Certificado HTTPS inválido

Con ayuda de @josernitos y @rngkll exploramos el tema esta mañana. Voy a tratar de ordenarlo y resumirlo.

HTTPS es un protocolo para que la comunicación entre el navegador y la servidora vaya cifrado. Para eso requiere un certificado de autenticación que nos da letsencrypt. Y ese certificado había que renovarlo ayer.

Revisando en los logs del bunqueer, en el archivo /shared/letsencrypt/acme.sh.log encontré:

[Tue 27 Apr 2021 01:52:05 PM UTC] bunqueer.jaquerespeis.org:Verify error:Fetching https://bunqueer.jaquerespeis.org/.well-known/acme-challenge/5143hWUdM7A2kbYf9J1C2Tlskn8Gew
0I6c2K2A36MnI: Timeout during connect (likely firewall problem)

En bunqueer.jaquerespeis.org - Make your website better - DNS, redirects, mixed content, certificates muestra que el problema es que la dirección IPv6 del bunqueer no está funcionando:

http://bunqueer.jaquerespeis.org/ a01:4f9:2b:1823::20 -14 10.023 T Timeout - The operation has timed out

La ip es un identificador único para ubicar una servidora. Es un número. El domain name system, DNS, es un traductor de ese número a un nombre más legible por humanes.

El comando ip address show muestra las direcciones ip del bunqueer. La ipv4 del bunqueer es 95.217.141.20. La ipv6 es 2a01:4f9:2b:1823::20. EL DNS lo traduce a bunqueer.jaquerespeis.org.

El espacio de direcciones de ipv4 ya se está acabando. Son 2^32 posibles números, que son muy pocos para la cantidad de servidoras que hay. Entonces desde hace años se está tratando de migrar a ipv6, que tiene 2^128 posibles números. Un re-montón. Solo que la migración va re-lenta :slight_smile: Mientras tanto se usan ambas direcciones.

La dirección ipv6 del bunqueer está dando un timeout, aún no se por qué. O sea, desde afuera no se puede accesar a la servidora usando la dirección ipv6. Esto medio rompió el sitio porque la renovación automática con Let’s Encrypt prefiere usar la ipv6.

Con la invocación ss -tulpn | grep -e 80 -e 443 podemos ver

tcp    LISTEN  0       128            0.0.0.0:80          0.0.0.0:*             
tcp    LISTEN  0       128            0.0.0.0:443         0.0.0.0:*

Solo salen direcciones ipv4, aquí está el problema.

Por ahora lo solucioné quitando la dirección ipv6 del DNS.

1 me gusta