Renouvellement de certificat Let's Encrypt
renouvellement lets encrypt · acme ssl renew · vérifier certbot auto renew
Comment se renouvellent les certificats 90 jours Let's Encrypt, ACME HTTP-01 vs DNS-01, vérifier le renouvellement avec SSL checker et corriger les jobs auto-renew échoués.
Par Équipe réseau DN01
Let's Encrypt émet des certificats DV gratuits valides 90 jours, en supposant un renouvellement automatisé. Le suivi manuel échoue vite à l'échelle — traitez le succès ACME comme job monitoré, pas comme note calendrier.
Après chaque déploiement de renouvellement, confirmez le hostname public live avec le SSL Certificate Checker et vérifiez que notAfter avance d'environ 90 jours.
Types de challenge ACME
HTTP-01 : le client ACME sert un token à `http://hostname/.well-known/acme-challenge/...` — port 80 reachable depuis internet requis.
DNS-01 : enregistrement TXT sur `_acme-challenge.example.com` — fonctionne pour wildcards et quand HTTP est bloqué ; automatisez via API DNS si possible.
TLS-ALPN-01 : moins courant, utilisé sur port 443 avec négociation ALPN spécifique.
Quand le renouvellement échoue
Vérifiez les logs certbot ou ingress controller pour 403/timeout sur l'URL challenge.
Confirmez que les enregistrements CAA autorisent `letsencrypt.org` si CAA est publié.
Rate limits : trop de commandes échouées ou certs dupliqués par semaine — attendez ou utilisez staging endpoint en debug.
Après correction, relancez SSL Checker — vieux certs edge CDN peuvent cacher une ancienne expiration jusqu'au purge.
Questions fréquentes
- Combien de jours avant expiration renouveler ?
Automatisez à 30 jours ; alerte à 14. LE recommande renouveler quand 1/3 de vie reste (~30 jours).
- Les wildcards nécessitent DNS-01 ?
Oui pour clients ACME standard — émission wildcard exige validation DNS-01.
- Le renouvellement change-t-il l'empreinte du certificat ?
Généralement oui — nouveau cert, nouveau serial. Apps avec pinning doivent mettre à jour les pins ou éviter pin de certs LE publics.