Quando o certificado SSL de um site expira, os visitantes verão um aviso de insegurança em seus navegadores. Isto não só reduz a confiança do usuário; O WHMCS também cria sérios problemas para sistemas de pagamento, conexões API, painéis de jogos e logins de clientes.

Os certificados Let's Encrypt são gratuitos, mas devem ser renovados periodicamente. Se o Certbot não estiver configurado corretamente, a renovação falhará e o SSL poderá expirar.

1. Verificando os certificados disponíveis

Primeiro verifique quais certificados estão presentes no servidor:

certbot certificates

Este comando mostra o nome do certificado, domínios, caminhos de arquivo e data de expiração.

Se não houver comando certbot, ele pode não ser instalado:

certbot --version

2. Realizando testes de atualização

Para testar o certificado antes de renová-lo:

certbot renew --dry-run

Este comando testa o processo de atualização. Se houver um erro, você poderá ver o problema antes do dia real da renovação.

3. Erros mais comuns do Certbot

A maioria dos erros de renovação do Let's Encrypt estão relacionados à validação de domínio e acesso ao servidor web.

• Resposta inválida: Let's Encrypt não consegue acessar o arquivo de verificação.
• Conexão recusada: A porta 80 ou 443 pode estar fechada.
• Tempo limite durante a conexão: O domínio pode não estar direcionado ao servidor ou o firewall pode estar bloqueando-o.
• Não autorizado: O arquivo de verificação de domínio pode estar retornando conteúdo incorreto.
• Muitos certificados: As tentativas de certificado podem ter sido feitas com muita frequência.

4. Verificando o roteamento IP do domínio

Para que a renovação do certificado funcione, o domínio deve ser direcionado para o endereço IP do servidor correto.

dig domainadi.com +short

Se dig não estiver instalado:

apt install dnsutils -y

Em sistemas baseados em CentOS:

yum install bind-utils -y

O IP retornado pelo domínio deve ser igual ao endereço IP do servidor no qual o SSL será instalado.

5. Verificando as portas 80 e 443

Let's Encrypt geralmente deseja acessar a porta 80 para autenticação HTTP. Se a porta 80 estiver fechada, a autenticação poderá falhar.

ss -tulpn | grep -E ':80|:443'

Se você estiver usando um firewall, certifique-se de que as portas 80 e 443 estejam abertas.

Para a UFW:

ufw allow 80/tcp
ufw allow 443/tcp
ufw reload

Para Firewalld:

firewall-cmd --permanent --add-service=http
firewall-cmd --permanent --add-service=https
firewall-cmd --reload

6. Teste de configuração Nginx ou Apache

Se houver um erro no arquivo de configuração do servidor web, o serviço web não poderá ser recarregado após a atualização do certbot.

Para Nginx:

nginx -t

Para Apache:

apachectl configtest

Se não houver erros, você poderá reinstalar os serviços:

systemctl reload nginx

ou:

systemctl reload apache2

7. Renovação manual do certificado SSL

Se todas as verificações estiverem corretas, você poderá executar a atualização manualmente:

certbot renew

Exemplo Nginx se você precisar apenas recertificar para um domínio específico:

certbot --nginx -d domainadi.com -d www.domainadi.com

Exemplo Apache:

certbot --apache -d domainadi.com -d www.domainadi.com

8. Verificando o agendador de atualização automática

O Certbot geralmente é atualizado automaticamente com o timer do systemd ou cron.

systemctl list-timers | grep certbot

Para verificar o status do temporizador:

systemctl status certbot.timer

Se o cronômetro estiver desligado:

systemctl enable certbot.timer
systemctl start certbot.timer

Erros Comuns

• Tentando obter SSL quando o endereço IP do domínio está errado
• Feche a porta 80 e aguarde a autenticação HTTP funcionar
• Não verificar a estrutura de autenticação quando o proxy Cloudflare está ativado
• Confundindo erro de configuração Nginx/Apache com erro certbot
• Não testar a renovação automática até que o SSL expire

Perguntas frequentes

Se o SSL expirar, o site será encerrado completamente?
O site pode funcionar tecnicamente, mas o navegador mostra um aviso de segurança. Isso reduz seriamente a confiança do cliente.

Por que a renovação do Certbot falha?
Normalmente o domínio está direcionado para o IP errado, a porta 80/443 está fechada, a configuração do servidor web está incorreta ou o arquivo de verificação não está acessível.

A renovação do SSL é um problema ao usar o Cloudflare?
O modo SSL ou configuração de proxy incorretos podem afetar o processo de verificação. O método de verificação de domínio deve ser escolhido de acordo.

Recomendações de segurança e operações

• Verifique as datas de expiração do SSL regularmente.
• Execute o teste certbot promote --dry-run periodicamente.
• Não feche as portas 80 e 443 desnecessariamente.
• Após as alterações na configuração do servidor web, execute nginx -t ou apachectl configtest.
• Não negligencie o monitoramento SSL em domínios que utilizam painéis de pagamento e de clientes.

Este artigo foi preparado especialmente para PvPServer.