ACME - curl error (bug?) - Kann keine Zertifikate mehr anfordern.

Started by W0nderW0lf, March 18, 2025, 03:54:47 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
March 18, 2025, 03:54:47 PM Last Edit: March 18, 2025, 04:48:25 PM by W0nderW0lf
Hi @ll,

ich habe scheinbar pech mit meinem ACME client... Es gibt kein Jahr in dem ACME nicht mindestens 1x zicken macht.

Dieses jahr habe ich einen neuen Fehler der mich wahnsinnig macht. Ich bin leider nicht mehr in der Lage meine Zertifikate zu erneuern

Ich habe seit letzter Nacht keinen Zugriff mehr auf meine Dienste von außerhalb.

Es scheint als ob ACME sich quer stellen wollen würde. Ich erhalte folgende Fehlermeldung:
Code Select
2025-03-18T15:47:43 acme.sh [Tue Mar 18 15:47:43 CET 2025] response
2025-03-18T15:47:43 acme.sh [Tue Mar 18 15:47:43 CET 2025] _ret='35'
  == Info: closing connection #0
  == Info: TLS connect error: error:0A000438:SSL routines::tlsv1 alert internal error
  0000: .P
  <= Recv SSL data, 2 bytes (0x2)
  == Info: TLSv1.3 (IN), TLS alert, internal error (592):
  0000: .....
  <= Recv SSL data, 5 bytes (0x5)
  01c0: ................................................................
  0180: ................................................................
  0140: G...7.,W......MM9...............................................
  0100: .....................+............-.....3.&.$... D....V...!Y"..Y
  00c0: ...............h2.http/1.1.........1.....*.(....................
  0080: <.5./.....u.........cloudflare-dns.com..........................
  0040: ....RJ..>.......,.0.........+./...$.(.k.#.'.g.....9.....3.....=.
  0000: ........G...?..&.(...$b....:..0.}....k .........wu......:c.eH...
  => Send SSL data, 512 bytes (0x200)
  == Info: TLSv1.3 (OUT), TLS handshake, Client hello (1):
  0000: .....
  => Send SSL data, 5 bytes (0x5)
  == Info: ALPN: curl offers h2,http/1.1
  == Info: Trying [::]:443...
  == Info: IPv4: 0.0.0.0
  == Info: IPv6: ::
2025-03-18T15:47:43 acme.sh [Tue Mar 18 15:47:43 CET 2025] == Info: Host cloudflare-dns.com:443 was resolved.
2025-03-18T15:47:43 acme.sh [Tue Mar 18 15:47:43 CET 2025] Here is the curl dump log:
2025-03-18T15:47:43 acme.sh [Tue Mar 18 15:47:43 CET 2025] Please refer to https://curl.haxx.se/libcurl/c/libcurl-errors.html for error code: 35
2025-03-18T15:47:43 acme.sh [Tue Mar 18 15:47:43 CET 2025] _CURL='curl --silent --dump-header /var/etc/acme-client/home/http.header -L --trace-ascii /tmp/tmp.Vp70keAy5P -g '
2025-03-18T15:47:43 acme.sh [Tue Mar 18 15:47:43 CET 2025] Http already initialized.
2025-03-18T15:47:43 acme.sh [Tue Mar 18 15:47:43 CET 2025] _postContentType
2025-03-18T15:47:43 acme.sh [Tue Mar 18 15:47:43 CET 2025] body
2025-03-18T15:47:43 acme.sh [Tue Mar 18 15:47:43 CET 2025] _post_url='https://cloudflare-dns.com/api/v1/purge?domain=_acme-challenge&type=TXT'
2025-03-18T15:47:43 acme.sh [Tue Mar 18 15:47:43 CET 2025] POST
2025-03-18T15:47:43 acme.sh [Tue Mar 18 15:47:43 CET 2025] Purging Cloudflare TXT record for domain _acme-challenge.
Ich habe alle Zertifikate "resettet" und auch mehrmals den Dienst/Opnsense neugestartet...
Jemand ne Ahnung warum der curl aufruf plötzlich nicht mehr geht?
March 18, 2025, 04:18:41 PM #1 Last Edit: March 18, 2025, 04:56:04 PM by meyergru
Weil _acme-challenge.xxxx.tech nicht auflösbar ist?
Intel N100, 4 x I226-V, 16 GByte, 256 GByte NVME, ZTE F6005

1100 down / 770 up, Bufferbloat A
March 18, 2025, 04:53:58 PM #2
Oh, pls censor. :D

aber auflösbar sollte es sein.
Ich sehe jedoch das im Cloudflare DNS 2 einträge mit unterschiedlichen content's vorhanden sind. Keine Ahnung warum die 2x da sind. Ich hab mich schon länger nicht mehr mit acme befasst.. dachte die records werden automatisch angelegt.
March 18, 2025, 04:59:05 PM #3
Was immer im Cloudflare DNS drinsteht, ist Makulatur. Sogar die Domain "xxxx.tech" (censored) selbst ist nicht auflösbar. Eventuell nicht konnektiert. Und kein DNS - kein DNS-Challenge.
Intel N100, 4 x I226-V, 16 GByte, 256 GByte NVME, ZTE F6005

1100 down / 770 up, Bufferbloat A
March 18, 2025, 05:11:25 PM #4 Last Edit: March 18, 2025, 05:13:17 PM by W0nderW0lf
Es scheint eine Verkettung unglücklicher Ereignisse gegeben zu haben.
Meine fritz box ist wohl gestern Nacht mehrfach zwischen ipv4 und ipv6 gesprungen. Meine IP hat sich jetzt in den letzten 24h 4x geändert. Zusätzlich habe ich ipv6 auf OPNsense Seite komplett deaktiviert, was vielleicht zu dem Problem beigetragen hat. Dachte nämlich ich hätte ipv6 auch auf der fritte vor Jahren deaktiviert...
Parallel dazu hat caddy die IP's nicht mehr rechtzeitig aktualisieren können und sogar "invalid auth token" error geworfen. Token erneuert und von der Seite aus funktioniert das wieder.

Irritierend fand ich auch die Dienste wie DynDNS und caddy die mir eine andere IP angezeigt haben als ich tatsächlich hatte. Ich habe nämlich die Records nochmal händisch auf die aktuelle IP geändert. In der Zeit war meine Domain erreichbar (vor erstellen meines Posts). Ich hätte auf meine Dienste zugreifen können, habe aber einen SSL Fehler erhalten...

Problem hat sich also erstmal gelöst.
Danke trotzdem für die Hilfe. :D
March 18, 2025, 05:18:56 PM #5
Ich ziehe meine vorige aussage zurück. Das Problem mit ACME besteht weiterhin. Ich kann wieder auf meine Dienste zugreifen. Erhalte sogar noch ein gültiges Zertifikat (glaub über caddy) das von der OPNsense ist noch gültig... Aber der Fehler besteht weiterhin.
March 18, 2025, 05:40:18 PM #6
Ich versteh's nicht. Er scheint doch hin zu kommen. Es hängt sich nur am schlüsselaustausch auf, oder?
Code Select
2025-03-18T17:34:35 acme.sh [Tue Mar 18 17:34:35 CET 2025] == Info: Host dns.google:443 was resolved.
2025-03-18T17:34:35 acme.sh [Tue Mar 18 17:34:35 CET 2025] Here is the curl dump log:
2025-03-18T17:34:35 acme.sh [Tue Mar 18 17:34:35 CET 2025] Please refer to https://curl.haxx.se/libcurl/c/libcurl-errors.html for error code: 35
2025-03-18T17:34:35 acme.sh [Tue Mar 18 17:34:35 CET 2025] _CURL='curl --silent --dump-header /var/etc/acme-client/home/http.header -L --trace-ascii /tmp/tmp.97oe2bPo6h -g --connect-timeout 10'
2025-03-18T17:34:35 acme.sh [Tue Mar 18 17:34:35 CET 2025] Http already initialized.
2025-03-18T17:34:35 acme.sh [Tue Mar 18 17:34:35 CET 2025] timeout=10
2025-03-18T17:34:35 acme.sh [Tue Mar 18 17:34:35 CET 2025] url='https://dns.google'
2025-03-18T17:34:35 acme.sh [Tue Mar 18 17:34:35 CET 2025] GET
2025-03-18T17:34:35 acme.sh [Tue Mar 18 17:34:35 CET 2025] ret='35'
  == Info: closing connection #0
  == Info: TLS connect error: error:0A000438:SSL routines::tlsv1 alert internal error
  0000: .P
  <= Recv SSL data, 2 bytes (0x2)
  == Info: TLSv1.3 (IN), TLS alert, internal error (592):
  0000: .....
  <= Recv SSL data, 5 bytes (0x5)
  01c0: ................................................................
  0180: ................................................................
  0140: .3.do..h...4uD..o...............................................
  0100: .....................+............-.....3.&.$... .....O&......^.
  00c0: ...............h2.http/1.1.........1.....*.(....................
  0080: <.5./.....u.........cloudflare-dns.com..........................
  0040: .....H..>.......,.0.........+./...$.(.k.#.'.g.....9.....3.....=.
  0000: .......*....k...=.....r..^a.w.*..,&.U3 ....&.....Y.v....bvx(...+
  => Send SSL data, 512 bytes (0x200)
  == Info: TLSv1.3 (OUT), TLS handshake, Client hello (1):
  0000: .....
  => Send SSL data, 5 bytes (0x5)
  == Info: ALPN: curl offers h2,http/1.1
  == Info: Trying [::]:443...
  == Info: IPv4: 0.0.0.0
  == Info: IPv6: ::
2025-03-18T17:34:35 acme.sh [Tue Mar 18 17:34:35 CET 2025] == Info: Host cloudflare-dns.com:443 was resolved.
2025-03-18T17:34:35 acme.sh [Tue Mar 18 17:34:35 CET 2025] Here is the curl dump log:
2025-03-18T17:34:35 acme.sh [Tue Mar 18 17:34:35 CET 2025] Please refer to https://curl.haxx.se/libcurl/c/libcurl-errors.html for error code: 35
2025-03-18T17:34:35 acme.sh [Tue Mar 18 17:34:35 CET 2025] _CURL='curl --silent --dump-header /var/etc/acme-client/home/http.header -L --trace-ascii /tmp/tmp.97oe2bPo6h -g --connect-timeout 10'
2025-03-18T17:34:35 acme.sh [Tue Mar 18 17:34:35 CET 2025] Http already initialized.
2025-03-18T17:34:35 acme.sh [Tue Mar 18 17:34:35 CET 2025] timeout=10
2025-03-18T17:34:35 acme.sh [Tue Mar 18 17:34:35 CET 2025] url='https://cloudflare-dns.com'
2025-03-18T17:34:35 acme.sh [Tue Mar 18 17:34:35 CET 2025] GET
2025-03-18T17:34:35 acme.sh [Tue Mar 18 17:34:35 CET 2025] Detecting DNS server first.
2025-03-18T17:34:35 acme.sh [Tue Mar 18 17:34:35 CET 2025] _c_txt='aJZzGncNvn3KfjCMImyMV2lbX2kXf5BZ27RPKFbCvTE'
2025-03-18T17:34:35 acme.sh [Tue Mar 18 17:34:35 CET 2025] _c_aliasdomain='_acme-challenge.example.tech'
2025-03-18T17:34:35 acme.sh [Tue Mar 18 17:34:35 CET 2025] _c_txtdomain='_acme-challenge.example.tech'
2025-03-18T17:34:35 acme.sh [Tue Mar 18 17:34:35 CET 2025] Checking example.tech for _acme-challenge.example.tech
2025-03-18T17:34:35 acme.sh [Tue Mar 18 17:34:35 CET 2025] d_api='/usr/local/share/examples/acme.sh/dnsapi/dns_cf.sh'
2025-03-18T17:34:35 acme.sh [Tue Mar 18 17:34:35 CET 2025] txt='aJZzGncNvn3KfjCMImyMV2lbX2kXf5BZ27RPKFbCvTE'
2025-03-18T17:34:35 acme.sh [Tue Mar 18 17:34:35 CET 2025] aliasDomain='_acme-challenge.example.tech'
2025-03-18T17:34:35 acme.sh [Tue Mar 18 17:34:35 CET 2025] txtdomain='_acme-challenge.example.tech'
2025-03-18T17:34:35 acme.sh [Tue Mar 18 17:34:35 CET 2025] d='example.tech'
2025-03-18T17:34:35 acme.sh [Tue Mar 18 17:34:35 CET 2025] _idn_temp
2025-03-18T17:34:35 acme.sh [Tue Mar 18 17:34:35 CET 2025] _is_idn_d='_acme-challenge.example.tech'
2025-03-18T17:34:35 acme.sh [Tue Mar 18 17:34:35 CET 2025] _idn_temp
2025-03-18T17:34:35 acme.sh [Tue Mar 18 17:34:35 CET 2025] _is_idn_d='_acme-challenge.example.tech'
2025-03-18T17:34:35 acme.sh [Tue Mar 18 17:34:35 CET 2025] See: https://github.com/acmesh-official/acme.sh/wiki/dnscheck
2025-03-18T17:34:35 acme.sh [Tue Mar 18 17:34:35 CET 2025] You can use '--dnssleep' to disable public dns checks.
2025-03-18T17:34:15 acme.sh [Tue Mar 18 17:34:15 CET 2025] Let's check each DNS record now. Sleeping for 20 seconds first.
2025-03-18T17:34:15 acme.sh [Tue Mar 18 17:34:15 CET 2025] example.tech,_acme-challenge.example.tech,,dns_cf,aJZzGncNvn3KfjCMImyMV2lbX2kXf5BZ27RPKFbCvTE,/usr/local/share/examples/acme.sh/dnsapi/dns_cf.sh
2025-03-18T17:34:15 acme.sh [Tue Mar 18 17:34:15 CET 2025] The TXT record has been successfully added.
2025-03-18T17:34:15 acme.sh [Tue Mar 18 17:34:15 CET 2025] Added, OK
2025-03-18T17:34:15 acme.sh [Tue Mar 18 17:34:15 CET 2025] response='{"result":{"id":"ee7dcf05e35c50046e9788ce3483cbbe","name":"_acme-challenge.example.tech","type":"TXT","content":"aJZzGncNvn3KfjCMImyMV2lbX2kXf5BZ27RPKFbCvTE","proxiable":false,"proxied":false,"ttl":120,"settings":{},"meta":{},"comment":null,"tags":[],"created_on":"2025-03-18T16:34:15.027811Z","modified_on":"2025-03-18T16:34:15.027811Z"},"success":true,"errors":[],"messages":[]}'
2025-03-18T17:34:15 acme.sh [Tue Mar 18 17:34:15 CET 2025] _ret='0'
2025-03-18T17:34:14 acme.sh [Tue Mar 18 17:34:14 CET 2025] _CURL='curl --silent --dump-header /var/etc/acme-client/home/http.header -L --trace-ascii /tmp/tmp.97oe2bPo6h -g '
2025-03-18T17:34:14 acme.sh [Tue Mar 18 17:34:14 CET 2025] Http already initialized.
2025-03-18T17:34:14 acme.sh [Tue Mar 18 17:34:14 CET 2025] _postContentType
2025-03-18T17:34:14 acme.sh [Tue Mar 18 17:34:14 CET 2025] body='{"type":"TXT","name":"_acme-challenge.example.tech","content":"aJZzGncNvn3KfjCMImyMV2lbX2kXf5BZ27RPKFbCvTE","ttl":120}'
2025-03-18T17:34:14 acme.sh [Tue Mar 18 17:34:14 CET 2025] _post_url='https://api.cloudflare.com/client/v4/zones/cf6666f77f5b50840cc4f8691d04a89b/dns_records'
2025-03-18T17:34:14 acme.sh [Tue Mar 18 17:34:14 CET 2025] POST
2025-03-18T17:34:14 acme.sh [Tue Mar 18 17:34:14 CET 2025] data='{"type":"TXT","name":"_acme-challenge.example.tech","content":"aJZzGncNvn3KfjCMImyMV2lbX2kXf5BZ27RPKFbCvTE","ttl":120}'
2025-03-18T17:34:14 acme.sh [Tue Mar 18 17:34:14 CET 2025] zones/cf6666f77f5b50840cc4f8691d04a89b/dns_records
2025-03-18T17:34:14 acme.sh [Tue Mar 18 17:34:14 CET 2025] Adding record
2025-03-18T17:34:14 acme.sh [Tue Mar 18 17:34:14 CET 2025] response='{"result":[{"id":"555b2d6be8ba4e87ee898838b12aafab","name":"_acme-challenge.example.tech","type":"TXT","content":"Ea3Aw_wX2T8gD5GhUj-fLBQWQz3bKaN3C0Li53RP7os","proxiable":false,"proxied":false,"ttl":120,"settings":{},"meta":{},"comment":null,"tags":[],"created_on":"2025-03-18T16:27:21.737833Z","modified_on":"2025-03-18T16:27:21.737833Z"},{"id":"46fa522fb8b21e74684a286b261e997c","name":"_acme-challenge.example.tech","type":"TXT","content":"hKyt7vhTiyU4_ng0xDvGqSJlGiLACWUDVF2_m_BrAXg","proxiable":false,"proxied":false,"ttl":120,"settings":{},"meta":{},"comment":null,"tags":[],"created_on":"2025-03-18T16:16:29.361027Z","modified_on":"2025-03-18T16:16:29.361027Z"},{"id":"27bc3ad6ef425e5817a0287773452489","name":"_acme-challenge.example.tech","type":"TXT","content":"bDnbxLujK5PyOiZh-kqFosnU7EDbFb42Nueox7DRDAw","proxiable":false,"proxied":false,"ttl":120,"settings":{},"meta":{},"comment":null,"tags":[],"created_on":"2022-12-15T23:00:11.04794Z","modified_on":"2022-12-15T23:00:11.04794Z"},{"id":"0b235d5cda6f6973c0f9eeebf64cda20","name":"_acme-challenge.example.tech","type":"TXT","content":"8TbDImLtbODKuF9wjgmkW_l1nZ2doUWws_37PryGN9s","proxiable":false,"proxied":false,"ttl":120,"settings":{},"meta":{},"comment":null,"tags":[],"created_on":"2022-04-08T22:00:12.597783Z","modified_on":"2022-04-08T22:00:12.597783Z"}],"success":true,"errors":[],"messages":[],"result_info":{"page":1,"per_page":100,"count":4,"total_count":4,"total_pages":1}}'
2025-03-18T17:34:14 acme.sh [Tue Mar 18 17:34:14 CET 2025] ret='0'
2025-03-18T17:34:13 acme.sh [Tue Mar 18 17:34:13 CET 2025] _CURL='curl --silent --dump-header /var/etc/acme-client/home/http.header -L --trace-ascii /tmp/tmp.97oe2bPo6h -g '
2025-03-18T17:34:13 acme.sh [Tue Mar 18 17:34:13 CET 2025] Http already initialized.
2025-03-18T17:34:13 acme.sh [Tue Mar 18 17:34:13 CET 2025] timeout=
2025-03-18T17:34:13 acme.sh [Tue Mar 18 17:34:13 CET 2025] url='https://api.cloudflare.com/client/v4/zones/cf6666f77f5b50840cc4f8691d04a89b/dns_records?type=TXT&name=_acme-challenge.example.tech'
2025-03-18T17:34:13 acme.sh [Tue Mar 18 17:34:13 CET 2025] GET
2025-03-18T17:34:13 acme.sh [Tue Mar 18 17:34:13 CET 2025] zones/cf6666f77f5b50840cc4f8691d04a89b/dns_records?type=TXT&name=_acme-challenge.example.tech
2025-03-18T17:34:13 acme.sh [Tue Mar 18 17:34:13 CET 2025] Getting txt records
2025-03-18T17:34:13 acme.sh [Tue Mar 18 17:34:13 CET 2025] _domain='valhall.tech'
2025-03-18T17:34:13 acme.sh [Tue Mar 18 17:34:13 CET 2025] _sub_domain='_acme-challenge.heimdall'
2025-03-18T17:34:13 acme.sh [Tue Mar 18 17:34:13 CET 2025] _domain_id='cf6666f77f5b50840cc4f8691d04a89b'
2025-03-18T17:34:13 acme.sh [Tue Mar 18 17:34:13 CET 2025] response='{"result":[{"id":"cf6666f77f5b50840cc4f8691d04a89b","name":"valhall.tech","status":"active","paused":false,"type":"full","development_mode":0,"name_servers":["alina.ns.cloudflare.com","weston.ns.cloudflare.com"],"original_name_servers":["shades07.rzone.de","docks05.rzone.de"],"original_registrar":null,"original_dnshost":null,"modified_on":"2021-09-22T20:45:40.237479Z","created_on":"2020-07-31T11:16:17.455050Z","activated_on":"2020-08-08T18:13:17.458740Z","meta":{"step":2,"custom_certificate_quota":0,"page_rule_quota":3,"phishing_detected":false},"owner":{"id":null,"type":"user","email":null},"account":{"id":"f6e2754d3db7739c59cc3af4bdc9e2a6","name":"Spire666@gmx.net's Account"},"tenant":{"id":null,"name":null},"tenant_unit":{"id":null},"permissions":["#zone:read","#zone_settings:read","#dns_records:edit","#dns_records:read"],"plan":{"id":"0feeeeeeeeeeeeeeeeeeeeeeeeeeeeee","name":"Free Website","price":0,"currency":"USD","frequency":"","is_subscribed":false,"can_subscribe":false,"legacy_id":"free","legacy_discount":false,"externally_managed":false}}],"result_info":{"page":1,"per_page":20,"total_pages":1,"count":1,"total_count":1},"success":true,"errors":[],"messages":[]}'
2025-03-18T17:34:13 acme.sh [Tue Mar 18 17:34:13 CET 2025] ret='0'
2025-03-18T17:34:12 acme.sh [Tue Mar 18 17:34:12 CET 2025] _CURL='curl --silent --dump-header /var/etc/acme-client/home/http.header -L --trace-ascii /tmp/tmp.97oe2bPo6h -g '
2025-03-18T17:34:12 acme.sh [Tue Mar 18 17:34:12 CET 2025] Http already initialized.
2025-03-18T17:34:12 acme.sh [Tue Mar 18 17:34:12 CET 2025] timeout=
2025-03-18T17:34:12 acme.sh [Tue Mar 18 17:34:12 CET 2025] url='https://api.cloudflare.com/client/v4/zones?name=valhall.tech&account.id=f6e2754d3db7739c59cc3af4bdc9e2a6'
2025-03-18T17:34:12 acme.sh [Tue Mar 18 17:34:12 CET 2025] GET
2025-03-18T17:34:12 acme.sh [Tue Mar 18 17:34:12 CET 2025] zones?name=valhall.tech&account.id=f6e2754d3db7739c59cc3af4bdc9e2a6
2025-03-18T17:34:12 acme.sh [Tue Mar 18 17:34:12 CET 2025] h='valhall.tech'
2025-03-18T17:34:12 acme.sh [Tue Mar 18 17:34:12 CET 2025] response='{"result":[],"result_info":{"page":1,"per_page":20,"total_pages":0,"count":0,"total_count":0},"success":true,"errors":[],"messages":[]}'
2025-03-18T17:34:12 acme.sh [Tue Mar 18 17:34:12 CET 2025] ret='0'
2025-03-18T17:34:11 acme.sh [Tue Mar 18 17:34:11 CET 2025] _CURL='curl --silent --dump-header /var/etc/acme-client/home/http.header -L --trace-ascii /tmp/tmp.97oe2bPo6h -g '
2025-03-18T17:34:11 acme.sh [Tue Mar 18 17:34:11 CET 2025] Http already initialized.
2025-03-18T17:34:11 acme.sh [Tue Mar 18 17:34:11 CET 2025] timeout=
2025-03-18T17:34:11 acme.sh [Tue Mar 18 17:34:11 CET 2025] url='https://api.cloudflare.com/client/v4/zones?name=example.tech&account.id=f6e2754d3db7739c59cc3af4bdc9e2a6'
2025-03-18T17:34:11 acme.sh [Tue Mar 18 17:34:11 CET 2025] GET
2025-03-18T17:34:11 acme.sh [Tue Mar 18 17:34:11 CET 2025] zones?name=example.tech&account.id=f6e2754d3db7739c59cc3af4bdc9e2a6
2025-03-18T17:34:11 acme.sh [Tue Mar 18 17:34:11 CET 2025] h='example.tech'
2025-03-18T17:34:11 acme.sh [Tue Mar 18 17:34:11 CET 2025] response='{"result":[],"result_info":{"page":1,"per_page":20,"total_pages":0,"count":0,"total_count":0},"success":true,"errors":[],"messages":[]}'
2025-03-18T17:34:11 acme.sh [Tue Mar 18 17:34:11 CET 2025] ret='0'
2025-03-18T17:34:10 acme.sh [Tue Mar 18 17:34:10 CET 2025] _CURL='curl --silent --dump-header /var/etc/acme-client/home/http.header -L --trace-ascii /tmp/tmp.97oe2bPo6h -g '
2025-03-18T17:34:10 acme.sh [Tue Mar 18 17:34:10 CET 2025] Http already initialized.
2025-03-18T17:34:10 acme.sh [Tue Mar 18 17:34:10 CET 2025] timeout=
2025-03-18T17:34:10 acme.sh [Tue Mar 18 17:34:10 CET 2025] url='https://api.cloudflare.com/client/v4/zones?name=_acme-challenge.example.tech&account.id=f6e2754d3db7739c59cc3af4bdc9e2a6'
2025-03-18T17:34:10 acme.sh [Tue Mar 18 17:34:10 CET 2025] GET
2025-03-18T17:34:10 acme.sh [Tue Mar 18 17:34:10 CET 2025] zones?name=_acme-challenge.example.tech&account.id=f6e2754d3db7739c59cc3af4bdc9e2a6
2025-03-18T17:34:10 acme.sh [Tue Mar 18 17:34:10 CET 2025] h='_acme-challenge.example.tech'
2025-03-18T17:34:10 acme.sh [Tue Mar 18 17:34:10 CET 2025] First detect the root zone
2025-03-18T17:34:10 acme.sh [Tue Mar 18 17:34:10 CET 2025] 7:SAVED_CF_Account_ID='f6e2754d3db7739c59cc3af4bdc9e2a6'
2025-03-18T17:34:10 acme.sh [Tue Mar 18 17:34:10 CET 20253 OK
2025-03-18T17:34:10 acme.sh [Tue Mar 18 17:34:10 CET 2025] 6:SAVED_CF_Token='XxZptG6tCr6xlmxsDmQxcauyTNCL9t-3qJcmDnlr'
2025-03-18T17:34:10 acme.sh [Tue Mar 18 17:34:10 CET 20253 OK
2025-03-18T17:34:10 acme.sh [Tue Mar 18 17:34:10 CET 2025] Adding TXT value: aJZzGncNvn3KfjCMImyMV2lbX2kXf5BZ27RPKFbCvTE for domain: _acme-challenge.example.tech
2025-03-18T17:34:10 acme.sh [Tue Mar 18 17:34:10 CET 2025] dns_cf_add exists=0
2025-03-18T17:34:10 acme.sh [Tue Mar 18 17:34:10 CET 2025] Found domain API file: /usr/local/share/examples/acme.sh/dnsapi/dns_cf.sh
2025-03-18T17:34:10 acme.sh [Tue Mar 18 17:34:10 CET 2025] dns_entry='example.tech,_acme-challenge.example.tech,,dns_cf,aJZzGncNvn3KfjCMImyMV2lbX2kXf5BZ27RPKFbCvTE,/usr/local/share/examples/acme.sh/dnsapi/dns_cf.sh'
2025-03-18T17:34:10 acme.sh [Tue Mar 18 17:34:10 CET 2025] d_api='/usr/local/share/examples/acme.sh/dnsapi/dns_cf.sh'
2025-03-18T17:34:10 acme.sh [Tue Mar 18 17:34:10 CET 2025] txt='aJZzGncNvn3KfjCMImyMV2lbX2kXf5BZ27RPKFbCvTE'
2025-03-18T17:34:10 acme.sh [Tue Mar 18 17:34:10 CET 2025] base64 single line.
2025-03-18T17:34:10 acme.sh [Tue Mar 18 17:34:10 CET 2025] txtdomain='_acme-challenge.example.tech'
2025-03-18T17:34:10 acme.sh [Tue Mar 18 17:34:10 CET 2025] _d_alias
2025-03-18T17:34:10 acme.sh [Tue Mar 18 17:34:10 CET 2025] d='example.tech'
2025-03-18T17:34:10 acme.sh [Tue Mar 18 17:34:10 CET 2025] vlist='example.tech#doDMTQFL3xnlBTq0TIay_Q8XR_851wZ0cPNqSjnlvFg.Kg40Apx66il6cLWEg_W5cG5XoDgRmcWoSy10ohHmzt8#https://acme-staging-v02.api.letsencrypt.org/acme/chall/147572984/16451770644/7RhbVQ#dns-01#dns_cf#https://acme-staging-v02.api.letsencrypt.org/acme/authz/147572984/16451770644,'
2025-03-18T17:34:10 acme.sh [Tue Mar 18 17:34:10 CET 2025] d
2025-03-18T17:34:10 acme.sh [Tue Mar 18 17:34:10 CET 2025] dvlist='example.tech#doDMTQFL3xnlBTq0TIay_Q8XR_851wZ0cPNqSjnlvFg.Kg40Apx66il6cLWEg_W5cG5XoDgRmcWoSy10ohHmzt8#https://acme-staging-v02.api.letsencrypt.org/acme/chall/147572984/16451770644/7RhbVQ#dns-01#dns_cf#https://acme-staging-v02.api.letsencrypt.org/acme/authz/147572984/16451770644'
2025-03-18T17:34:10 acme.sh [Tue Mar 18 17:34:10 CET 2025] keyauthorization='doDMTQFL3xnlBTq0TIay_Q8XR_851wZ0cPNqSjnlvFg.Kg40Apx66il6cLWEg_W5cG5XoDgRmcWoSy10ohHmzt8'
2025-03-18T17:34:10 acme.sh [Tue Mar 18 17:34:10 CET 2025] uri='https://acme-staging-v02.api.letsencrypt.org/acme/chall/147572984/16451770644/7RhbVQ'
2025-03-18T17:34:10 acme.sh [Tue Mar 18 17:34:10 CET 2025] token='doDMTQFL3xnlBTq0TIay_Q8XR_851w20cPNqSjnlvFg'
2025-03-18T17:34:10 acme.sh [Tue Mar 18 17:34:10 CET 2025] entry='"type":"dns-01","url":"https://acme-staging-v02.api.letsencrypt.org/acme/chall/147572984/16451770644/7RhbVQ","status":"pending","token":"doDMTQFL3xnlBTq0TIay_Q8XR_851w20cPNqSjnlvFg"'
2025-03-18T17:34:10 acme.sh [Tue Mar 18 17:34:10 CET 2025] base64 single line.
2025-03-18T17:34:10 acme.sh [Tue Mar 18 17:34:10 CET 2025] _authz_url='https://acme-staging-v02.api.letsencrypt.org/acme/authz/147572984/16451770644'
2025-03-18T17:34:10 acme.sh [Tue Mar 18 17:34:10 CET 2025] response='{"identifier":{"type":"dns","value":"example.tech"},"status":"pending","expires":"2025-03-25T16:34:09Z","challenges":[{"type":"tls-alpn-01","url":"https://acme-staging-v02.api.letsencrypt.org/acme/chall/147572984/16451770644/m7vLAg","status":"pending","token":"doDMTQFL3xnlBTq0TIay_Q8XR_851wZ0cPNqSjnlvFg"},{"type":"http-01","url":"https://acme-staging-v02.api.letsencrypt.org/acme/chall/147572984/16451770644/PaI2PA","status":"pending","token":"doDMTQFL3xnlBTq0TIay_Q8XR_851wZ0cPNqSjnlvFg"},{"type":"dns-01","url":"https://acme-staging-v02.api.letsencrypt.org/acme/chall/147572984/16451770644/7RhbVQ","status":"pending","token":"doDMTQFL3xnlBTq0TIay_Q8XR_851wZ0cPNqSjnlvFg"}]}#https://acme-staging-v02.api.letsencrypt.org/acme/authz/147572984/16451770644'
2025-03-18T17:34:10 acme.sh [Tue Mar 18 17:34:10 CET 2025] _candidates='example.tech,{"identifier":{"type":"dns","value":"example.tech"},"status":"pending","expires":"2025-03-25T16:34:09Z","challenges":[{"type":"tls-alpn-01","url":"https://acme-staging-v02.api.letsencrypt.org/acme/chall/147572984/16451770644/m7vLAg","status":"pending","token":"doDMTQFL3xnlBTq0TIay_Q8XR_851wZ0cPNqSjnlvFg"},{"type":"http-01","url":"https://acme-staging-v02.api.letsencrypt.org/acme/chall/147572984/16451770644/PaI2PA","status":"pending","token":"doDMTQFL3xnlBTq0TIay_Q8XR_851wZ0cPNqSjnlvFg"},{"type":"dns-01","url":"https://acme-staging-v02.api.letsencrypt.org/acme/chall/147572984/16451770644/7RhbVQ","status":"pending","token":"doDMTQFL3xnlBTq0TIay_Q8XR_851wZ0cPNqSjnlvFg"}]}#https://acme-staging-v02.api.letsencrypt.org/acme/authz/147572984/16451770644'
2025-03-18T17:34:10 acme.sh [Tue Mar 18 17:34:10 CET 2025] _idn_temp
2025-03-18T17:34:10 acme.sh [Tue Mar 18 17:34:10 CET 2025] _is_idn_d='example.tech'
2025-03-18T17:34:10 acme.sh [Tue Mar 18 17:34:10 CET 2025] _currentRoot='dns_cf'
2025-03-18T17:34:10 acme.sh [Tue Mar 18 17:34:10 CET 2025] _w='dns_cf'
2025-03-18T17:34:10 acme.sh [Tue Mar 18 17:34:10 CET 2025] Getting webroot for domain='example.tech'
2025-03-18T17:34:10 acme.sh [Tue Mar 18 17:34:10 CET 2025] d='example.tech'
  '
2025-03-18T17:34:10 acme.sh [Tue Mar 18 17:34:10 CET 2025] _authorizations_map='example.tech,{"identifier":{"type":"dns","value":"example.tech"},"status":"pending","expires":"2025-03-25T16:34:09Z","challenges":[{"type":"tls-alpn-01","url":"https://acme-staging-v02.api.letsencrypt.org/acme/chall/147572984/16451770644/m7vLAg","status":"pending","token":"doDMTQFL3xnlBTq0TIay_Q8XR_851wZ0cPNqSjnlvFg"},{"type":"http-01","url":"https://acme-staging-v02.api.letsencrypt.org/acme/chall/147572984/16451770644/PaI2PA","status":"pending","token":"doDMTQFL3xnlBTq0TIay_Q8XR_851wZ0cPNqSjnlvFg"},{"type":"dns-01","url":"https://acme-staging-v02.api.letsencrypt.org/acme/chall/147572984/16451770644/7RhbVQ","status":"pending","token":"doDMTQFL3xnlBTq0TIay_Q8XR_851wZ0cPNqSjnlvFg"}]}#https://acme-staging-v02.api.letsencrypt.org/acme/authz/147572984/16451770644
2025-03-18T17:34:10 acme.sh [Tue Mar 18 17:34:10 CET 2025] _d='example.tech'
2025-03-18T17:34:10 acme.sh [Tue Mar 18 17:34:10 CET 2025] response='{"identifier":{"type":"dns","value":"example.tech"},"status":"pending","expires":"2025-03-25T16:34:09Z","challenges":[{"type":"tls-alpn-01","url":"https://acme-staging-v02.api.letsencrypt.org/acme/chall/147572984/16451770644/m7vLAg","status":"pending","token":"doDMTQFL3xnlBTq0TIay_Q8XR_851wZ0cPNqSjnlvFg"},{"type":"http-01","url":"https://acme-staging-v02.api.letsencrypt.org/acme/chall/147572984/16451770644/PaI2PA","status":"pending","token":"doDMTQFL3xnlBTq0TIay_Q8XR_851wZ0cPNqSjnlvFg"},{"type":"dns-01","url":"https://acme-staging-v02.api.letsencrypt.org/acme/chall/147572984/16451770644/7RhbVQ","status":"pending","token":"doDMTQFL3xnlBTq0TIay_Q8XR_851wZ0cPNqSjnlvFg"}]}'
2025-03-18T17:34:10 acme.sh [Tue Mar 18 17:34:10 CET 2025] response='{"identifier":{"type":"dns","value":"example.tech"},"status":"pending","expires":"2025-03-25T16:34:09Z","challenges":[{"type":"tls-alpn-01","url":"https://acme-staging-v02.api.letsencrypt.org/acme/chall/147572984/16451770644/m7vLAg","status":"pending","token":"doDMTQFL3xnlBTq0TIay_Q8XR_851wZ0cPNqSjnlvFg"},{"type":"http-01","url":"https://acme-staging-v02.api.letsencrypt.org/acme/chall/147572984/16451770644/PaI2PA","status":"pending","token":"doDMTQFL3xnlBTq0TIay_Q8XR_851wZ0cPNqSjnlvFg"},{"type":"dns-01","url":"https://acme-staging-v02.api.letsencrypt.org/acme/chall/147572984/16451770644/7RhbVQ","status":"pending","token":"doDMTQFL3xnlBTq0TIay_Q8XR_85120cPNqSjnlvFg"}]}'
 
March 18, 2025, 07:00:56 PM #7
Solved:

Wie es scheint hat sich adguard-home (unbound -> adguard konstellation) dank seiner blocklist's geweigert die cloudflare und google dns richtig aufzulösen:
HaGeZi's Encrypted DNS/VPN/TOR/Proxy Bypass
Ich kann mich nicht erinnern das das vor monaten ein problem war..

Scheinbar sind in der Liste nun "dns.google" + "cloudflare-dns.com"
March 18, 2025, 07:04:31 PM #8
War das vorhin die wirkliche Domain? Dann nochmal ganz langsam: Es gibt keinen DNS-Eintrag dafür. Wie soll dann eine DNS-01 Verifikation für ein Zertifikat funktionieren?

Es mag ja sein, dass Cloudflare oder Dein lokaler DNS der Meinung ist, das die Domain aufgelöst werden kann - die große weite Welt ist es nicht. Mach einfach den Check, indem Du "nslookup -query=any xxxx.tech 8.8.8.8" versuchst. Bei mir gibt das:

Code Select
# nslookup -query=any xxxx.tech 8.8.8.8
Server:         8.8.8.8
Address:        8.8.8.8#53

** server can't find xxxx.tech: NXDOMAIN


Natürlich musst Du anstelle von xxxx.tech die richtige Domain nehmen.
Intel N100, 4 x I226-V, 16 GByte, 256 GByte NVME, ZTE F6005

1100 down / 770 up, Bufferbloat A
March 18, 2025, 07:26:46 PM #9 Last Edit: March 18, 2025, 07:32:46 PM by W0nderW0lf
Das war meine wirkliche Domain.
Mein kopf qualmt heute nach seminar und jetzt troubleshooting. Für heute bin ich eigentlich durch. Allerdings frage ich mich gerade selber warum ich dazu keinen Record finde. (Bin kein DNS spezi)
Ich vermute aber mal das liegt daran, dass ich kein google bei mir irgendwo als DNS Server hinterlegt habe. Bei mir läuft alles ausschließlich über cloudflare (mit DoT) und meine domain ist über strato gehosted. Allerdings wenn ich den gleichen query mit 1.1.1.1 am Ende nutze, sollte das doch cloudflare auch aufzeigen? Oder liegt's daran weil sich meine IP so oft geändert hat und das erst noch bei den anderen DNS servern bekannt gemacht werden muss? Ich weiß es gerade nicht.

Kannst dich aber gerne selber überzeugen. Eine meiner dienste: mucke.xxxx.tech Ist über https erreichbar.

edit: was ich auch interessant finde, weil das auch wieder ein neues problem war. (ich konnte wegen OCSP nichts erneuern)

"status": 403
        "detail": "Error finalizing order :: OCSP must-staple extension is no longer available: see https://letsencrypt.org/2024/12/05/ending-ocsp",
        "type": "urn:ietf:params:acme:error:unauthorized",
March 18, 2025, 07:41:31 PM #10
Ich weiß es inzwischen aufgrund eines Hinweises von Patrick M Hausen: Hast Du den Namen der Domain falsch buchstabiert, also z.B. statt XXlYYll.tech XXllYYll.tech geschrieben? Ich sehe es nicht mehr, bin also nicht sicher, ob ich oder Du Dich verschrieben hast.
Intel N100, 4 x I226-V, 16 GByte, 256 GByte NVME, ZTE F6005

1100 down / 770 up, Bufferbloat A
March 18, 2025, 07:49:28 PM #11
Hab dir mal eben ne PM geschickt damit du dich selbst überzeugen kannst.
March 18, 2025, 07:52:40 PM #12
Für's Protokoll, ich hab Uwe mal die DNS-Einträge, die ich sehe, geschickt. Per PM, damit die nicht so öffentlich im Forum rumgammeln ;)
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
March 18, 2025, 08:14:46 PM #13
Firma dankt!
March 18, 2025, 08:16:46 PM #14
Scheint als hätte ich mich vertippt - sorry (wäre aber eine gute Erklärung gewesen ;-) )!
Intel N100, 4 x I226-V, 16 GByte, 256 GByte NVME, ZTE F6005

1100 down / 770 up, Bufferbloat A
Print
Go Up Pages1
User actions