Let's Encrypt cert megújítási hiba (DNS A rekord lekérési hiba)

Web, mail, IRC, IM, hálózatok

Sziasztok!

Let's Encrypt tanúsitványt akartam megújítani (lego acme), de hibába futok bele, pedig évek óta fut a megújítás három havonta.
Elsőként alkalommal CAA rekordot keresett, ezért nem újította meg. Ezt megoldottam. Erre mint egy kalandjátékban új akadály jött:
A mail.cegnev.hu domainra újítanám meg, itt a megújítás kimenete

2025/04/26 22:54:49 [INFO] [mail.cegnev.hu] acme: Trying renewal with 133 hours remaining
2025/04/26 22:54:49 [INFO] [mail.cegnev.hu] acme: Obtaining bundled SAN certificate given a CSR
2025/04/26 22:54:50 [INFO] [mail.cegnev.hu] AuthURL: [eltávolítottam]
2025/04/26 22:54:50 [INFO] [mail.cegnev.hu] acme: use tls-alpn-01 solver
2025/04/26 22:54:50 [INFO] [mail.cegnev.hu] acme: Trying to solve TLS-ALPN-01
2025/04/26 22:55:35 [INFO] Deactivating auth: [eltávolítottam]
2025/04/26 22:55:35 error: one or more domains had a problem:

[mail.cegnev.hu] acme: error: 400 :: urn:ietf:params:acme:error:dns :: DNS problem: query timed out looking up A for mail.cegnev.hu; DNS problem: query timed out looking up AAAA for mail.cegnev.hu, url:

A DNS A rekordjának a lekérdezése nem sikerül. Amit ma beállítottam, az egy CAA rekord volt, mert erre is panaszkodott a megújítás kérésekor (legutóbb még nem).
A DNS-ben ugyanolyan elnevezéssel szerepel egy 'CAA' és egy 'A' rekord is ("mail")

A googli szerint másnak is volt ilyen gondja és a nameserver üzemeltetője oldotta meg. Írtam már én is nekik, de hétvége van.

Más futott bele ilyenbe, mi lett a megoldás?
Köszi

szilárd

Frissítés1 

  • 447 megtekintés

( djtacee | 2025. 04. 27., v – 21:50 )

"query timed out looking up AAAA for mail.cegnev.hu"

Van IPv6 a szerveren és el is érhető azon a cél szolgáltatás? Ha nem, akkor miért van AAAA rekord?

( szilard_ v | 2025. 04. 27., v – 21:59 )

https://dnschecker.org/ oldalon a mail.cegnev.hu 'A' rekordra kerestem és mind hibára futott. A domain bármelyik másik 'A' rekordja esetében minden ellenőrzés rendben volt. 
Átneveztem a CAA rekord nevét 'mail'-ről 'mailcaa'-ra, és most a megismételt lekérdezés a mail.cegnev.hu-ra hibátlan.

És bakker lefutott a cert kérés is hiba nélkül!
Nem értem. Mindenhol azt olvasom, hogy az 'A' és 'CAA' rekordnak lehet ugyanaz a neve, nem szabadna hibát okoznia. Lehet, hogy a lego acme működik rosszul?
Várom a domain regisztrátorom visszajelzését is.

( szilard_ v | 2025. 04. 27., v – 23:22 )

Szerkesztve: 2025. 04. 27., v – 23:23

nem a lego acme lesz a probléma

Ja, jogos. Megírtam a szolgáltatómnak a tapasztalatokat.
Így persze most a CAA rekordom nem működik (nem "mail" a neve), de legalább van friss cert-em.

Vagy állitsd be a domain-re:

cegnev.hu. IN CAA 0 issue "letsencrypt.org".

hogy a 

mail.cegnev.hu. IN CAA 0 issue "letsencrypt.org" müködik-e nem tudom, a példákban a domain szerepel, én igy vettem fel a dns-be (labca-t használok belsö certekre, reklamált ha nem volt, link).

( WG | 2025. 04. 28., h – 15:42 )

Valami gebasz volt nálam is a hétvégén a certekkel.
Van 2 régi mailszerverem, ahol még certbot végzi a renew-t.
Külön cert van az imap.cegnev.hu és az smtp.cegnev.hu számára.
ISPConfigot frissítettem és az imap.cegnev.hu cert eltűnt, újra kellett kérni.