Bien plus qu'un hébergeur !
Dernière mise à jour :
Publication :

Comment accélérer la livraison du certificat SSL / HTTPS délivré par Sectigo ou Let’s Encrypt dans cPanel ?

Tout de suite après avoir reçu votre compte d’hébergement ; après avoir lié votre nom de domaine ; ou après avoir ajouté un domaine supplémentaire à votre compte cPanel, la première action que vous voudrez peut-être réaliser, c’est vérifier que votre hébergement est correctement accessible en HTTPS, de manière sécurisée grâce au protocole SSH.

Autrement dit…

Vous voulez éviter une erreur de SSL sur votre adresse HTTPS

Votre connexion n'est pas privée sur Google Chrome et un Hébergement cPanel

Comment accélérer la livraison du certificat SSL dans cPanel ?

Lorsque vous aurez lié votre nom de domaine depuis votre registrar, avec votre nouvel hébergement EasyHoster, en y configurant vos NS EasyHoster, veuillez patienter au moins 30 minutes et surveiller la propagation de votre adresse IP grâce à dnschecker.org.

Ensuite, il vous sera possible de…

Limitations et délais imposés par les organismes gratuits

Attention : les organismes de certifications SSL gratuits tels que Sectigo et Let’s Encrypt ont des règles strictes pour l’attribution des certificats. Vous êtes libre de lancer manuellement des Run AutoSSL, mais attention de ne pas en abuser !
En cas d’abus, les organismes peuvent bloquer votre nom de domaine pour 24 heures, voire jusqu’à 1 semaine, ce qui engendrerait un grave préjudice pour la disponibilité de votre site.
Nous vous conseillons, après 2 ou 3 tentatives infructueuses, de contacter le support technique EasyHoster pour obtenir plus d’assistance au niveau de la configuration de votre certificat SSL.

Lancer manuellement un Run AutoSSL

Pour forcer l’attribution d’un certificat SSL pour votre nouveau domaine principal ou supplémentaire, rendez-vous dans cPanel, section SSL/TLS Status > Sélectionner tout > Run AutoSSL.

Forcer certificat SSL hébergement cPanel
Après la propagation de vos serveurs de noms (NS / DNS) vérifiée sur dnschecker.org ; et après 30 minutes d’attente, lancez manuellement un Run AutoSSL. N’abusez pas de cette fonctionnalité et espacez vos tentatives de 30 minutes, car en cas d’échecs multiples, l’organisme peut vous bannir pour 1 à 7 jours.

Le certificat n’est pas livré 30 à 60 minutes après la propagation des NS et plusieurs Run AutoSSL

Vous recevez une erreur similaire sous l’onglet AutoSSL de cPanel :

A DNS (Domain Name System) or web server misconfiguration may exist. The domain “www.example.com” resolved to an IP address “2001:41d0:0001:1b00:0213:0186:0033:0003” that does not exist on this server

Cela fait plus de 2 heures que vous avez effectué un changement d’IP sur une Zone DNS de type A.

D’après  DNSChecker.org , votre IP est propagée dans +80% des serveurs DNS mondiaux.

Mais Let’s Encrypt et Sectigo refusent toujours de vous livrer votre certificat via AutoSSL ?

Dans votre interface AutoSSL, vous recevez une erreur semble à celle-ci :

A DNS (Domain Name System) or web server misconfiguration may exist. The domain “www.example.com” resolved to an IP address “2001:41d0:0001:1b00:0213:0186:0033:0003” that does not exist on this server

A DNS (Domain Name System) or web server misconfiguration may exist. The domain “www.example.com” resolved to an IP address “2001:41d0:0001:1b00:0213:0186:0033:0003” that does not exist on this server
Le module AutoSSL de cPanel, Let’s Encrypt ou Sectigo refusent de livrer votre Certificat SSL ? Vérifiez que votre domaine ne pointe pas vers votre ancien Hébergement Web via un Champ DNS AAAA (IPv6).

Dans ce cas, la solution à votre problème de DNS ce trouve sûrement ci-dessous :

Attention aux champs AAAA destinés aux IP v6

Effectivement, dans ce cas, il est probable que vos Zones DNS avancées contiennent des  Enregistrements de type AAAA ! 

Comment vérifier la présence d’un Champ DNS AAAA sur mon domaine ?

Pour cela, faites un NS Lookup sur votre nom de domaine.

Si vous n’êtes pas familier des lignes de commande Linux, vous pouvez faire un NS Lookup avec un outil en ligne tel que :

Solution : A DNS (Domain Name System) or web server misconfiguration may exist. The domain resolved to an IP address that does not exist on this server. Supprimer le champ AAAA IPv6
Une mauvaise configuration du DNS (Domain Name System) ou de Serveur Web a été détectée par AutoSSL ? Le domaine a été “résolu” en une adresse IP qui n’existe pas sur votre serveur ? La solution pour vous est sûrement de supprimer le champ AAAA (IPv6) qui pointe vers l’ancien serveur.

Sur la capture ci-dessous, vous voyez que grâce à un test DNS via NSLookup.io, nous voyons très clairement que des Champs DNS AAAA (IPv6) sont présents et doivent être supprimés, par exemple, pour débloquer la propagation DNS d’un domaine enregistré chez OVHCloud, etc.

Pourquoi supprimer le champ AAAA (IPv6) qui pointe vers l’ancien serveur ?

Faut-il le préciser ? 😁

Si les robots d’authentification de Let’s Encrypt ou Sectigo résolvent sur la mauvaise adresse IP, à savoir votre adresse IP v6, liée à votre champ DNS AAAA, l’organisme n’acceptera jamais de vous délivrer votre certificat SS.

Dépêchez-vous donc de supprimer ce champ AAAA (en le copiant quelque part au préalable), et conservez uniquement la liaison IP v4 à votre Hébergement EasyHoster. C’est-à-dire, via la Zone DNS classique de type A.

Vous n’avez aucun Champ AAAA configuré sur votre nom de domaine via les Zones avancées de votre registrar, ou via l’Hébergeur de vos Zones DNS (CloudFlare, GoDaddy…) ?

Dans ce cas, voici plusieurs autres suggestions pour accélérer la livraison du Certificat SSL de votre site.

Tenter de supprimer un ancien certificat SSL ?

Réservé aux experts qui savent ce qu’ils font.

Dans certains cas de figure relativement spécifiques, en cas de non livraison du Certificat SSL après un long délai d’attente, il peut être nécessaire de “supprimer le certificat SSL existant”. Pour cela, vous pouvez vous reporter à la documentation relative à la Suppression d’un certificat SSL.

Supprimez tous les Certificats SSL ou rien !
Pour un même nom de domaine, si vous choisissez de supprimer le Certificat SSL Autosigné de votre domaine principal, n’oubliez pas de supprimer aussi ceux de tous les sous-domaines associés, et ce, pour éviter d’empêcher AutoSSL de délivrer son certificat, pour cause d’incohérence entre les (sous) domaines.

Les organismes deviennent de plus en plus stricts et vigilants pour la vérification de propriété des noms de domaine.

Sachez donc qu’il est souvent préférable de ne pas supprimer les Certificats SSL Autosignés, afin de laisser AutoSSL les remplacer de lui-même, lors du passage de Sectigo ou de Let’s Encrypt.

Cela permet souvent d’éviter des délais supplémentaires, qui peuvent subvenir en cas d’échecs répétés, pour cause d’incohérence dans les configuration des Certificats SSL du domaine et des sous-domaines !

Si vous ne souhaitez pas supprimer les Certificats SSL autosignés de vos sous-domaines, lisez la suite…

Serveurs NS tiers : vérifier que tous les sous-domaines pointent vers l’IP EasyHoster ou sont exclus d’AutoSSL

Vous ne souhaitez pas faire pointer entièrement votre domaine vers EasyHoster ?

Vous utilisez des Serveurs NS tiers, comme ceux de Cloudflare ou ceux du Registrar de votre nom de domaine ? (OVHCloud, InternetBS, Dynadot, GoDaddy, ou autre ?)

 « Exclude from AutoSSL »  est votre solution !

Exclude from AutoSSL (Hébergement cPanel)

Veuillez  NE  laisser activer AutoSSL  QUE  sur les sous-domaines qui pointent effectivement bien vers votre IP EasyHoster (voir colonne de droite de l’accueil de votre compte d’Hébergement cPanel).

Nouveaux délais imposés par les organismes de certification gratuits

Pour éviter tout délai supplémentaire, nous vous invitons à contacter directement l’assistance EasyHoster.

En effet, il faut savoir que depuis toujours, Let’s Encrypt impose des limites aux requêtes de type Run AutoSSL qui peuvent entraîner une mise en liste noire du domaine faisant objet de la requête. C’est la raison pour laquelle la majorité des serveurs EasyHoster utilisaient l’organisme officiel conseillé aujourd’hui par cPanel, le dénommé Sectigo.

Cependant, depuis décembre 2021, Sectigo semble également appliquer certains quotas aux requêtes issues d’hébergeurs cPanel, avec des délais pouvant aller jusqu’à 1 jour ouvrable pour la livraison du certificat SSL.

Délai certificat SSL HTTP Sectigo Let's Encrypt
Selon Sectigo, l’émission des certificats basés sur le DV (Domain Validated) peut prendre, à partir de quelques minutes, jusqu’à 1 jour ouvrable. Source : sectigostore.com/ssl-support/faqs.

Sectigo cannot currently accept incoming requests ”

Il n’est donc pas rare qu’un utilisateur doive patienter jusqu’à 24 heures pour obtenir son certificat SSL, en particulier s’il a abusé de la fonction Run AutoSSL.

Sur la capture d’écran ci-dessous, vous pourrez voir qu’en tant que fournisseur d’hébergement cPanel, nous disposons de journaux détaillés (View log) nous permettant d’analyser clairement l’erreur de livraison du certificat SSL : est-ce qu’il y a un délai ; est-ce que le domaine est mal configuré ; autre chose… ?

Long délai pour la livraison de certificats SSL HTTPS sur hébergement cPanel

De même, côté WHM, ~ cPanel nous permet actuellement ~ de lancer manuellement la tâche quotidienne de livraison des certificats, normalement exécutée toutes les 24 heures : Run AutoSSL for all users (voir capture ci-dessus).

Nous disposons également de lignes de commande permettant de vérifier et forcer (2) la génération du certificat SSL dans certains cas de figure.

Pour usage interne à EasyHoster (WHM) uniquement :

Vérification des certificats d’un compte utilisateur + soft refresh. 

/usr/local/cpanel/bin/autossl_check --user=$USER

Suppression d’un ancien certificat (si nécessaire). 

whmapi1 delete_ssl_vhost host=sub.example.com

Forcing de la file d’attente (si disponible dans WHM).

/usr/local/cpanel/bin/autossl_check_cpstore_queue --force

Pour éviter la file d’attente de 24h (par exemple chez Sectigo), l’option suivante fonctionne dans les situations normales, quand les Files d’attente des Organismes SSL ne sont pas surchargées.

/usr/local/cpanel/bin/autossl_check --all

Si l’administrateur trouve ces lignes dans les logs AutoSSL de cPanel :  “…provider’s AutoSSL queue already contains a certificate request… and its last poll time is…”  la cause du délai est, d’après nos analyses, une File d’attente chargée, du côté de Sectigo.
Actuellement, la seule solution proposée par Sectigo et cPanel, dans ce type de cas de figure, semble être de patienter, en attendant que les serveurs de Sectigo ait pu traiter les demandes en attente pour enfin livrer le Certificat SSL Gratuit (compter 1h à 4h max d’attente dans les pires cas observés).

Veuillez nous excuser pour cette situation indépendante d’EasyHoster.

Dans ce cas, des Run AutoSSL peuvent être relancés à interval de 30 min et le Support EasyHoster peut être contacté pour une analyse approfondie des logs AutoSSL.

Enfin,  option nucléaire , dans vos Daily Cron Jobs cPanel (WHM), modifier l’heure de la tâche planifiée (upcp) à “dans 2 minutes” (pour cela, vérifier l’heure du serveur dans Server Time).

Limites AutoSSL & Validation DNS (forcer cPanel) - UPCP : /usr/local/cpanel/scripts/fix-cpanel-perl; /usr/local/cpanel/scripts/upcp --cron.
Temporairement, nous configurons la Daily Cron de cPanel pour s’exécuter à 12h34. C’est-à-dire, à l’heure du déjeuner alors que cette tâche est supposée être exécutée pendant la nuit.

Patienter au moins 2 minutes que cPanel réalise les tâches quotidiennes (Daily Crons).

Ces tâches quotidiennes incluent de nombreuses commandes liées au SSL. Voici quelques exemples (à ne pas exécuter vous-même) : /usr/local/cpanel/bin/is_script_stuck –script=autossl_check –time=22h –kill –notify=root ; /usr/local/cpanel/scripts/expunge_expired_certificates_from_sslstorage… Vous pouvez retrouver l’ensemble de ce rapport de commandes en cherchant l’output envoyé par email à l’admin du serveur, suite à la Daily Cron.

Ensuite, réalisez un nouveau forcing de livraison des certificats SSL en attente via Auto SSL via les commandes mentionnées ci-dessus.

Finalement, ne pas oublier de reconfigurer la Daily Cron upcp pour être exécutée pendant la nuit.

Si vous cherchez à générer ou regénérer le Certificat SSL de votre hostname cPanel, voici la ligne de commande à utiliser (une seule fois, avec précaution).

/usr/local/cpanel/bin/checkallsslcerts --allow-retry --verbose

Dans la plupart des cas, ces fonctions nous permettent ~ pour l’instant ~  de contourner certaines limites de Sectigo et donc, nous permettent souvent d’accélérer le processus de livraison du certificat SSL, dans le cas où le domaine est bien configuré et les NS bien propagés.

N’hésitez donc jamais à nous contacter pour vous porter assistance avec vos certificats SSL, car nous sommes conscients que vous avez besoin de vos certificats pour pouvoir travailler et accueillir des visiteurs sur votre site.

Sommaire de ce billet
Besoin d'aide ?
Tester le potentiel de l'Hébergement PageSpeed Speed.EasyHoster.net
Testez-nous sur PageSpeed

Le site WordPress speed.easyhoster.net ➚ permet de tester le potentiel des solutions d'Hébergement Web EasyHoster.