Ir para conteúdo
  • Cadastre-se

CSF bloqueando consulta DNS pelo AutoSSL

Leo Amarante

Por Leo Amarante
em Segurança

 Compartilhar

Posts Recomendados

Leo Amarante

Leo Amarante

Postado
Postado

Olá pessoal, blz?

Recentemente migrei um servidor de cliente e reinstalamos cPanel e demais softwares do zero e configuramos o AutoSSL para utilizar o Let's Encrypt como provedor. O problema é que após alguns dias alguns domínios não tiveram o ssl renovado, nos logs mostra timeout nas consultas DNS fazendo com que as entradas não sejam encontradas e o ssl não renovado. O problema é que o domínio está ativo no servidor normalmente, o mesmo ocorre para domínios recém adicionados e só é resolvido quando o CSF é desabilitado e em seguida executado o AutoSSL para o domínio. 

As portas padrão do cPanel estão todas liberadas assim como a 953 que é padrão do PowerDNS, utilizado como servidor DNS. 

Alguém já teve esse problema ou saberia o que pode estar causando e como resolver?

Log parcial
  

Log da execução de AutoSSL para “dominio”: domingo, 29 de janeiro de 2023 11h56min21s GMT-0400 (Let’s Encrypt™)
 11:56:21 AutoSSL’s configured provider is “Let’s Encrypt™”.
 Analyzing “dominio”’s domains …
 11:56:21 Analyzing “dominio.com.br” (website) …
 11:56:21 ERRO TLS Status: Defective
 ERRO Defect: NO_SSL: No SSL certificate is installed.
 11:56:21 Attempting to ensure the existence of necessary CAA records …
 11:56:23 No CAA records were created.
 11:56:23 Verifying 10 domains’ management status …
 Verifying “Let’s Encrypt™”’s authorization on 10 domains via DNS CAA records …
 11:56:53 AVISO DNS query error (dominio.com.br/NS): (XID ks24yz) DNS request timeout: dominio.com.br/NS
 11:56:53 ERRO “dominio.com.br” is unmanaged. Verify this domain’s registration and authoritative nameserver configuration to correct this problem.
 11:56:53 AVISO DNS query error (www.dominio.com.br/NS): (XID zg65js) DNS request timeout: www.dominio.com.br/NS
 AVISO DNS query error (dominio.com.br/NS): (XID kt36c7) DNS request timeout: dominio.com.br/NS
 11:56:53 ERRO “www.dominio.com.br” is unmanaged. Verify registration and authoritative nameserver configuration for this domain or “dominio.com.br” to correct this problem.
 11:56:53 AVISO DNS query error (mail.dominio.com.br/NS): (XID r7zv7q) DNS request timeout: mail.dominio.com.br/NS
 AVISO DNS query error (dominio.com.br/NS): (XID 23vtg9) DNS request timeout: dominio.com.br/NS

 

0
Link para o comentário
Compartilhar em outros sites
Leo Amarante

Leo Amarante

Postado
  • Autor
Postado
8 minutos atrás, rubensk disse:

Porta de DNS público é 53, não 953. 

Olá @rubensk , sim a porta pública é liberada por padrão, no caso a 953 é especifica do PowerDNS e apenas para acesso interno usando 127.0.0.1 conforme doc. do cPanel >> https://docs.cpanel.net/knowledge-base/general-systems-administration/how-to-configure-your-firewall-for-cpanel-services/

 

0
Link para o comentário
Compartilhar em outros sites
Elson Freitas

Elson Freitas

Postado
Postado

Olá, 

Atualmente você utiliza a função CC_DENY para algum país? 

Por aqui já ocorreu o mesmo erro e era por conta de bloqueio em alguns paises. Não entendi ao certo porque isso ocorre, mas pode ser que a validação esteja sendo realizada em servidores em alguma localidade que você tenha bloqueado. 

1
Link para o comentário
Compartilhar em outros sites
Leo Amarante

Leo Amarante

Postado
  • Autor
Postado
4 horas atrás, Elson Freitas disse:

Olá, 

Atualmente você utiliza a função CC_DENY para algum país? 

Por aqui já ocorreu o mesmo erro e era por conta de bloqueio em alguns paises. Não entendi ao certo porque isso ocorre, mas pode ser que a validação esteja sendo realizada em servidores em alguma localidade que você tenha bloqueado. 

Opa @Elson Freitas, blza.

Você matou a charada!! Realmente existia uma lista de alguns países asiáticos no CC_DENY, por incrível que pareça a mesma lista está em outro servidor e não ocorre esse problema, então testando identifiquei que o problema era com bloqueio para China (CN). O engraçado de tudo é que este servidor está no Brasil e a validação das DNS parece que estava sendo feita na China, o outro servidor que está nos EUA valida normal mesmo com bloqueio da China.  Valeu pela dica. 

0
Link para o comentário
Compartilhar em outros sites

Participe da conversa

Você pode postar agora e se cadastrar mais tarde. Se você tem uma conta, faça o login para postar com sua conta.

Visitante
Infelizmente, seu conteúdo contém termos que não são permitimos. Edite seu conteúdo para remover as palavras destacadas abaixo.
Responder

×   Você colou conteúdo com formatação.   Remover formatação

  Apenas 75 emojis são permitidos.

×   Seu link foi automaticamente incorporado.   Mostrar como link

×   Seu conteúdo anterior foi restaurado.   Limpar o editor

×   Não é possível colar imagens diretamente. Carregar ou inserir imagens do URL.

×
 Compartilhar
Ir para a lista de tópicos

  • Quem Está Navegando   0 membros estão online

    • Nenhum usuário registrado visualizando esta página.
×
×
  • Criar Novo...

Informação Importante

Concorda com os nossos termos?

  I accept