ISRG celebrates 10 years of helping build a brighter Internet →

Підтримка IPv6

Останнє оновлення: | Переглянути всю документацію

Let’s Encrypt підтримує IPv6 для доступу до API ACME за допомогою ACME client, а також для пошуку DNS та запитів HTTP, які ми робимо, коли перевіряємо ваш контроль доменних імен.

Перевірка домену

При поданні запитів на підтвердження вихідного домену для домену, який має обидві адреси IPv4 та IPv6 (наприклад, записи A та AAAA), Let’s Encrypt при початковому з’єднанні завжди буде надавати перевагу адресам IPv6. Якщо з’єднання IPv6 виходить з ладу на рівні мережі (наприклад, є час очікування) і є доступні адреси IPv4, то повториться запит із одною з адрес IPv4.

Неправильні адреси IPv6

Часто власники доменів не знають про запис AAAA для свого домену. Якщо адреса IPv6 у записі AAAA неправильна, то це вплине на процес підтвердження домену.

Зазвичай адреса IPv6 буде використовуватися іншим сервером, ніж адреса IPv4, де запущено ACME client. Оскільки ACME clien лише налаштовує сервер IPv4, щоб відповісти на підтвердження домену, то це завдання не вдасться, якщо використовується сервер IPv6.

У більшості випадків, правильним виправленням є оновлення адреси IPv6 так, щоб вона вказувала на сервер, на якому працює ACME client, або потрібно видалити запис AAAA, якщо домен не призначений для роботи з IPv6. В даному випадку немає способу подати запит, Let’s Encrypt надає перевагу IPv4, ви повинні виправити неправильну конфігурацію.

IPv6 до IPv4 - деталі повторної спроби

Повторна спроба IPv6 до IPv4 відбувається лише під час тайм-аутів з’єднання, а не під час інших типів помилок.

Наприклад, у сценарії “Загальні підводні камені” вище згадана повторна спроба не відбудеться, якщо веб сервер прослуховує адресу IPv6, але веб-сервер не готовий відповісти на виклик ACME. У цьому випадку не буде зв’язку час очікування доступу до адреси IPv6, і виклик буде невдалим без повторної спроби, тому що неправильна відповідь була повернута.

Щоб спростити наше програмне забезпечення ЦС, ми виконуємо лише повторну спробу IPv6 до IPv4 на перший запит під час перевірки викликів “http-01”. Якщо ви використовуєте перенаправлення, то файл перенаправлення не отримає повторної обробки.

Наприклад, якщо в доменному імені є запис AAAA, у якому завжди встановлено час очікування та запис A із веб-сервером, який перенаправляє з HTTP на HTTPS, а потім IPv6 на запасний IPv4, то він не працюватиме належним чином. Перший запит до домену буде належним чином повертатися до IPv4, отримавши переадресацію з HTTP на HTTPS. Подальший запит надасть перевагу адресі IPv6, але відбудеться тайм-аут без повернення до IPv4. Вирішити цю ситуацію можна, зафіксувавши неправильну конфігурацію IPv6 або видаливши перенаправлення HTTP на HTTPS для запитів до протоколу ACME HTTP-01.

Як отримати допомогу

Якщо вам потрібна допомога з діагностикою проблеми, пов’язаної з IPv6, відвідайте будь ласка нашу спільноту на форумі community forum.