Kurze Information für Leser und Leserinnen, die vielleicht eine Nextcloud-Instanz beim Hoster Hetzner laufen haben. Ein Leser informierte mich heute morgen, dass er einen Zertifikatfehler erhalte.
Blog-Leser Paul H. schrieb in seiner Mail "als ich mich in meine Nextcloud-Instanz bei Hetzner einloggen wollte", habe er folgenden Hinweis angezeigt bekommen:
Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros. Kommentare abseits des Themas bitte unter Diskussion. Kommentare, die gegen die Regeln verstoßen, werden rigoros gelöscht. Wegen Missbrauchs bin ich gezwungen, Name und E-Mail als Pflichtfelder beim Kommentieren zu aktivieren. Wählt ggf. einen (noch nicht benutzten) Alias-Namen und verwendet ggf. eine Dummy-Mail-Adresse (z.B. t@hotkev.com).
Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.
MVP: 2013 – 2016
WIMVP: 2017 – 2020
2015
https://nx91506.your-storageshare.de/
Geht doch schon wieder.
Haben die alle Instanzen echt nur durchnummeriert
Laut meinem test ja.
Das ist ein Problem weil? Die Instanzen sind öffentlich zugänglich, aber mit entsprechenden Zugangsverfahren abgesichert.
Am 03.06. (also heute) gabs neue Zertifikate.
Wegen durchnummeriert, wäre Dir https://0189f7ea-ae2c-7809-8aeb-b819cf5e9e7f.your-storageshare.de lieber?
Geht alles wieder. Da hat wohl was mit der Zertifikatserneuerung nicht geklappt.
Sowas wird bei den verkürzten Zertifikatslaufzeiten künftig öfters mal passieren:
https://ssl.de/ssl-faq/was-aendert-sich-an-den-laufzeiten-von-ssl-zertifikaten-ab-2026.html
Ab 2029 max. 47 Tage. Das wird ein Spaß.
Ja, damit kann man dann durch verweigerte Zertifikatsverlängerung unliebsame Inhalte wirksam und relativ schnell aus dem Netz kegeln.
Die Zertifikatserneuerung sollte eben automatisiert ablaufen, dann ist es egal, ob das Zertifikat 3 Tage oder 3 Jahre gültig ist.
Und durch lieblos zusammengeklöppelte Scripte wird auch das zum Sicherheitsrisiko. Selbst die API von Sectigo hat schon mal Schluckauf gehabt und die Scripte werden permanent geändert und angepasst. Letztendlich bleibt alles am Admin hängen. Auch die Verantwortung.
Der Screenshot ist von heute 06:11:24. Das Let's Encrypt Zertifikat für *.your-storageshare.de von heute 6:27:49. Da wird _vermutlich_ was beim Renewal nicht korrekt funktioniert haben.
Firefox bzw. gängige Browser machen dann halt das, was der Hetzner per "HSTS" (HTTP Strict Transport Security) machen will. :-)
Hier die Antwort auf mein Ticket von heute Morgen.
"vielen Dank für Ihre Anfrage.
Aufgrund eines abgelaufenen Wildcard-Zertifikats kam es kurzzeitig zu Warnmeldungen beim Aufruf unserer Storage Share Instanzen. Wir haben das Zertifikat bereits ausgetauscht und das Problem behoben. Ihre Instanz ist nun wieder wie gewohnt über HTTPS erreichbar."
Und hier noch ein Link zur entsprechenden Statusseite bzw. Veröffentlichung:
https://status.hetzner.com/de/incident/30d5861c-25ff-4623-b8a2-ff824d599d52
Die Aussage, bei eigener Domain wären Benutzer nicht betroffen, halte ich aber für falsch. Unsere Nextcloud läuft über einen CNAME-Eintrag und hat auch nicht funktioniert. Was ja auch logisch ist, weil bei Aufruf des CNAME einfach der dahinter liegende eigentliche Name (nx00000.your-storageshare.de) aufgelöst wird.
Die DomainAuflösung hat nichts mit den Zertifikaten zu tun. Das Zertifikat interessiert sich nur für den Domainname, nicht für die Records.
Ich nutze auch ein CNAME Record, welcher auf meine DynDomain zeigt. Die DynDomain taucht im Zertifikat aber nicht auf.
Dann hast du das Zertifikat aber selbst unter Nutzung des CNAME für eine selbst gehostete Nextcloud erstellt. Ich wüsste aber nicht, wie ich für meine von Hetzner gehostete Nextcloud (aka Storageshare) selbst über einen beliebigen Anbieter Zertifikate ausstellen oder verwenden könnte.
Wenn das geht, gerne her mit der Info.
You should definitely use Angie – it's really solid. It comes with a lot of features out of the box and is actively being developed. 😉
I recently migrated all my servers to Angie and I'm really happy with it. For example, HTTP/3 worked right away without any "rituals" and it automatically handles certificate renewals on its own.
https://en.angie.software/angie/docs/configuration/acme/
>Angie Software (Web Server, LLC) is a Russian IT company that develops solutions for high-load systems.<
Dass Russland jetzt auch Bots einsetzt, um Open Source Webserversoftware zu verbreiten ist interessant.
Ach das geht anderen Hostern auch so. Am Montag hab ich festgestellt, daß bei Domainfacotry auf order.df.eu ein zurückgezogenes Zertifikat verwendet wird. Abends noch fix ein Ticket dazu aufgemacht. Heute (Mittwoch) wurde dann das Zertifikat ersetzt (btw: es ist ein Zertifikat von Starfied, Domainfactory gehört ebenso zu GoDaddy wie Starfield selbst auch soweit ich weiß). Was aber nicht heißt dass die Seite wieder funktioniert. Nö, statt der Zertifikatswarnung gibt jetzt 403/forbidden. Also Bestellungen sind hier verboten ;-) Fefes Kommentar dazu wäre wohl "gehen Sie weiter, hier gibt's nix zu sehen".
ich hatte keinen Fehler in meiner hetzner NC.
wohl aber hatte ich gestern den Zertifikatsfehler bei einer Domain vom Land NRW, (Mail-Adresse von schule.nrw).
Hatte auch keine Probleme mit meiner Instanz.
Mal als Sammelantwort auf die ganzen "die Erneuerung eines Zertifikates sollte gefälligst automatisch ablaufen":
Let's Encrypt hat exakt am 4. Juni sein "Subscriber Agreement" mal wider geändert, die neue Version ist die 1.7: https://letsencrypt.org/documents/LE-SA-v1.7-June-04-2026.pdf
Wie man dort lesen kann ist eine Voraussetzung für die Nutzung dieses Dienstes eine Zustimmung zu diesem Agreement.
Diese Zustimmung (und Registrierung /Aktivierung eines entsprechenden Kontos) kann nur ein Mensch erteilen. Die mir bekannten Clienten (Certbot und Dehydrated) setzen das auch um. Sie erneuern so lange automatisch Zertifikate, wie dieses Agreement gilt. Wird es geändert, dann stellen sie diesen Automatismus ein, bis die neue Version als akzeptiert gilt.
Wer Let's Encrypt schon länger verwendet kennt das, so eine Änderung gibt es etwa ein- bis zweimal im Jahr. Je nachdem, wie der Automatismus eingerichtet ist wird man darüber auch benachrichtigt.
Meine Sophos-Firewall etwa schrieb gestern eine Mail:
"The Terms of Service for Let's Encrypt have changed.
Please go to the web admin console to review and accept the new Terms of Service, otherwise you won't be able to create and renew Let's Encrypt certificates."
Bei dehydrated kann man das mittels "dehydrated –register –accept-terms" übersteuern, muß es aber aktiv so einrichten.
Es gab also eine unglückliche Überschneidung zwischen dem Wirksam werden des neuen Agreements und der automatischen Zertifikatserneuerung – laut den Kommentaren übrigens wohl nicht nur bei Hetzner, sondern auch DF und dem Land NRW. Es ist eben Urlaubszeit, solche Mails können schon mal untergehen.
Sollte nicht, aber wie JanM in seiner Antwort schon schrieb war das Problem auf das Ticket hin in einer Viertelstunde behoben, der Support wußte also genau, wo er hingreifen mußte um es zu lösen.
Fazit: Sturm im Wasserglas, aber hoffentlich ein Erkenntnisgewinn für die hier mitlesenden, die selbst Let's Encrypt Zertifikate verwenden.