עדכון אחרון: | הצגת כל התיעוד
ל־Let’s Encrypt יש תמיכה ב־IPv6 גם לטובת גישה ל־API של ACME באמצעות לקוח ACME וגם עבור חיפושים מול DNS ובקשות HTTP שאנו מבצעים בעת תיקוף השליטה שלך על שמות תחום.
תיקוף שמות תחום
בעת הגשת בקשות תיקוף יוצאות לשם תחום שיש לו כתובות IPv4 ו־IPv6 (כלומר: גם רשומות A
וגם AAAA
) מערכת Let’s Encrypt תמיד תעדיף את כתובות ה־IPv6 להתחברות הראשונית. אם חיבור ה־IPv6 נכשל ברמת הרשת (למשל: זמן ההמתנה פג) ויש כתובות IPv4 זמינות אז יתבצע ניסיון חוזר להגיש את הבקשה לאחת מכתובות ה־IPv4.
כתובות IPv6 שגויות
על פי רוב, בעלי שמות תחום אינם מודעים לרשומת AAAA
עבור שם התחום שלהם. אם כתובת ה־IPv6 ברשומת ה־AAAA
שגויה, זה ישפיע על תהליך תיקוף שם התחום.
בדרך כלל כתובת ה־IPv6 תפנה לשרת שונה מאשר כתובת ה־IPv4 בו פועל לקוח ה־ACME. מאחר שלקוח ה־ACME מגדיר רק את כתובת שרת ה־IPv4 שיגיב לאתגר, תיקוף שם התחום ייכשל כאשר ייעשה שימוש בשרת ה־IPv6.
ברוב המקרים התיקון הנכון לכך הוא לעדכן את כתובת ה־IPv6 כך שתצביע לשרת שבו מופעל לקוח ה־ACME או להסיר את רשומת ה־AAAA
אם שם התחום לא אמור לעבוד עם IPv6. אין דרך לבקש מ־Let’s Encrypt להעדיף IPv4, עליך לתקן את ההגדרות השגויות.
פרטי ניסיונות חוזרים מ־IPv6 ל־IPv4
ניסיון חוזר מ־IPv6 ל־IPv4 מתרחש רק כאשר הזמן שמוקצב לחיבור פג, לא עקב סוגים אחרים של שגיאות.
למשל בתרחישי „המלכודות הנפוצות” שלהלן לא יתבצע ניסיון מחדש אם יש שרת שמאזין לכתובת IPv6 אך השרת הזה אינו מוכן לענות לאתגר ACME. במצב שכזה לא יפוג זמן החיבור בגישה לכתובת IPv6 והאתגר ייכשל ללא ניסיון חוזר כיוון שהתגובה שהוחזרה אינה נכונה.
כדי לשמור על פשטות תכנית רשות האישורים שלנו אנו רק נבצע ניסיון חוזר של IPv6 אל IPv4 בבקשה הראשונה בעת תיקוף אתגרי „http-01”. אם האתר שלך משתמש בהפניות, ההפניות לא תטופלנה במסגרת ניסיונות חוזרים.
למשל אם לשם תחום יש רשומת AAAA
שזמן ההמתנה אליה תמיד פג ורשומת A
עם שרת שמפנה מ־ HTTP אל HTTPS אז הנסיגה מ־IPv6 ל־IPv4 לא תפעל כראוי. הבקשה הראשונה לשם התחום תיסוג אוטומטית ל־IPv4 כראוי תוך קבלת הפניה מ־HTTP ל־HTTPS. הבקשה העוקבת שוב תעדיף את כתובת ה־IPv6 אבל זמן ההמתנה יפוג מבלי לסגת ל־IPv4. ניתן לפתור את המצב הזה או על ידי תיקון הגדרות ה־IPv6 השגויות או על ידי הסרת ההפניה מ־HTTP ל־HTTPS עבור בקשות לנתיב האתגר HTTP-01 של ACME.
קבלת עזרה
אם ברצונך לקבל סיוע בניתוח תקלה שקשורה ב־IPv6 נא לבקר בפורום הקהילתי שלנו.