Ich habe eine Webdienst welcher nur über IPv6 erreichbar ist. (Der Dienst läuft in einem Proxmox LXC)
Da ich weder in meiner Firma noch über Microsoft auf die ipv6 zugreifen konnte habe ich CDN für die Sub Domain aktiviert. (PS: auf meinem Handy ging die Seite ohne Probleme).
Nach einen probieren konnte ich die Seite auch erreichen.
Wenn auf der Seite arbeite, kommt es ab und zu vor, dass ich einen Zertifikats Warnung bekomme, dass das Zertifikat unsicher sein. Ich habe mir das Zertifikat angeschaut, und es scheint das Zertifikat meine FritzBox zu sein. Nach ein paar mal F5 war dann wieder das Let’ s Encrypt Zertifikat da.
Dieses Problem tritt aber weiter sporadisch auf.
Ist das ein bekanntes Problem oder mache ich etwas falsche?
Hatte das selbe Zertifkat auf dem einem Server CDN Server beginnend mit 46….
Habe den Server gewechselt jetzt bekomme ich wieder nur selfsigned Zertifikate Aber das liegt wahrscheinlich am LE-Zertifikats Cap für die DOmain die ich verwende
Ich habe jetzt schon mehrfach den Server gewechselt. Leider ohne erflog. Dafür habe ich noch andere Zertifikate, welche alle nicht zu meiner Domain passen, bekommen. Seit der Zwangstrennung geht es gar nicht mehr.
Ich habe die Funktion wieder deaktiviert. Jetzt kann ich meine Seite wenigsten wieder via ipv6 erreichen. Das scheint mir noch zu viele Bugs zu haben um das einsetzten zu können.
Wäre es dann nicht besser, das via DNS Challenge zu machen und global für alle Sub Domains zu erstellen. Also z.B. CN=*.ipv64.net. Dann muss man das nur erneuern, wenn es abgelaufen ist.
Naja, das ist bei.dns.challenge auch nicht anders und wenn du den anderem thread liest wirst du feststellen dass leute mit kaputten (default) caddys das triggern indem sie x challenges starten.. ( die muessten entweder
```
tls {
on-demand
issuer acme
issuer internal
}
```
Oder fallback_sni nutzen
@Dennis_Admin zum einen waere es cool/”professioneller” wenn du einen vhost pro cdn server einrichtest der mit 000000 beginnt ( nginx nimmt den alphabetisch ersten als fallback).. dann beschweren sich die leutz auch nicht mehr das sie ne domain sehen die nicht ihre ist .. 000000000cdn1.ipv64.net waere der Vorschlag
Zum anderen waere es eigtl cool dass wenn moeglich zerossl-fallback oder “upload certs” anbietet, mit dem gestrigen nginx beispiel koenntest du sehr einfach acme.sh mit zerossl laufen lassen sobald die rate limits kicken
Ja danke dir, ich hatte mit ZeroSSL teils Probleme mit iOS/Windows/DoH clients, weil natuerlich die CA im storage von "yxz” hinterlegt sein muss.. Und nachdem Letsencrypt mal ganz kaputt war wegen ISRG X1, ging das dann wiederum Prima auch mit den “Wir supporten diese Clients nicht” Geräten, es bietet sich an ein Feld im Webinterface einzubauen “ICH BRAUCHE LE!” , cool waere die certs herunterladen zu koennen um mir sinnlos challenges zu sparen ( oder eben api upload ) .
Auf der Webseite nen Link zum Zerossl root ca waere auch so ein Wunsch.
kannst ja mal selbst mit ssllabs checken oder eben sowas wie die alten iPhones , Android 8- usw. usf… und selbst dort (Andro) ginge es ja, wenn die Peepz kapieren wie sie die entsprechenden RootCerts importieren
Ich habe CDN mal wieder aktiviert. Aktuell kann ich die Seite erreichen und das Zertifikat passt auch. Mal sehen, ob es nach der Zwangstrennung immer noch funktioniert.
Was komischer weise nicht funktioniert, sind die Bilder hier bekomme ich ein “503 Service Unavailable”
Ich glaube bei @Dennis_Admin fehlt sowas wie ne hook die vom dyndns zum cdn triggert oder da gibts schlimme Verzögerungen, denn das Problem beschreiben hier mehrere
Aber das liegt wahrscheinlich am LE-Zertifikats Cap für die DOmain die ich verwende