上次更新時間: | 查看所有文件
Let's Encrypt 支援 IPv6,無論是使用 ACME 客戶端存取 ACME API,或是當我們驗證您對網域名稱的控制權時進行 DNS 查詢和 HTTP 請求,皆支援 IPv6。
網域驗證
當針對同時具有 IPv4 和 IPv6 位址(例如同時有 A 和 AAAA 記錄)的網域發出對外網域驗證請求時,Let's Encrypt 將始終優先使用 IPv6 位址進行初始連線。如果 IPv6 連線在網路層級失敗(例如發生逾時),且有可用的 IPv4 位址,那麼我們會使用其中一個 IPv4 位址重試請求。
錯誤的 IPv6 位址
通常網域擁有者不會知道其網域有 AAAA 記錄。如果 AAAA 記錄中的 IPv6 位址不正確,將會影響網域驗證過程。
常見的情況是,IPv6 位址會與執行 ACME 客戶端的 IPv4 位址是不同的伺服器。由於 ACME 客戶端僅設定 IPv4 伺服器來回應質詢,因此當使用 IPv6 伺服器時,網域驗證將會失敗。
在大多數情況下,正確的解決方法是更新 IPv6 位址以指向執行 ACME 客戶端的伺服器,或者如果網域不打算使用 IPv6,則移除 AAAA 記錄。沒有辦法要求 Let's Encrypt 優先使用 IPv4,您必須修正錯誤的設定。
IPv6 到 IPv4 重試詳細資訊
IPv6 到 IPv4 的重試僅在連線逾時時發生,不會在其他類型的錯誤時發生。
例如,在上面的「常見陷阱」情境中,如果 IPv6 位址上有 Web 伺服器正在監聽,但該 Web 伺服器尚未準備好回答 ACME 質詢,則不會發生重試。在這種情況下,存取 IPv6 位址時不會有連線逾時,且質詢將會失敗而不會重試,因為返回了不正確的回應。
為了使我們的 CA 軟體保持簡潔,我們僅在驗證「http-01」質詢時,在第一次請求時執行 IPv6 到 IPv4 的重試。如果您使用重新導向,重新導向將不會獲得重試處理。
例如,如果網域名稱具有總是逾時的 AAAA 記錄,以及具有將 HTTP 重新導向到 HTTPS 的 Web 伺服器的 A 記錄,則 IPv6 到 IPv4 的回退將無法正常運作。對網域的第一個請求將正確回退到 IPv4,接收從 HTTP 到 HTTPS 的重新導向。後續請求將再次優先使用 IPv6 位址,但會逾時而不會回退到 IPv4。您可以透過修正 IPv6 錯誤設定或移除對 ACME HTTP-01 質詢路徑的請求的 HTTP 到 HTTPS 重新導向來解決此問題。
取得協助
如果您需要協助診斷與 IPv6 相關的問題,請造訪我們的社群論壇。