aber nicht alle Ihre Daten auf HTTPS übertragen, und HTTP einen Teil Ihrer Inhalte regelt, erhalten Sie einen Mixed-Content-Fehler.

Die meisten Browser zeigen eine Fehlermeldung wie "Ihre Verbindung zu dieser Website ist nicht vollständig sicher" an.

Die meisten Fehler bei gemischten Inhalten in einem Browser treten auf, sobald ein Benutzer von HTTP zu HTTPS wechselt. Es kann jedoch noch weitere Ursachen für dieses Problem geben, darunter:

• Ihr grafischer Inhalt (Video oder Bilder) ist nicht in HTTPS.
• Sie haben ein Plugin oder einen neuen Dienst zu Ihrer Website hinzugefügt, der nicht mit HTTPS kompatibel ist.

Es kann schwierig sein, die Ursache eines Browser-Fehlers zu finden, bis Sie mit der Fehlersuche beginnen.

Die wichtigsten Schritte bei der Behebung von Browserfehlern mit gemischten Inhalten sind die Installation von SSL-Zertifikaten und die Umstellung von HTTP auf HTTPS für die gesamte Website.

Wenn Sie z. B. einen Nginx-Proxy und eine Anwendung für Ihren Webserver verwenden, können Sie zusätzliche SSL-Zertifikatkonfigurationen zu einem Standortabschnitt hinzufügen.

Wenn Sie keinen Nginx-Proxy und keine Anwendung für Ihren Webserver verwenden, prüfen Sie, ob der HTTP-Inhalt über HTTPS verfügbar ist. Sie können "http" durch "https" am Anfang der URL Ihres Inhalts ersetzen. Anschließend können Sie die URLs in Ihrer Datenbank aktualisieren.

Ausführen des Certbot-Skripts von Let's Encrypt

Das Certbot-Skript von LetsEncrypt kann aus einer Vielzahl von Gründen interne Fehler aufweisen.

Manchmal reagiert das Certbot-Skript nicht, was dazu führen kann, dass Ihre Sitzung ausläuft und die Firewall den Datenverkehr abbricht.

Wenn das Problem mit der Firewall zusammenhängt, erhalten Sie die folgende Meldung: "certbot --nginx -d example.com -d www.example.com".

Wenn dies der Fall ist, stellen Sie sicher, dass Sie die Ports 80 und 443 öffnen können, bevor Sie Certbot starten, und dass keine Firewall diese Ports blockiert. Wenn Sie eine Uncomplicated Firewall mit Nginx verwenden, versuchen Sie die "Nginx Full"-Konfiguration über "sudo ufw allow 'Nginx Full'".

Nachdem Sie die Einstellungen in Ihrer Firewall geändert haben, starten Sie Certbot neu. Wenn Sie beim Neustart von Certbot die Meldung "zu viele fehlgeschlagene Autorisierungen in letzter Zeit" erhalten, müssen Sie einige Zeit warten, um auf Certbot zugreifen zu können.

Wenn andere Certbot-Fehler auftreten, die nicht den DNS oder die Verbindung betreffen, sollten Sie eine Neuinstallation von Certbot in Betracht ziehen.

Fehlerbehebung bei HTTPS, wenn keine sichtbaren Fehler vorhanden sind

Wenn Sie nun Certbot neu installiert und sichergestellt haben, dass der DNS korrekt funktioniert, aber einige Inhalte Ihrer Website immer noch über HTTP laufen, könnte es ein Problem mit der Webserver-Konfiguration geben.

Certbot versucht normalerweise, die Webserver-Konfigurationsdateien automatisch zu aktualisieren (dies geschieht in der Regel durch die Angabe von "nginx" im Befehlsfenster). Wenn Ihre Webserver-Konfiguration jedoch komplex ist, reicht der automatische Certbot-Betrieb möglicherweise nicht aus, und Sie müssen das Problem manuell lösen.

Damit Certbot SSL automatisch konfigurieren kann, muss es den "server_name" im Nginx-Proxy kennen, der mit der Domäne des Zertifikats übereinstimmt. Normalerweise sollte ein "server_name" am Ende von "/etc/nginx/sites-available/..." stehen.

Sie können Ihren Servernamen mit "nano" in Certbot finden, und er sollte wie folgt aussehen: "$ sudo nano /etc/nginx/sites-available/example.com", wobei example.com der Name Ihres Webservers ist.

Wenn Ihr Servername dort nicht vorhanden ist, sollten Sie ihn dort eintragen, die Datei speichern und die Änderungen mit "sudo nginx -t" überprüfen. Dann laden Sie Nginx neu. Danach wird Certbot wissen, welche Konfigurationsdatei zu aktualisieren ist.

Wenn weiterhin Fehler auftreten, sollten Sie Ihren Webserver manuell auf HTTPS umstellen.

Die Nginx-HTTPS-Konfiguration enthält "listen 443 ssl" sowie einen Pfad und einen Schlüssel für das SSL-Zertifikat.

Bei der Konfiguration des Nginx-Proxys empfehlen wir, die Ngnix-Änderungen mit "sudo nginx -t" zu speichern. Nachdem Sie die Änderungen gespeichert haben, starten Sie den Nginx-Proxy neu.

Über Let's Encrypt/Certbot Hürden

Mögliche Fehler können einschüchternd wirken, wenn Sie keine Erfahrung mit SSL oder DNS haben.

Aber auch wenn LetsEncrypt erfolgreich und relativ einfach zu konfigurieren ist, wenn es fehlerfrei läuft, benötigen Sie möglicherweise einige Erkenntnisse zur Fehlerbehebung, um Zeit und unnötigen Stress zu sparen.

Aus diesem Grund haben wir einige der häufigsten Fehler bei LetsEncrypt und Certbot besprochen, damit Sie die auftretenden Probleme effizient lösen können.

Ich hoffe, das hat geholfen!