Erreur urn:acme:error:connection lors du renouvellement d’un certificat Certbot

Vous avez un certificat Certbot (Let’s Encrypt) que vous renouvelez toujours sans problème tous les 90 jours, et récemment une erreur du type de celle ci-dessous survient alors que votre serveur fonctionne normalement.

Failed authorization procedure. mon.domaine.net (http-01): urn:acme:error:connection :: The server could not connect to the client to verify the domain :: Could not connect to mon-domaine.net

Il y a des dizaines et des dizaines de publications sur ce message d’erreur, qui logiquement renvoient vers des problèmes d’accessibilité au serveur (DNS) ou aux fichiers de celui-ci (permissions). D’ailleurs Certbot vous donne des indices dans ce sens :

To fix these errors, please make sure that your domain name was
 entered correctly and the DNS A record(s) for that domain
 contain(s) the right IP address. Additionally, please check that
 your computer has a publicly routable IP address and that no
 firewalls are preventing the server from communicating with the
 client. If you're using the webroot plugin, you should also verify
 that you are serving files from the webroot path you provided.

Mais comme dans mon cas, tout était fonctionnel.

IPv4 et IPv6

Après des heures à chercher et trifouiller ma configuration, je me suis rendu compte qu’un telnet mon.domaine.net 80 faisait déjà une résolution sur l’IPv6 de mon domaine avant de passer en IPv4. J’ai donc cherché dans ce sens et découvert que depuis peu Certbot privilégie IPv6 si un enregistrement DNS de type AAAA existe pour le domaine, ce qui était mon cas.

J’ai supprimé l’enregistrement AAAA (ce n’est peut-être pas le plus préférable, mais pour l’instant je m’en contente), et le renouvellement s’est bien déroulé avec succès.

Renouveller un certificat SSL Let’s encrypt avec le plugin Webroot

Installation d’un certificat SSL Let’s encrypt avec la méthode Webroot avec un serveur web Nginx

Il y a quelques semaines j’avais mis en place un certificat Let’s encrypt pour feub.net pour Nginx. A ce moment j’avais utilisé la méthode Standalone verification de Let’s encrypt qui est automatique mais qui a le désavantage d’utiliser le port 80, donc il faut stopper le serveur web pendant la génération du certificat, occasionnant un petit downtime du ou des site(s).

Ce petit inconvénient peut-être supprimé en utilisant la méthode Webroot proposée par Let’s encrypt, c’est celle-ci que je vais décrire ici et que j’ai utilisé pour renouveler le certificat pour feub.net.

Utilisation du plugin Webroot

Le plugin Webroot fonctionne de la sorte, un fichier est créé dans le répertoire .well-known  à la racine du serveur web (pour le ou les domaines en question), puis le serveur de validation de Let’s encrypt va faire des requêtes HTTP pour chaque domaine afin de confirmer que les DNS résolvent bien vers le serveur exécutant Let’s encrypt.

Pour l’installation de Let’s encrypt, se référer à la première partie de l’article Installer un certificat Let’s encrypt pour Nginx et servir WordPress en https.

Ensuite, pour générer le certificat avec la méthode Webroot, il suffit d’ajouter l’option –webroot  et de préciser le chemin vers la racine du site web avec l’option -w /chemin/vers/racine/web . Voici comment générer le certificat pour le domaine feub.net et son sous-domaine www.feub.net :

sudo letsencrypt certonly \
    --webroot -w /var/www/html/ \
    -d www.feub.net \
    -d feub.net

Après quelques secondes, si tout se passe bien, un message de succès apparait :

- Congratulations! Your certificate and chain have been saved at
   /etc/letsencrypt/live/www.feub.net/fullchain.pem. Your cert will
   expire on 2016-07-25. To obtain a new version of the certificate in
   the future, simply run Let's Encrypt again.
 - If you like Let's Encrypt, please consider supporting our work by:

   Donating to ISRG / Let's Encrypt:   https://letsencrypt.org/donate
   Donating to EFF:                    https://eff.org/donate-le

Le certificat est prêt. Il suffit alors de se référer toujours à l’article Installer un certificat Let’s encrypt pour Nginx et servir WordPress en https, chapitre Configurer Nginx avec SSL pour l’installer avec Nginx.