Quan el certificat SSL d'un lloc web caduca, els visitants veuran un avís no segur al seu navegador. Això no només redueix la confiança dels usuaris; WHMCS també crea problemes greus per als sistemes de pagament, les connexions API, els panells de jocs i els inicis de sessió dels clients.

Els certificats de Let's Encrypt són gratuïts, però s'han de renovar periòdicament. Si Certbot no està configurat correctament, la renovació fallarà i el SSL pot caducar.

1. Comprovació dels certificats disponibles

Primer comproveu quins certificats hi ha al servidor:

certbot certificates

Aquesta ordre mostra el nom del certificat, els dominis, les rutes dels fitxers i la data de caducitat.

Si no hi ha cap ordre certbot, és possible que no s'instal·li:

certbot --version

2. Realització de proves d'actualització

Per provar el certificat abans de renovar-lo realment:

certbot renew --dry-run

Aquesta ordre prova el procés d'actualització. Si hi ha un error, us permet veure el problema abans del dia real de renovació.

3. Errors de Certbot més comuns

La majoria dels errors de renovació de Let's Encrypt estan relacionats amb la validació del domini i l'accés al servidor web.

• Resposta no vàlida: Let's Encrypt no pot accedir al fitxer de verificació.
• Connexió rebutjada: El port 80 o 443 pot estar tancat.
• Temps d'espera durant la connexió: És possible que el domini no estigui dirigit al servidor o que el tallafoc l'estigui bloquejant.
• No autoritzat: És possible que el fitxer de verificació del domini estigui retornant contingut incorrecte.
• Massa certificats: És possible que els intents de certificat s'hagin fet amb massa freqüència.

4. Comprovació de l'encaminament IP del domini

Perquè la renovació del certificat funcioni, el domini s'ha de dirigir a l'adreça IP del servidor correcta.

dig domainadi.com +short

Si dig no està instal·lat:

apt install dnsutils -y

En sistemes basats en CentOS:

yum install bind-utils -y

La IP que retorna el domini ha de ser la mateixa que l'adreça IP del servidor on s'instal·larà SSL.

5. Comprovació dels ports 80 i 443

Let's Encrypt sovint vol accedir al port 80 per a l'autenticació HTTP. Si el port 80 està tancat, l'autenticació pot fallar.

ss -tulpn | grep -E ':80|:443'

Si utilitzeu un tallafoc, assegureu-vos que els ports 80 i 443 estiguin oberts.

Per a UFW:

ufw allow 80/tcp
ufw allow 443/tcp
ufw reload

Per a Firewalld:

firewall-cmd --permanent --add-service=http
firewall-cmd --permanent --add-service=https
firewall-cmd --reload

6. Proves de configuració de Nginx o Apache

Si hi ha un error al fitxer de configuració del servidor web, és possible que el servei web no es torni a carregar després de l'actualització del certbot.

Per a Nginx:

nginx -t

Per a Apache:

apachectl configtest

Si no hi ha errors, podeu tornar a instal·lar els serveis:

systemctl reload nginx

o:

systemctl reload apache2

7. Renovació manual del certificat SSL

Si totes les comprovacions són correctes, podeu executar l'actualització manualment:

certbot renew

Exemple de Nginx si només necessiteu recertificar per a un domini específic:

certbot --nginx -d domainadi.com -d www.domainadi.com

Exemple d'Apache:

certbot --apache -d domainadi.com -d www.domainadi.com

8. Comprovació del programador d'actualització automàtica

Certbot normalment s'actualitza automàticament amb el temporitzador de sistema o el cron.

systemctl list-timers | grep certbot

Per comprovar l'estat del temporitzador:

systemctl status certbot.timer

Si el temporitzador està apagat:

systemctl enable certbot.timer
systemctl start certbot.timer

Errors comuns

• S'està intentant obtenir SSL quan l'adreça IP del domini és incorrecta
• Tanqueu el port 80 i espereu que funcioni l'autenticació HTTP
• No s'està comprovant l'estructura d'autenticació quan el servidor intermediari de Cloudflare està activat
• Error de configuració Nginx/Apache equivocat per error de certbot
• No es prova la renovació automàtica fins que caduqui SSL

PMF

Si el SSL ha caducat, el lloc es tancarà completament?
El lloc pot funcionar tècnicament, però el navegador mostra un avís de seguretat. Això redueix seriosament la confiança dels clients.

Per què Certbot renova falla?
Normalment, el domini es dirigeix a la IP incorrecta, el port 80/443 està tancat, la configuració del servidor web és incorrecta o no es pot accedir al fitxer de verificació.

La renovació SSL és un problema quan s'utilitza Cloudflare?
El mode SSL o la configuració del servidor intermediari incorrectes poden afectar el procés de verificació. El mètode de verificació del domini s'ha de triar en conseqüència.

Recomanacions de seguretat i operacions

• Comproveu les dates de caducitat SSL regularment.
• Executeu la prova certbot renew --dry-run periòdicament.
• No tanqueu els ports 80 i 443 innecessàriament.
• Després dels canvis de configuració del servidor web, executeu nginx -t o apachectl configtest.
• No oblideu la supervisió SSL en dominis que utilitzen panells de pagament i clients.

Aquest article està preparat especialment per a PvPServer.