Quando il certificato SSL di un sito web scade, i visitatori vedranno un avviso di non protetto nel loro browser. Ciò non solo riduce la fiducia degli utenti; WHMCS crea seri problemi anche ai sistemi di pagamento, alle connessioni API, ai pannelli di gioco e al login dei clienti.

I certificati Let's Encrypt sono gratuiti ma devono essere rinnovati periodicamente. Se Certbot non è configurato correttamente, il rinnovo fallirà e l'SSL potrebbe scadere.

1. Verifica dei certificati disponibili

Per prima cosa controlla quali certificati sono presenti sul server:

certbot certificates

Questo comando mostra il nome del certificato, i domini, i percorsi dei file e la data di scadenza.

Se non è presente alcun comando certbot, potrebbe non essere installato:

certbot --version

2. Esecuzione del test di aggiornamento

Per testare il certificato prima di rinnovarlo effettivamente:

certbot renew --dry-run

Questo comando testa il processo di aggiornamento. Se si verifica un errore, ti consente di vedere il problema prima del giorno del rinnovo effettivo.

3. Errori Certbot più comuni

La maggior parte degli errori di rinnovo di Let's Encrypt sono legati alla convalida del dominio e all'accesso al server web.

• Risposta non valida: Let's Encrypt non può accedere al file di verifica.
• Connessione rifiutata: La porta 80 o 443 potrebbe essere chiusa.
• Timeout durante la connessione: Il dominio potrebbe non essere indirizzato al server oppure il firewall potrebbe bloccarlo.
• Non autorizzato: Il file di verifica del dominio potrebbe restituire contenuti errati.
• Troppi certificati: I tentativi di certificato potrebbero essere stati eseguiti troppo frequentemente.

4. Verifica del routing IP del dominio

Affinché il rinnovo del certificato funzioni, il dominio deve essere indirizzato all'indirizzo IP del server corretto.

dig domainadi.com +short

Se dig non è installato:

apt install dnsutils -y

Sui sistemi basati su CentOS:

yum install bind-utils -y

L'IP restituito dal dominio deve essere uguale all'indirizzo IP del server su cui verrà installato SSL.

5. Controllo delle porte 80 e 443

Let's Encrypt spesso vuole accedere alla porta 80 per l'autenticazione HTTP. Se la porta 80 è chiusa, l'autenticazione potrebbe non riuscire.

ss -tulpn | grep -E ':80|:443'

Se utilizzi un firewall, assicurati che le porte 80 e 443 siano aperte.

Per l'UFW:

ufw allow 80/tcp
ufw allow 443/tcp
ufw reload

Per Firewalld:

firewall-cmd --permanent --add-service=http
firewall-cmd --permanent --add-service=https
firewall-cmd --reload

6. Test di configurazione Nginx o Apache

Se è presente un errore nel file di configurazione del server Web, il servizio Web potrebbe non essere ricaricato dopo l'aggiornamento del certbot.

Per Nginx:

nginx -t

Per Apache:

apachectl configtest

Se non ci sono errori, puoi reinstallare i servizi:

systemctl reload nginx

O:

systemctl reload apache2

7. Rinnovo manuale del certificato SSL

Se tutti i controlli sono corretti, è possibile eseguire l'aggiornamento manualmente:

certbot renew

Esempio Nginx se devi ricertificarti solo per un dominio specifico:

certbot --nginx -d domainadi.com -d www.domainadi.com

Esempio di Apache:

certbot --apache -d domainadi.com -d www.domainadi.com

8. Controllo della pianificazione dell'aggiornamento automatico

Certbot di solito si aggiorna automaticamente con systemd timer o cron.

systemctl list-timers | grep certbot

Per verificare lo stato del timer:

systemctl status certbot.timer

Se il timer è disattivato:

systemctl enable certbot.timer
systemctl start certbot.timer

Errori comuni

• Tentativo di ottenere SSL quando l'indirizzo IP del dominio è sbagliato
• Chiudi la porta 80 e attendi che l'autenticazione HTTP funzioni
• Non controlla la struttura di autenticazione quando il proxy Cloudflare è attivo
• Errore di configurazione Nginx/Apache scambiato per errore certbot
• Non testare il rinnovo automatico fino alla scadenza del protocollo SSL

Domande frequenti

Se il certificato SSL è scaduto, il sito verrà chiuso completamente?
Il sito potrebbe funzionare tecnicamente, ma il browser mostra un avviso di sicurezza. Ciò riduce seriamente la fiducia dei clienti.

Perché il rinnovo di Certbot fallisce?
Di solito il dominio è indirizzato all'IP sbagliato, la porta 80/443 è chiusa, la configurazione del server web non è corretta o il file di verifica non è accessibile.

Il rinnovo SSL è un problema quando si utilizza Cloudflare?
Una modalità SSL o una configurazione proxy errata potrebbero influire sul processo di verifica. Il metodo di verifica del dominio dovrebbe essere scelto di conseguenza.

Raccomandazioni per la sicurezza e il funzionamento

• Controlla regolarmente le date di scadenza SSL.
• Eseguire periodicamente il test certbot renew --dry-run.
• Non chiudere inutilmente le porte 80 e 443.
• Dopo le modifiche alla configurazione del server Web, esegui nginx -t o apachectl configtest.
• Non trascurare il monitoraggio SSL sui domini che utilizzano pannelli di pagamento e clienti.

Questo articolo è stato preparato appositamente per PvPServer.