[Eisfair] Problem bei certs_dehydrated Zertifikat Update?

Detlef Paschke schabau at t-online.de
So Feb 5 13:52:39 CET 2023 

Hallo,

heute Nacht sollte ein Zertifikat Update von certs_dehydrated
durchgeführt werden, schief gelaufen ist, da, wie ich finden konnte,
alle Zugriffe auf /.well-known/acme-challenge in HTTP-Code 403 enden.

error_log
[Sun Feb 05 10:09:50.382965 2023] [rewrite:error] [pid 25666:tid
140118862059072] [client 91.45.54.62:50204] AH00670: Options
FollowSymLinks and SymLinksIfOwnerMatch are both off, so the RewriteRule
directive is also forbidden due to its similar ability to circumvent
directory restrictions : /var/www/htdocs/certs_dehydrated

Port 80 und 443 sind bei mir dauerhaft offen.

Die letzten Zertifikat Updates (das letzte am 04.12.2022) liefen
Problemlos und Fehlerfrei. In der Zwischenzeit habe ich auf jeden Fall
Apache2 upgedatet und ob eine .htaccess im APACHE2_DOCUMENT_ROOT auch in
dieser Zeit hinzukam weiß ich nicht genau.

Erwähnung der .htaccess aus diesem Grund.
Ich habe beobachtet, dass ein Zugriff auf /.well-known/acme-challenge
problemlos möglich ist, wenn im APACHE2_DOCUMENT_ROOT keine oder eine
.htaccess mit "RewriteEngine off" abgelegt ist. Der weitere Inhalt der
.htaccess spielt keine Rolle, selbst wenn alles auskommentiert wurde,
endet ein Zugriff auf /.well-known/acme-challenge bei Fehler 403, wenn
"RewriteEngine on" angegeben ist. Die Einträge "Options +FollowSymlinks"
oder "Options +SymLinksIfOwnerMatch" in der .htaccess haben keinen
Einfluss und ändern nichts.

Als Zwischenlösung habe ich in
/etc/apache2/mods-enabled/certs_dehydrated.conf die Zeile "Options None"
auskommentiert und damit greift das Standardmäßige "Options
FollowSymLinks" in Apache2.
Aber beim nächsten Paket-Update von certs_dehydrated ist das wieder weg
und das war zuvor nicht nötig. Und die Einträge in
/etc/apache2/mods-enabled/certs_dehydrated.conf entsprechen dem, was
überall zu finden ist.
Was ist denn hier auf einmal anders?

Das letzte Update von certs_dehydrated kann ich nicht mehr nachvollziehen.
Das letzte Apache2 Update war am 12.01.2023 von 3.2.6 auf 3.2.7.
Ob ich die genannte .htaccess im APACHE2_DOCUMENT_ROOT erst nach dem
letzten Zertifikat Update von certs_dehydrated angelegt habe, weiß ich
nicht mehr. Auf jeden Fall, sollte es ja nicht unmöglich sein, im
APACHE2_DOCUMENT_ROOT eine .htaccess mit "RewriteEngine on" zu hinterlegen.

Viele Grüße
Detlef Paschke

-- 
Das "Zitat des Augenblick" gibt es nur auf:
https://schabau.eu

Meine "Merkzettel" findet man unter:
https://helpdesk.schabau.eu

Mehr Informationen über die Mailingliste Eisfair