"Plötzlich" keine neuen letsencrypt Zertifikate mehr möglich (rate-limit)

Hallo,

ich habe seit Kurzem ein Problem bei der Erstellung von SSL-Zertifikaten über den NGINX Proxy Manager.

Seit Monaten läuft meine bestehende Konfiguration aus NPM-Container und Let’s-Encrypt-Zertifikaten problemlos. Vor einigen Tagen wollte ich jedoch ein neues Zertifikat für eine zusätzliche Anwendung erstellen. Dabei erhalte ich immer denselben Fehler, der angeblich auf zu viele ausgestellte Zertifikate für die Domain „home64.de“ hinweist:

An unexpected error occurred:

„too many certificates (1000) already issued for „home64.de“ in the last 168h0m0s, retry after 2026-05-18 10:42:26 UTC“

Ich konnte mir allerdings kaum vorstellen, dass der Fehler nicht bei mir liegt. Deshalb habe ich bereits einiges ausprobiert:

• Die vorgeschlagenen Wartezeiten bis zum erneuten Versuch eingehalten

• Geprüft, dass der Container problemlos eine Internetverbindung hat

• An der zuvor funktionierenden Installation wurde nichts verändert

• Alle spezifischen Zertifikate (also „genaudiese.domain.home64.de“) gelöscht

• Versucht, stattdessen ausschließlich ein Wildcard-Zertifikat zu verwenden

Leider erscheint auch bei der Anfrage für das Wildcard-Zertifikat derselbe Fehler.

Zusätzlich bestätigt Certbot, dass aktuell keine Zertifikate mehr vorhanden sind.

Letztendlich habe ich eine entsprechende Anfrage im letsencrypt forum gestellt und umgehend eine Antwort erhalten:

***MikeMcQ*Leader

23m

That domain is shared by many people. The 1000 in the error message indicates how many were issued in the past week. My log search shows a total of over 140,000 but many of those are renewals which don’t count for that particular rate limit.

That domain should probably be in the public suffix list but that has to be done by the registered domain owner.

They must have asked for a rate limit from Let’s Encrypt because the default is 5 identical certs per week - not 1,000.

post by linkp 23 mins ago

linkp

23m

The domain home64.de is not listed on the Public Suffix List, so if that is not your domain, but it is a shared domain that allocates individual subdomains to different users, that is going to account for the problem.

The rate limits will apply across home64.de which means the ability of subdomain holders to obtain Let’s Encrypt certificates will be severely impacted. You may want to get your domain that you dont share with other unrelated parties.

So wie es mir erscheint, kann ich hier nichts weiteres zur Lösung beitragen. Vielleicht liest zufällig jemand mit, der hier weiterhelfen kann. Über eine Antwort würde ich mich sehr freuen.

Herzlichen Dank im voraus.

Moin, schau auch mal hier:

https://v64.tech/t/zoraxy-cert-anfragen-ratelimited/3802

Gleiches Spiel in 2025 bei der Domain “nas64.de”.

Gruß aXas

Die Domain zählt in Richtung Rate Limit. Also nas64.de oder home64.de.

Wenn

• kunde_a.home64.de
• kunde_b.home64.de
• kunde_c.home64.de
• kunde_d.home64.de
• kunde_e.home64.de
• kunde_f.home64.de

sich ein Zertifikat generieren, dann zählt Let’s Encrypt das als 6 Zertifikate für die Domain, nicht als eines für Kunde A, eines für Kunde B usw. Let’s Encrypt kennt ja die Kundenstruktur von IPv64 nicht und interessiert sich dafür auch nicht.

Dennis hatte schon mal für verschiedene (oder alle?) Domains bei Let’s Encrypt einen Antrag auf Erhöhung des Rate Limits gestellt. Dem wurde meines Wissens nach auch stattgegeben. Scheinbar wurde es dann nachträglich doch wieder zurück auf das Standard-Limit gesetzt.

Es gibt zwei Möglichkeiten:

1. 6€ jährlich für eine eigene de-Domain
2. eigene Zertifikats-Infrastruktur

Dies ist nach meinem Verständnis nur möglich, wenn ich auch die Kontrolle über die Domäne habe. Würde also für nas64.de oder home64.de nicht funktionieren.

Nein, wieso sollte es?

https://www.baeldung.com/openssl-self-signed-cert

Der Artikel ist leider nicht ganz intuitiv, aber generell enthält er sämtliche Informationen, die du brauchst.

Danke schön!

Im Artikel lese ich

we learned how to create a self-signed certificate

Heisst self-signed nicht, dass ich im Browser eine Fehlermeldung erhalte?

Weniger eine Fehlermeldung als einen Warnhinweis. Du kannst eine Ausnahmeregel für ein self-signed certificate erstellen. Diese Ausnahmeregel ist dann so lange gültig, wie das self-signed certificate auch.

Zertifikat_Ausnahme437×440 27.6 KB

Für Web-Sites, die nur aus dem LAN erreichbar sein sollen, ist das sogar ein verbreiteter Weg. Eine Firewall soll z.B. gar nicht von außerhalb des LAN’s per Port tcp 80 erreichbar sein. Let’'s Encrypt benötigt zur Erzeugung und regelmäßigen Aktualisierung von Zertifikaten aber einen offenen Port tcp 80.

Der Online-Shop eines Unternehmens hingegen würde mit self-signed certificates nicht sinnvoll betrieben werden können.

Ob man nun also self-signed certificate verwenden sollte, oder eben besser nicht, hängt somit sehr von dem ab, was man erreichen möchte.

Danke, @The_eagle

Nochmals zurück zu meiner ursprünglichen Frage:

Darauf hat @CalthaPalustris geantwortet, dass es mit selbst signierten Zertifikaten möglich sei.

Mich würde nun interessieren, ob es auch mit Zertifikaten möglich ist, welche von den Browsern vertraut werden, also keinen Warnhinweis (von mir fälschlicherweise als Fehlermeldung bezeichnet) anzeigen.

Es geht hier um eine rein theoretische Diskussion. Ich plane keinen öffentlichen Zugang auf meine proxmox-test.home64.de Domäne. Gerne könnt ihr meinen Kommentar auch ignorieren, falls eine theoretische Frage ohne praktisches Ziel keine sinnvolle Antwort ermöglicht.

Ja, das geht und ist im Enterprise Kontext für interne Systeme auch Standard.

Dass dein Browser Zertifikaten vertraut hat er einem Zertifikatsstore zu verdanken. Dort sind vereinfacht gesagt alle bekannten Zertifizierungsstellen hinterlegt, die als vertrauenswürdig einzustufen sind. Im Regelfall kümmert sich dein Betriebssystem darum diesen aktuell zu halten.

Vereinzelt können unterschiedliche Anwendungen aber auch eigene Zertifikatsstores unterhalten und haben u.U. eigene Mechanismen diese zu verwalten. Für dich relevant ist aber eigentlich nur der deines Betriebssystems.

Im Enterprise Kontext, kommt in der Regel AD zum Einsatz. Dieses enthält vereinfacht gesagt seine eigene Zertifizierungsstelle und jedes System, das an AD angebunden wird, stuft diese im Rahmen des Setups als vertrauenswürdig ein. Damit ist das AD Gespann die Root CA und kann unter seinem Namen beliebige Domains ausstellen, die alle angeschlossenen Systeme als vertrauenswürdig ansehen.

Das funktioniert immer in geschlossenen Systemen, die man unter Kontrolle hat. Also z.B. wenn es deine internen Server und Unternehmensrechner sind und nur von intern auf diese zugegriffen werden muss/ kann.

Sobald du Dienste für Dritte publizierst, geht das natürlich nicht mehr auf, weil niemand Drittes einfach so deiner Root CA vertrauen wird.

Neben AD gibt es noch andere Systeme, die das vollständig für dich managen können. Aber es geht natürlich auch händisch.

Das ist sicherlich eine Option, wenn man schnell mal was testen muss oder in einer dev-Umgebung, aber keine saubere Lösung. Wie gesagt, man baut sich eine Zertifikatsinfrastruktur auf und installiert die Root CA. Das ist das saubere Vorgehen.

Auch das stimmt so nicht. Auch hier wäre der saubere Weg stattdessen auf das Verfahren der DNS Challenge auszuweichen.

Alles klar, darauf wollte ich hinaus.

Somit ist mein Verständnis, dass ich für proxmox-test.home64.de keine eigenen Zertifikate erzeugen oder kaufen kann, denen 90% der Browser auf dieser Welt vertrauen (also ausserhalb eines kontrollierten Systems). Die einzige Möglichkeit sind die lets encrypt Zertifikate des IPv6 Dienstes.

Wie man das bei Let’s Encrypt für Firewalls, wie die OPNsense und pfsense und ipv64 macht, erklärt Dennis in: IPv64.net - DNS Challenge mit ACME.sh.

Stell dir das mit Zertifikaten vor, wie mit Dokumenten oder einem Ausweis.

Ein Zertifikat ist wie ein Ausweis, den du selbst erstellt hast. Wenn du dich damit ausweisen willst, wird dem niemand vertrauen. Wenn aber der Staat einen Stempel drauf macht und damit sagt: “Ich bezeuge, dass der Ausweis wirklich gültig ist”, dann vertraut ihm plötzlich jeder, weil jeder dem Staat vertraut. (Die paar Verschwörungstheoretiker, die da draußen rumlaufen, ignorieren wir mal.)

Aus verschiedenen Gründen kannst/ musst du deinen Ausweis nicht selbst erstellen, sondern der Staat macht das praktischer Weise für dich und der Stempel sind die lustigen Wasserzeichen und Hologramme und Siegel usw. die der Staat in den Ausweis einarbeitet.

Bei Zertifikaten ist das ganz ähnlich. Du kannst dir das Zertifikat zwar selbst erstellen, aber es ist in dem Moment so viel wert, wie der selbst erstellte Ausweis. Anbieter wie DigiCert oder Let’s Encrypt machen eigentlich auch nichts anderes, als einen Stempel in Form einer digitalen Signatur auf dein Zertifikat zu packen und damit zu bescheinigen, dass es echt ist.

Der Unterschied ist, dass DigiCert auf Gewinnmaximierung aus ist und du deshalb viel Geld auf den Tisch legen musst, damit sie dein Zertifikat signieren, während Let’s Encrypt nicht zur Gewinnmaximierung existiert, sondern primär ein funktionierendes System sein soll, um flächendekend mit TLS zu arbeiten.

Long story short, du kannst durchaus eigene Zertifikate für proxmox-test.home64.de erstellen. Außer dir, wird denen allerdings niemand vertrauen. Aber solange es für dich intern ist, kannst du das tun.

Alternativ kannst du auch mit Let’s Encrypt signierte Zertifikate erstellen.

Vielen Dank für diese ausführliche Antwort! Da habe ich wieder etwas gelernt.

Hallo,

ich bekomme ebenso keine Zertifikate mehr für meine subdomains für home64.de.

Besteht noch die Möglichkeit, dass dasLimit erhöht wird oder wird es nicht mehr funktionieren?

Viele Grüße

Also ich konnte am 2. Juni 2026 um 15:08 GMT neue Zertifikate für XXXXXX.home64.de und *.XXXXXX.home64.de (Wildcard) per DNS-01-Challenge erstellen.

Das liegt im Ermessen von Let’s Encrypt und niemand aus diesem Forum wird dir sagen können, wie Let’s Encrypt das beurteilt. Vermutlich weiß nicht mal Dennis, wie der Stand ist.

Hallo zusammen, leider habe ich hier das gleiche Problem.
Am 02.06.2026 konnte ich noch ein Zertifikat abrufen. Nun für eine weitere Subdomaine mit home64.de ist eine Zertifikatausstellung nicht möglich.
Gibt es hierzu etwas neues?

Vieleicht interessant, das Zertifikat wird per ACME-Challange angefordert.

Noch eine Frage zu diesem Thema:
Weiß jemand, ob hier ein PSL-Eintrag für home64.de geplant ist?
Bin neu in dieser Materie und habe gerade mal zu diesem Problem im Netz gesucht und das als ein Option zur Verhinderung des Problems gefunden.
Wenn das bull… ist Frage vergessen.