Jump to content

CSF bloqueando consulta DNS pelo AutoSSL

Leo Amarante

By Leo Amarante
in Segurança

 Share

Recommended Posts

Leo Amarante

Leo Amarante

Posted
Posted

Olá pessoal, blz?

Recentemente migrei um servidor de cliente e reinstalamos cPanel e demais softwares do zero e configuramos o AutoSSL para utilizar o Let's Encrypt como provedor. O problema é que após alguns dias alguns domínios não tiveram o ssl renovado, nos logs mostra timeout nas consultas DNS fazendo com que as entradas não sejam encontradas e o ssl não renovado. O problema é que o domínio está ativo no servidor normalmente, o mesmo ocorre para domínios recém adicionados e só é resolvido quando o CSF é desabilitado e em seguida executado o AutoSSL para o domínio. 

As portas padrão do cPanel estão todas liberadas assim como a 953 que é padrão do PowerDNS, utilizado como servidor DNS. 

Alguém já teve esse problema ou saberia o que pode estar causando e como resolver?

Log parcial
  

Log da execução de AutoSSL para “dominio”: domingo, 29 de janeiro de 2023 11h56min21s GMT-0400 (Let’s Encrypt™)
 11:56:21 AutoSSL’s configured provider is “Let’s Encrypt™”.
 Analyzing “dominio”’s domains …
 11:56:21 Analyzing “dominio.com.br” (website) …
 11:56:21 ERRO TLS Status: Defective
 ERRO Defect: NO_SSL: No SSL certificate is installed.
 11:56:21 Attempting to ensure the existence of necessary CAA records …
 11:56:23 No CAA records were created.
 11:56:23 Verifying 10 domains’ management status …
 Verifying “Let’s Encrypt™”’s authorization on 10 domains via DNS CAA records …
 11:56:53 AVISO DNS query error (dominio.com.br/NS): (XID ks24yz) DNS request timeout: dominio.com.br/NS
 11:56:53 ERRO “dominio.com.br” is unmanaged. Verify this domain’s registration and authoritative nameserver configuration to correct this problem.
 11:56:53 AVISO DNS query error (www.dominio.com.br/NS): (XID zg65js) DNS request timeout: www.dominio.com.br/NS
 AVISO DNS query error (dominio.com.br/NS): (XID kt36c7) DNS request timeout: dominio.com.br/NS
 11:56:53 ERRO “www.dominio.com.br” is unmanaged. Verify registration and authoritative nameserver configuration for this domain or “dominio.com.br” to correct this problem.
 11:56:53 AVISO DNS query error (mail.dominio.com.br/NS): (XID r7zv7q) DNS request timeout: mail.dominio.com.br/NS
 AVISO DNS query error (dominio.com.br/NS): (XID 23vtg9) DNS request timeout: dominio.com.br/NS

 

0

Leo Amarante

Leo Amarante

Posted
  • Author
Posted
7 minutos atrás, LucianoZ disse:

Você customizou o seu CSF ou você deixou ele no padrão? pois perfil padrão é bem fraco em configuração.

Utilizo uma configuração customizada.

0
Elson Freitas

Elson Freitas

Posted
Posted

Olá, 

Atualmente você utiliza a função CC_DENY para algum país? 

Por aqui já ocorreu o mesmo erro e era por conta de bloqueio em alguns paises. Não entendi ao certo porque isso ocorre, mas pode ser que a validação esteja sendo realizada em servidores em alguma localidade que você tenha bloqueado. 

1
Leo Amarante

Leo Amarante

Posted
  • Author
Posted
4 horas atrás, Elson Freitas disse:

Olá, 

Atualmente você utiliza a função CC_DENY para algum país? 

Por aqui já ocorreu o mesmo erro e era por conta de bloqueio em alguns paises. Não entendi ao certo porque isso ocorre, mas pode ser que a validação esteja sendo realizada em servidores em alguma localidade que você tenha bloqueado. 

Opa @Elson Freitas, blza.

Você matou a charada!! Realmente existia uma lista de alguns países asiáticos no CC_DENY, por incrível que pareça a mesma lista está em outro servidor e não ocorre esse problema, então testando identifiquei que o problema era com bloqueio para China (CN). O engraçado de tudo é que este servidor está no Brasil e a validação das DNS parece que estava sendo feita na China, o outro servidor que está nos EUA valida normal mesmo com bloqueio da China.  Valeu pela dica. 

0

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Unfortunately, your content contains terms that we do not allow. Please edit your content to remove the highlighted words below.
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing

  • Recently Browsing   0 members

    • No registered users viewing this page.

×
×
  • Create New...

Important Information

Do you agree with our terms?

  I accept