切换语言为:繁体
.top后缀的域名申请 Let's Encrypt 为何域名频繁出错

.top后缀的域名申请 Let's Encrypt 为何域名频繁出错

  • 爱糖宝
  • 2024-06-26
  • 2322
  • 2
  • 0

背景

最近小编申请了两个.top域名进行测试,因为.top域名比较便宜😄,但是在申请SSL证书的时候却出了问题,小编的环境配置为:Centos7.5服务器,利用的事Certbot申请SSL域名,使用的命令是:

sudo certbot certonly --nginx

总是报下面的错:

Requesting a certificate for xxxx.top and www.xxxx.top

Certbot failed to authenticate some domains (authenticator: nginx). The Certificate Authority reported these problems:
  Domain: xxxx.top
  Type:   dns
  Detail: DNS problem: looking up A for xxxx.top: DNSSEC: DNSKEY Missing; DNS problem: looking up AAAA for xxxx.top: DNSSEC: DNSKEY Missing

  Domain: www.xxxx.top
  Type:   dns
  Detail: DNS problem: server failure at resolver looking up A for www.xxxx.top; DNS problem: looking up AAAA for www.xxxx.top: DNSSEC: DNSKEY Missing

Hint: The Certificate Authority failed to verify the temporary nginx configuration changes made by Certbot. Ensure the listed domains point to this nginx server and that it is accessible from the internet.

Some challenges have failed.
Ask for help or search for solutions at https://community.letsencrypt.org. See the logfile /var/log/letsencrypt/letsencrypt.log or re-run Certbot with -v for more details.

.top后缀的域名申请 Let's Encrypt 为何域名频繁出错

问题排查过程

刚开始以为是DNS解析未生效的问题导致的,后来等了一天多还是不行,利用dig命令确认了域名已经正确解析到了制定的ip地址。

[root@cloud-sbrtud-is1k nginx]# dig xxxx.top

; <<>> DiG 9.11.4-P2-RedHat-9.11.4-26.P2.el7_9.16 <<>> xxxx.top
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 17334
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;xxxx.top.                     IN      A

;; ANSWER SECTION:xxxx.top.              3600    IN      A       xxx.xx.7x.xx

;; Query time: 185 msec
;; SERVER: 8.8.8.8#53(8.8.8.8)
;; WHEN: 三 6月 26 13:27:45 CST 2024
;; MSG SIZE  rcvd: 54

现在可以排除是简单的DNS解析导致的问题,有可能跟DNSSEC设置有关,因为我的域名是通过NameSilo注册的,可以通过Manage DNS中的Manage DS Records (DNSSEC)链接确认我并没有设置DNSSEC相关的配置,或者通过Whois公开信息查询也可以确认并没有开启DNSSEC选项,如图2所示。

.top后缀的域名申请 Let's Encrypt 为何域名频繁出错

图1

.top后缀的域名申请 Let's Encrypt 为何域名频繁出错

图2

这就让我摸不着头脑了,而且试了两个top域名都是同样的问题,后来不再使用certbot申请了,换了个第三方渠道进行申请,也就是Let's Encrypt的代理商,但最终也是失败,好无语,不过在第三方申请证书的时候发现了一个细节,代理商网站上有个公告写着:近期使用Let's Encrypt申请.top域名证书错误率比较高,请考虑其他渠道申请!这个公告体现了两层一次,第一、top域名可能原来申请是正常的,只是最近出现了问题,第二、这个问题是普遍性的!后来在Let's Encrypt的官方讨论区发现了一篇帖子,地址为:

https://community.letsencrypt.org/t/dns-problem-looking-up-a-for-xxx-domain-top-dnssec-dnskey-missing-no-valid-aaaa-records-found-for-xxx-domain-top/220650/11

里面有很多人都有类似的问题,最后官方人员给了回复:

.top后缀的域名申请 Let's Encrypt 为何域名频繁出错

说明最近他们发现很多人出现类似问题,并且已经开始着手调查,相信不久的将来他们会处理好这个问题。

解决问题

既然Let's Encrypt证书申请不下来,但是我们依然可以通过其他渠道申请证书,比如下面的5种渠道,小编用的是ZeroSSL,剩余的没有测试,ZeroSSL有很好的用户界面,申请也很快。最终小编顺利申请到ssl证书。

ZeroSSL - 提供免费的单域名和通配符SSL证书,拥有用户友好的界面,便于快速生成和管理证书。
Cloudflare SSL - 对于使用Cloudflare服务的用户,他们提供名为Universal SSL的免费服务,可以为通过Cloudflare代理的任何域名提供SSL保护。
腾讯云SSL证书 - 腾讯云为用户提供了免费的域名验证型(DV)SSL证书,通过简单的域名验证流程即可申请。
SSL for Free - 这是一个基于Let's Encrypt的在线工具,可以帮助用户免费获取SSL证书,需要完成域名验证。
Comodo - 尽管Comodo主要以其付费SSL证书闻名,但他们也提供有期限的免费SSL证书试用,适合短期或测试用途。
JoySSL - 作为国产品牌,JoySSL不仅提供有免费的单域名、泛域名证书,还为教育版和政务版域名提供一年期的免费DV单证书,强调安全性和兼容性。

事件更新

这是六月底出现的问题,在八月左右的时候Let's Encrypt实际上已经处理好了这个问题,也就是可以通过sudo certbot certonly --nginx这个命令正常获取到ssl证书了!

0条评论

您的电子邮件等信息不会被公开,以下所有项均必填

OK! You can skip this field.