Skip to main content

Ik probeer met let’s encrypt via certbot een SSL-certificaat aan te te vragen voor mijn kpn hostname. Helaas krijg ik de melding dat het CAA record dit niet toestaat. Hoe nu verder? Alvast bedankt voor de reacties.

# certbot certonly --standalone
Saving debug log to /var/log/letsencrypt/letsencrypt.log
Plugins selected: Authenticator standalone, Installer None
Please enter in your domain name(s) (comma and/or space separated)  (Enter 'c'
to cancel): 145-53-236-77.fixed.kpn.net
Obtaining a new certificate
Performing the following challenges:
http-01 challenge for 145-53-236-77.fixed.kpn.net
Waiting for verification...
Challenge failed for domain 145-53-236-77.fixed.kpn.net
http-01 challenge for 145-53-236-77.fixed.kpn.net
Cleaning up challenges
Some challenges have failed.

IMPORTANT NOTES:
 - The following errors were reported by the server:

   Domain: 145-53-236-77.fixed.kpn.net
   Type:   caa
   Detail: CAA record for 145-53-236-77.fixed.kpn.net prevents
   issuance

 

 

Kan zo niet zeggen of de error m.b.t. CAA terecht is, er kan ook makkelijk nog wat anders aan de hand zijn. Ik krijg i.i.g. een http page load error op het aangegeven ip adres, vziw is dat al een probleem. Wellicht dat er in de logfile meer hints te vinden zijn, of op letsencypt forum.

Heb je wel een website actief op dat adres?

Hallo tmoesel en wjb, bedankt voor jullie reacties.

Het feit dat jullie geen website te zien krijgen op mijn ipadres klopt, vandaar ook dat ik certbot de parameter --standalone meegeef zodat hij zelf een server opstart. Als certbot draait is op mijn ipadres wel een website te vinden, namelijk die van certbot zelf, en daarmee wordt de challenge gecontroleerd. Dat werkt prima en in principe zou let’s encrypt mij een certificaat willen geven voor mijn subdomein, ware het niet dat het CAA-record van het hoofddomein `kpn.net` dat volgens let’s encrypt niet toestaat.

Gewoon ter interesse, hebben jullie wel een SSL certificaat op een subdomein van kpn.net of op een ander domein? Mogelijk dat het helemaal niet kan?

Ik heb SSL certificaten op andere domeinen.

Mijn EdgeRouter heeft een zakelijk subdomein (sub.zakelijkdomein.nl) en op mijn NAS gebruik ik de ddns subdomeinen van Synology (mijnnas.synology.me).

Mijns inziens heb je ook vrij weinig aan een SSL certificaat op de reverse DNS of wil je die echt gaan gebruiken voor het benaderen van jouw apparaat.

Je kunt voor zover ik weet ok helemaal geen certificaat voor 145-53-236-77.fixed.kpn.net aanvragen, aangezien jij helemaal geen autoriteit hebt over het root domein kpn.net

Als je een eigen website met certificaat wilt hosten op je ISP aansluiting, moet je eerst je eigen domein aanvragen en de DNS records maar jouw IP adres laten verwijzen. 

Je hoeft ook geen "autoriteit" te hebben over het root domein om een SSL certificaat aan te vragen. Ik heb ook geen "autoriteit" over het domein "synology.me" maar toch heb ik een SSL certificaat op "mijnnas.synology.me".

Ok, I stand corrected.

*note to self: eerst even in de materie verdiepen* 😇

@BazzzNL Ik hebt letsencrypt wel werkend op een ander domain, gebruik het nauwelijks, had daarom http(s) in een firewall weer geblokkeerd, waardoor uiteindelijk de renew faalde. Toen ik dat een keer weer wilde fixen, wilde dat niet adhoc, maar dat is een bekend fenomeen. Uiteindelijk na uren of dagen blijkt de renew wel succesvol, heb er verder niet meer na gekeken.

Het zou best kunnen dat de melding m.b.t. CAA terecht is, b.v. omdat dit policy of beleid is van KPN, om wat voor reden dan ook.

Mijns inziens heb je ook vrij weinig aan een SSL certificaat op de reverse DNS of wil je die echt gaan gebruiken voor het benaderen van jouw apparaat.

Wellicht dat een stukje context gepast is. Mijn vrouw is sportinstructrice en geeft via haar eigen website (extern gehost) online livelessen, denk aan Zumba en dergelijken. Haar website heeft een html videotag en een stukje javascript dat verbinding maakt met mijn thuisnetwerk om daar de videodata vandaan te halen. Welke hostname daarvoor gebruikt wordt is niet relevant want deze is toch niet zichtbaar, dus 145-53-236-77.fixed.kpn.net is prima, maar het is wel belangrijk dat er een SSL-certificaat is, want de website wordt (uiteraard) over https geserveerd. Let’s Encrypt geeft geen certificaten voor ip-adressen, dus het moet een hostname zijn.

Ik heb intussen een gratis hostname (.ml) aangevraagd voor mijn ip-adres en daarmee kan ik prima een let’s encrypt certificaat aanvragen. Het probleem lijkt derhalve bij het CAA record op kpn.net te liggen. Wellicht dat dit de uiteindelijke oplossing gaat zijn, maar ik zou liever via een hostname van kpn werken omdat dit minder administratie met zich meebrengt (.ml moet je elk jaar opnieuw aanvragen).

 

Het zou best kunnen dat de melding m.b.t. CAA terecht is, b.v. omdat dit policy of beleid is van KPN, om wat voor reden dan ook.

Daar lijkt het inderdaad op, maar ik zou dat vreemd beleid vinden omdat alle officiële kpn-websites op kpn.com gehost worden en kpn.net dus voor de klanten zou kunnen zijn. Ik zie geen gevaar in het weghalen van dat CAA-record, maar goed. Wie ben ik? 😊

 

Bij mijn vorige internetprovider had ik een soortgelijke situatie (CAA record) op hoofddomein, maar daar kon ik in het controlepaneel mijn hostname aanpassen naar een hoofddomein waar geen CAA-record op staat. Wellicht dat KPN iets soortgelijks heeft?

Nou, hier de CAA records for kpn.net dan maar even

kpn.net.        3599    IN    CAA    0 iodef "mailto:abuse@kpn.com"

kpn.net.        3599    IN    CAA    0 issuewild "globalsign.com"

kpn.net.        3599    IN    CAA    0 issuewild "thawte.com"

kpn.net.        3599    IN    CAA    0 issue "kpn.com"

kpn.net.        3599    IN    CAA    0 issue "geotrust.com"

kpn.net.        3599    IN    CAA    0 issuewild "digicert.com"

kpn.net.        3599    IN    CAA    0 issuewild "geotrust.com"

kpn.net.        3599    IN    CAA    0 issue "thawte.com"

kpn.net.        3599    IN    CAA    0 issue "globalsign.com"

kpn.net.        3599    IN    CAA    0 issue "digicert.com"

 

Ja iets dergelijks had ik ook gevonden. Het feit dat Let’s Encrypt daar niet bij staat geeft mij het vermoeden dat Let’s Encrypt geen certificaten mag uitdelen voor subdomeinen van kpn.net. Waarom dat KPN daarvoor besloten heeft blijft me onduidelijk.

Hoi allen. Ik heb hier niet direct zinnige dingen over te melden. 

@Dennis ABD, heb jij wellicht zinnige dingen toe te voegen? :grin:

Ja hoor, dat kan ik. Veiligheid. CA’s gaan nog wel eens de fout in en door het aantal CA’s wat certificaten  uit mag geven voor onze domein te limiteren, is dat aanvalsvlak kleiner.

@Dennis ABD  bedankt voor je reactie en waarschijnlijk is dat het juiste antwoord. Gewoon een interessante wedervraag: Als het doel is om het aantal CA’s laag te houden, waarom is het aantal dan niet nul? Dat zou het laagstmogelijke zijn en conform jouw stelling dus het meest veilig. Het handjevol CA’s dat nu wel certificaten mag uitdelen lijkt willekeurig. Subvraag, waarom zit Let’s Encrypt niet bij dat handjevol?

 

0 kan niet, dan kunnen er geen certificaten uitgegeven worden.

 

Het lijstje is de CA’s die we gebruiken. Lets Encrypt staat er niet bij omdat die niet gebruikt word. Ik verwacht dat een gedeelte hiervan legacy is, het zal dan ook wel krimpen op een gegeven moment, we hebben immers onze eigen CA.

Het lijstje is de CA’s die we gebruiken. Lets Encrypt staat er niet bij omdat die niet gebruikt word. Ik verwacht dat een gedeelte hiervan legacy is, het zal dan ook wel krimpen op een gegeven moment, we hebben immers onze eigen CA.

Dat is jammer want Let's Encrypt is gratis en jullie eigen CA is dat niet. 

Ja hoor, dat kan ik. Veiligheid. CA’s gaan nog wel eens de fout in en door het aantal CA’s wat certificaten  uit mag geven voor onze domein te limiteren, is dat aanvalsvlak kleiner.

erg triest dat jullie zelf een wijziging doorvoeren zonder hierover vooraf na te denken, en vervolgens dan maar gewoon zeggen "nee mag niet vanwege veiligheid”.

 

Het is wel duidelijk dat jullie niet om je klanten geven.

Had Let's Encrypt SSL-certificaat werkend op mijn thuis server met het XS4All abonnement. Na de overgang naar het KPN-netwerk werkte dat niet meer. Maakt inderdaad wel duidelijk dat KPN bureaucratie niet schuwt om aan je te verdienen. 

Heb het opgelost met een Strato Basic Mail abonnement. 2 euro per maand inclusief een eigen Domein-naam. Via DNS A-record kan je jou Domein-naam naar het IP Adress van eigen server laten verwijzen. Op je eigen server kan je dan met een gratis Let’s Encrypt SSL-certificaat werken. Strato levert zelf ook certificaten maar staat Let’s Encrypt gewoon toe.
Voordeel van deze constructie t.o.v. XS4All/KPN is dat mijn email adres niet meer aan een leverancier vast zit. Als alle email registraties her en der overgezet zijn weer vrij om voor de beste provider te kiezen.   

Had Let's Encrypt SSL-certificaat werkend op mijn thuis server met het XS4All abonnement. Na de overgang naar het KPN-netwerk werkte dat niet meer. Maakt inderdaad wel duidelijk dat KPN bureaucratie niet schuwt om aan je te verdienen. 

Wat een onzin om dit maar weer in de schoenen van KPN te schuiven i.p.v. eerst eens naar de eigen procedures te kijken.

Let's Encrypt werkt uiteraard ook gewoon op KPN aansluitingen, ik heb er meerdere actief.

Het enige wat je moet doen is ergens een domein registreren en die naar jouw publieke IP adres laten verwijzen. Jij gebruikt daar nu Strato voor, ik heb mijn domeinen bij mijndomein.nl ondergebracht voor €1,20 per domein per jaar.

De Kennisbank

Heb je vragen over diensten, producten of wil je weten hoe je modeminstellingen verandert? Vind het antwoord op de meest gestelde vragen in onze Kennisbank

...

Community voorwaarden