Rinnovo certificato Let's Encrypt
rinnovo lets encrypt · acme ssl renew · verificare certbot auto renew
Come si rinnovano certificati 90 giorni Let's Encrypt, ACME HTTP-01 vs DNS-01, verificare rinnovo con SSL checker e correggere job auto-renew falliti.
Di Team rete DN01
Let's Encrypt emette certificati DV gratuiti validi 90 giorni, assumendo rinnovo automatizzato. Tracciamento manuale fallisce presto in scala — trattate successo ACME come job monitorato, non nota calendario.
Dopo ogni deploy di rinnovo, confermate hostname pubblico live con SSL Certificate Checker e verificate che notAfter avanzi di ~90 giorni.
Tipi di challenge ACME
HTTP-01: client ACME serve token su `http://hostname/.well-known/acme-challenge/...` — porta 80 raggiungibile da internet richiesta.
DNS-01: TXT su `_acme-challenge.example.com` — funziona per wildcard e quando HTTP bloccato; automatizzate via API DNS se possibile.
TLS-ALPN-01: meno comune, usato su porta 443 con negoziazione ALPN specifica.
Quando il rinnovo fallisce
Controllate log certbot o ingress controller per 403/timeout su URL challenge.
Confermate che record CAA permettano `letsencrypt.org` se CAA pubblicato.
Rate limits: troppi ordini falliti o cert duplicati a settimana — attendete o usate staging endpoint in debug.
Dopo fix, rieseguite SSL Checker — cert edge CDN obsoleti possono cacheare vecchia scadenza fino a purge.
Domande frequenti
- Quanti giorni prima di scadenza rinnovare?
Automatizzate a 30 giorni; alert a 14. LE consiglia rinnovo con 1/3 vita restante (~30 giorni).
- I wildcard richiedono DNS-01?
Sì per client ACME standard — emissione wildcard richiede validazione DNS-01.
- Il rinnovo cambia fingerprint del certificato?
Di solito sì — cert nuovo, serial nuovo. App con pinning devono aggiornare pin o evitare pin di cert LE pubblici.