Ik zie op https://allestoringen.nl/status/letsencrypt/map/ niet dat er iets met Let's Encrypt gaande is, en als verder niemand er last van heeft lijkt het geen algemeen probleem te zijn maar iets dat bij jou niet goed zit. https://downdetector.com/status/letsencrypt/map/ idem dito.

De statuspagina van Let's Encrypt op https://letsencrypt.status.io/ laat zien dat alles operationeel is.

Op https://community.letsencrypt.org/c/api-announcements/18/l/latest zie ik dat sinds zes dagen OCSP Must-Staple niet meer ondersteund wordt. Kan dat zijn waar je last van hebt?

Mocht dat het zijn, dat is ruim een half jaar geleden aangekondigd:
https://www.security.nl/posting/851286/Let%27s+Encrypt+stopt+wegens+privacyrisico%27s+met+OCSP-support
https://letsencrypt.org/2024/07/23/replacing-ocsp-with-crls/

ROFL

Mocht je problemen hebben met Let's Encrypt dan kan je ook ZeroSSL eens proberen, daar kan je ook gratis en via het acme protocol certificaten krijgen.

Balen voor je.
Maar toch klaag je. Blijkbaar heb je dus iets afgenomen zonder enige SLA, en nu klaag je, dat het niet werkt?
Maar Apache start toch wel, of krijg je andere foutmeldingen?

Dus? je hebt toch wel met je klanten afgesproken, dat je je maar beperkt verantwoordelijk bent voor de omgeving?
maar hoe kunnen al je klanten nu een probleem hebben?
Volgens mij klopt er ook het nodige aan je inrichting niet, als al je klanten nu een probleem hebben. Want normaal heb je 1 certificaat per hosting toch?
Tenminste als ik naar mijn eigen hosting kijk icm direct admin.

Klink ook als een zooitje van je inrichting.

Je geeft nog niet eens een foutmelding of wat dan ook. Daarnaast is dit een security forum en geen lets encrypt forum. Heb je wel eens nagedacht om dit soort vragen op gespecialiseerde forums te doen?

https://community.letsencrypt.org/
https://forum.howtoforge.com/#ispconfig-3.23

Ik zou je wel willen adviseren om in ieder geval meer informatie te geven, zoals je configuratie, eventuele foutmeldingen is ook wel extreem gemakkelijk. Want letterlijk niemand kan hier ook maar iets mee.

Lijkt me zeer sterk dat de fout bij LE zit.

Met de MD-module zorgt Apache zelf voor het automagisch vernieuwen van certificaten!
https://httpd.apache.org/docs/2.4/mod/mod_md.html
https://github.com/icing/mod_md

"Klanten die gaan piepen dat hun gratis gehoste website niet meer werkt."

Dat is een vreemde SLA ...

Om te beginnen :

Als een erg grote/professionele service (google, FB, SIDN, Let's Encrypt etc ) "Het niet doet" - 99% kans dat het probleem bij jou zit, en niet bij zo'n service .
Voor dergelijke diensten - als die echt uitvallen is dat erg groot nieuws, en staat "het Internet" er meteen vol mee .

Er zal iets in je setup kapot zijn, of geblokkeerd worden .
En ik denk al een tijdje, omdat het nu echt niet meer werkt en die certificaten een tijd voor verloop datum vernieuwd worden.

Eén voordeel : als je "klanten" gratis host mogen die ook niet klagen .


systeembeheer is geen 'kunstje' , maar snappen hoe dingen werken, uitzoeken waar het misloopt, en dat oplossen.
Je geeft te weinig informatie om er iets over te kunnen roepen waar je moet kijken.
In de basis is het logs lezen, veel google, en alle stappen onder de motorkap leren snappen.

Totaal wilde gok - kijk eens of er geen disk is volgelopen. Dan gaat van alles stuk.

En - je zit niet op het beste forum. Vroeger was er een forum 'webhostingtalk' , alleen daar is geen activiteit meer.
Ik denk dat je op tweakers in de juiste sectie meer mensen treft - maar dan nog, geef er meer informatie bij over je platform.

In z'n algemeenheid - bouw een zakelijk contacten netwerk op van mensen in je sector .

En het zou kunnen dat je gewoon wat consultancy moet inhuren.
De meeste engineers sturen liever een factuur met hun uurtarief dan een natura betaling van bootrimming en flowers, overigens.
Die mensen acuut moeten vinden als je plat ligt is onhandig . Je kunt dan beter tevoren kijken naar iemand die zo af en toe vinger aan de pols houdt van je systemen, en die je bij een urgente storing kunt bellen .
Mogelijk zijn er mensen met een strippenkaart model van support .

Je wordt geblokt als je lastige vragen stelt bij letsencrypt als "wie kan ik dagvaarden als jullie een vals duplicaat certificate genereren", "waarom zit jullie infrastructuur niet in Europa" en "het is dom in een abuse cloud te zitten, want die worden geblokeerd in firewalls"

Kijk eens naar je firewall? Check de logs /var/log/letsencrypt

Even een naschriftje. Het was wel een nachtje wakker liggen, maar alles weer op de rit.

Wel jammer dat er hier van die dingesen zitten, maar goed.

Ik wil wel even delen wat er aan de hand was. Want als je aan niemand wat hebt dan moet je het zelf oplossen. De hostname was een subdomein van mijn serverboer, dat niet resolvde naar het IP van mijn server. Ik heb een hele kudde domeinnamen, even /etc/hostname veranderd. Naar iets fatsoenlijks. Dat was het hele eiereneten. Sorry voor het storen heb ik net naar menig gebruiker gemaild. Dus ik wou het hier ook even laten weten. Voor als er iemand is die er wat aan heeft. Bij mij werkt alles weer.

@TS
Apache stopt vanwege een ongeldig certificaat? Dat is vreemd, want dat doet ie niet bij een verouderd certificaat. Het lijkt erop dat het wel heeft gewerkt, maar dat certificaatbestanden corrupt of onvolledig zijn. Het idee dat er te weinig diskruimte is, zou het wel kunnen verklaren.

Bekijk de diskruimte vanaf de command line:

Dat doet certbot ook. Apache gebruikt al automatisch een nieuw certificaat.

Niet alleen Apache heeft een nieuw certificaat nodig, ook de smtp en pop3/imap servers.

Kwestie van het juiste pad opgeven in de configuratie van je SMTP en POP3/IMAP-servers en mocht dat niet lukken dan is het een kleine moeite om er wat script-fu tegenaan te gooien.

Er hebben meerdere mensen om meer informatie gevraagd omdat het probleem dat je beschreef niet veel meer dan "Hijdoetutniet" was.

Ik zou zeggen, begin in het vervolg met "Help us help you".

Mooi dat weer werkt en teminste iemand die fatsoen heeft nog even te melden dat probleem is opgelost.
Gaat uiteraard niemand tegenhouden over je bericht heen te lezen en nog advies aan te dragen aan je ;)

Lees de voorwaard(en)
Infra zit in America omdat het initatief van ISRG is https://www.abetterinternet.org/
Daarnaast is GDPR gewoon van toepassing omdat het niet om de locatie van de data maar gebruikers gaat.
En als je denkt dat het veiliger in Europa was onder ISRG dan snap je niet bijster veel van de afspraken waar Amerikaanse bedrijven ongeacht waar hun klanten of Infra staan moeten voldoen.

Abuse cloud wat is dat nu weer voor woord. Bedoel je IP met lage reputatie en CIDR blocks? Ik heb nog niet meegemaakt dat lets-encrypt in een firewall is tegengehouden bij enige partij ook niet heel vreemd als je weet wie de sponsors allemaal zijn van dit project. (staat op de voorpagina) Ongeveer 95% van alle eind partijen aangaande ISP infrastructuur staat daar vertegenwoordigd. Abuse komt van de hosters niet van de LetsEncrypt IP's Dat wil niet zeggen dat ze het niet de boel makkelijker maken voor de abusers. Erik van Straten kan je daar vast wel meer over vertellen.

Je kan prima bezwaren hebben tegen LetsEncrypt als CA (heb ik ook) maar ik zou als ik de leverancier was ook dit soort vragen lekker negeren. Je tekend voorwaarden het is niet hun verantwoordelijkheid om je vervolgens toelichting te geven over wat je hebt getekend en het is in tegenstelling tot sommige andere partijen zoals Amazon redelijk heldere taal. Lees je volledig in https://letsencrypt.org/repository/( en dus niet alleen een leverancier overeenkomst) en huur legal consultant, adviseur in als je er niet uitkomt. En begrijp ook dat wat een bedrijf zegt niet wil zeggen ook in jouw land van toepassing is op rechten beperking of zelfs bescherming.

Dit is een spul waar je niet aan moet beginnen als leek als je verantwoordelijk bent voor meer dan enkel jouw data. En dat zeg ik niet om vervelend te zijn maar om te waarschuwen doe je het zelf niet aan.

Het is geen goed idee om andere applicaties afhankelijk te maken van Apache. Die weigerde hier juist dienst.

De configuratie is niet het probleem. Het zijn rechten. Een script is noodzaak, en dat moet op hetzelfde tijdstip wel gebeuren. Certbot kan dat.

Het ligt toch aan jezelf dat je ongeveer nul informatie gaf .

"Dokter, ik heb ergens pijn" .
...
"Ik heb zelf maar de punaise uit m'n bips gehaald, die dokters heb je ook niks aan" .


Nul informatie, gratis forum, nul SLA.


Gefeliciteerd dat je het zelf gevonden hebt.
Alleen - ik hoop dat je je realiseert dat je ervaring NIET moet zijn "als het kapot is, is het altijd een gewijzigde hostname zonder DNS" .

Er zijn tientallen of meer manieren om het kapot te maken. Jij hebt er nu ééntje ervaren.
Ook/meer nuttig is misschien om te delen _hoe_ je de oorzaak gevonden hebt .

Was het "oh shit - ik had die hostname ingesteld kort geleden" ?
Dat zou prima kunnen - de eerste vraag van helpdesk/engineer is meestal ook "wat is er recent gewijzigd" .
(en dan liegt de andere kant "helemaal niks" , terwijl ze bedoelen "ik heb dingen zitten wijzigen maar ik denk niet dat dat de oorzaak is dus zeg ik er is niks gewijzigd" )

Maar hopelijk keek je in logfiles en zag je daar wellicht dingen als 'host not found' , en ging toen een lampje branden ?
Een paar 'typische' oorzaken in je aantekeningen "controleer a/b/c eerst" is handig, maar daarna moet je gestructureerder gaan zoeken , en dan begint meestal met het lezen van de logfiles van de relevante processen .

Als iemand die twintig plus jaar in het vak zit. Hier de magische woorden. Backups, snapshots, blauwdrukken, documenteren, logrotatie, los testen, implementatie in delen.
Houdt je je structureel aan die technieken dan gaat het geheid nog steeds wel eens fout maar je weet razendsnel waar het mis ging je kan razendsnel terug naar de oude setup en als het niet bevalt kun je een alternatief zoeken.

Je schrijft alle significante commandos op of acties met exacte tijd en datum ervoor en welke technici de actie heeft gedaan. Je houdt die informatie tot de infrastructuur niet meer in gebruik is.

Of als je het geld ervoor hebt wat wij doen je slaat ernaast screencaptures op van alle acties en bewaard die veilig op een encrypted schijf in een brandkluis.

Gaat er iets mis wel je hebt je hele audit procedure zojuist met mogelijk uren of dagen verkort. Ik weet ook niet meer uit mijn hoofd wat ik exact week geleden voor acties heb gedaan of laat staan gister. maar mijn actielog wel en als er iets met mij gebeurd weten mijn collegas het ook altijd nog te achterhalen.

Het is een van de saaiste dingen in je vakgebied maar oh zo belangrijk.
Fouten maken *mag* verantwoordelijkheid nemen *moet*

Naschiftje 2 dan maar.

Als je alles op de rit hebt, niks veranderd of zo en het hikt. Dan denken, het is mogelijk dat er meer mensen in de wereld het zelfde probleem hebben nu. En even op je fluitje blazen in een forum. Niet bepaald overstandig want als je ketchup op je witte hemd hebt en je gaat wrijven, dan zit heel je hemd onder.

Het andere is zélf je probleem oplossen. Dan heb je 20 browsers open staan en dan denk je, weet je wat, ik ga maffen. Al die browsers dicht. Maffen. Midden in de nacht komt er dan een plan. En dan nog even doormaffen. Rustig opstaan en daarna plan uitvoeren. Maar eerst even wakker worden. Ik heb in de IT wel voor hetere vuren gestaan. Vliegt er wat scheef, koppie erbij houden. En niet wrijven als er ketchup op je overhemd zit!

Aan wahaha heb je dan niks maar het zij ze gegund, die wahaha. De nuttige input is dat ik weet dat het ergens in mijn eigen tuintje zit en dat ik zelf moet graven. Goed gelukt en alles draait weer. Als pro koppel je dat dan ook weer even terug in het forum. Niet voor wahaha, maar voor als er iemand anders met het zelfde zit. Zo is het hele www met newsgroups ook bedacht. Vele jaren geleden. Lang voordat menigeen deskundige geboren was. Kunnen ze ook niks aan doen. Verwende kinderen leren nooit iets.

Internetopa heeft alles zelf opgelost. Alles werkt weer. Bedankt voor de serieuze aandacht en de rest, ga lekker buitenspelen.

Dan moet je even de ongeldige weghalen, en opnieuw beginnen.
Beter zorg je ervoor dat niet ongeldig worden, door ze tijdig te vernieuwen.

Ik las een tip in de comments dat je moet overstappen naar zerossl, eveneens gratis.
Maar kan je verklappen, die gaan evenmin jouw administrator job op zich nemen.

Piepende klanten doet mij vermoeden dat je diensten verkoopt.
Je zult gewoon moeten werken voor je geld.

Heerlijk. Die eerlijkheid daar hou ik van.

Naschriftje 3 dan maar. Want het kan zijn dat anderen daar wat aan hebben en daar heb je forums voor.

Mijn partner naast me in ChatGPT. Zoekend. Kunnen we de SSL niet uitzetten. Ik dacht, nou doe dan maar, ondanks dat mijn ervaring erg ging jeuken. Als het niet kapot is, niet aan sleutelen. Toen wou apache helemaal niet meer starten. Omdat er SSL regeltjes in de configuraties stonden. Ook logisch, maar bedenk het maar weer als alles plat ligt. En de wat is er aan de hand emails binnen komen.

Je moet inderdaad werken voor je geld!

Wat wel erg mooi was, toen alles het weer deed, die emails eerlijk beantwoorden. Dan bedoel ik ook waar je mogelijk zelf stom was. Niet te veel lullen maar wel eerlijk zijn, want je gebruikers willen ook weten waar ze aan toe zijn. Ik kreeg alleen maar kusjes teruggestuurd en blij dat alles opgelost was. Kippenvelgevalletje!

Jammer dat je hier kwam binnenrazen met "Let's destroy" omdat Let's Encrypt het zogenaamd niet deed. Beter de volgende keer binnenwandelen met "Apache wil niet meer starten", want dat was een symptoom. Mooi dat je hebt aangegeven wat jouw oplossing was, maar neem vooral alle gegeven raad ter harte. Raak niet in paniek, een olifant eet je in stukjes, lees de logs, zorg voor backups/snapshots en hou bij wat je wijzigt. Grote kans dat in een van die dingen een oplossing ligt, al is die misschien tijdelijk.

Verder is het volstrekt onfatsoenlijk om te zeggen dat hier "van die dingesen" zitten. Je maakt het daarmee niet aantrekkelijk om te reageren. Die 'dingesen' gaven een reactie op jouw OP dus je zou eens kunnen beginnen de reden daarvoor bij jezelf te zoeken. Beschrijf wat je ziet, wat je verwacht en wat je geprobeerd hebt.

Eerlijkheid, het probleem erkennen, heb je in zulke gevallen meer aan, dan mooipraterij.
Liever met iemand die 10 leermomentjes nodig heeft maar gewoon straight is, dan met iemand die er over ééntje liegt of onder het tapijt veegt.

Overigens verwacht ik dat we dit in Q3 en Q4 nog wel vaker gaan tegenkomen, nu Let's Encrypt stopt met notifies te emailen.
Kun je -als je niet wil automatiseren- ook makkelijk zelf, middels een cron met dry-run output naar jezelf te laten mailen.

Je werkt nog niet zo lang in de IT?

Dat is mogelijk en een goed idee, dan zou ik eerder eens gaan kijken bij een forum bij de leverancier van het product of dienst. LE of ISPConfig? Eventueel google gebruiker, reddit, twitter, tweakers.
Je blies alleen geen fluitje. Je kwam hier en gaf een rand. En geen enkele nuttige informatie, op een forum, wat geen directe relatie heeft met LE of ISPConfig. Security zou nu niet mijn eerste gedachte zijn, om dit probleem hier te gaan posten. LetsEncrypt, ISPConfig of Tweakers zou ik eerder doen. Met natuurlijk de foutmeldingen, wat ik al gedaan had om te troubleshooten.

Het is dan wel nuttig inderdaad om te melden dat je ketchup vlekken hebt op een witte hemd en een goed forum te gebruiken een geen auto forum bijvoorbeeld.

Misschien ook wat zelf reflectie zien, en inzien, dat je letterlijk null informatie gaf, op een forum wat je waarschijnlijk ook niet direct kan helpen?