Erreur avec le challenge HTTP Let's encrypt

Tchup · Février 12, 2026, 10:02

Bonjour,
j’essaye d’activer HTTPS sur HA17. J’ai mon domaine XXX.freeboxos.fr, j’ai redirigé le port 19999 vers 8123 et j’accède bien à HA via http://XXX.freeboxos.fr:19999.
J’ai configuré l’add-on Let’s Encrypt (domaine + port 19999) mais j’ai une erreur

[22:23:08] INFO: Selected HTTP verification
[22:23:08] INFO: Detecting existing certificate type for XXX.freeboxos.fr
Saving debug log to /var/log/letsencrypt/letsencrypt.log
[22:23:11] INFO: No certificate found - using ‹ ecdsa › key type.
Saving debug log to /var/log/letsencrypt/letsencrypt.log
Requesting a certificate for XXX.freeboxos.fr
Certbot failed to authenticate some domains (authenticator: standalone). The Certificate Authority reported these problems:
Domain: XXX.freeboxos.fr
Type: connection
Detail: A.B.C.D: Fetching http://XXX.freeboxos.fr/.well-known/acme-challenge/GSM36pKaMhd8Rg5XGbDBxsUA6ZmOa-HHiX2lsTFI8Zk: Timeout during connect (likely firewall problem)

J’ai l’impression que le module ne tient pas compte du port personnalisé 19999 (redirigé vers 8123)
Il semblerait que je ne puisse pas utiliser le port 80 dans la Freebox…
Une idée ?
Merci

AlexHass · Février 12, 2026, 11:26

Salut,
Les HTTP Challenge de Let’s encrypt c’est uniquement sur le port 80.
Si tu n’as pas d’ip full stack pour avoir tous les ports à toi tout seul, tu peux en demander une sur ton compte free.

ddfdom · Février 13, 2026, 8:29

Par défaut tu disposes chez free d’une ip cg-nat (partagée) mais tu peux tout à fait disposer d’une ip fullstack (comme le précise @AlexHass ) depuis ton interface client freebox

Tchup · Février 13, 2026, 8:45

Merci pour vos réponses.

Je ne comprends pas bien alors l’intérêt de cette section dans le module LE:

J’ai mon IPv4 fixe full-stack, la résolution DNS est à jour, j’ai modifié la redirection 19999>8123 en 80>8123 et j’ai remis le port 80 dans LE.
A présent j’ai l’erreur 404 :
Detail: A.B.C.D: Invalid response from http://XXX.freeboxos.fr/.well-known/acme-challenge/f3iKN2hR7IGCQECG5tN17Q7EC2W3nQEouxmhze7eIrE: 404
Hint: The Certificate Authority failed to download the challenge files from the temporary standalone webserver started by Certbot on port 80. Ensure that the listed domains point to this machine and that it can accept inbound connections from the internet.
Some challenges have failed.

ddfdom · Février 13, 2026, 8:49

La redirection de port pour LE c’est 80 vers 80
Le port 80 il sert pour LE pas pour HA

Après il faudra modifier ton configuration.yaml pour configurer les certificats et ouvrir le port 8123 vers 8123

Gerard_Blanchet · Février 13, 2026, 9:16

bonjour,

J’ai aussi une freebox.
Une fois le Let’s Encrypt Certificate établi pour 3 mois j’ai créé un automatisme qui renouvelle le certificat 18 jours avant son échéance. Il faut juste penser à ouvrir le port 80 19 jours avant l’échéance. L’automatisme me prévient sur mon smartphone de refermer le port 80 quand c’est fait.

J’ai un domaine xxx.yyyy.net

ddfdom · Février 13, 2026, 9:20

c’est une méthode inutile de refermer le port 80, puis que rien n’écoute sur le port 80 puisque l’addon let’s encrypt est inactif

jimwest · Février 13, 2026, 11:15

perso, pour le renouvellement, j’avais suivi la méthode de @ddfdom ou @WarC0zes , je ne sais plus lequel des deux

alias: Restart Lets Encrypt
description: ""
triggers:
  - trigger: time
    at: "03:00:00"
    weekday:
      - mon
conditions: []
actions:
  - action: hassio.addon_start
    data:
      addon: core_letsencrypt
mode: single

WarC0zes · Février 13, 2026, 2:57

c’est de @ddfdom, moi j’utilise un truc inutile

alias: Certificat SSL Renouvellement
description: Démarrage de let's encrypt
triggers:
  - at: "03:00:00"
    trigger: time
conditions:
  - condition: time
    weekday:
      - sun
  - condition: template
    value_template: >-
      {{ (states('sensor.xxxx_xxxx_fr_expiration_du_certificat') |
      as_datetime or now()) - timedelta(days=21) < now()}}
actions:
  - metadata: {}
    data:
      title: Let's Encrypt
      message: >-
        Votre certificat expirera dans 3 semaines, essayez de le renouveler,
        veuillez vérifier.
      data:
        ttl: 0
        priority: high
    action: notify.mobile_app_m2101k9g
  - metadata: {}
    data:
      addon: core_letsencrypt
    action: hassio.addon_start
  - delay:
      hours: 0
      minutes: 10
      seconds: 0
      milliseconds: 0
  - action: hassio.addon_restart
    metadata: {}
    data:
      addon: core_nginx_proxy
mode: single

Tchup · Février 16, 2026, 6:10

merci à tous !
J’ai résolu le dernier souci avec le forwarding WAN:80 > LE:80

Par contre j’ai remarqué que homeassistant.local n’était plus résolu… obligé en local d’utiliser l’URL : https://IP_locale:8123
(HTTP ne fonctionne plus du coup)

J’ai mis en place l’automatisation pour le renew… j’ai rajouté un check après le renew : je vérifierai ça dans 3 mois ^^

A+ et encore merci

ddfdom · Février 16, 2026, 6:31

Tout ça n’est pas lié tu n’as plus de http car tu as configuré les certificats sur HA

jimwest · Février 17, 2026, 9:53

Je me permet de rebondir sur ce port 80 sur lequel écoute let’s encrypt.

Je redirige ce port de ma box vers HA.

Comme je suis en train de lire ce post pour alexa https://forum.hacf.fr/t/tuto-integrer-des-appareils-on-off-a-alexa/35213/32, et que la méthode utilise aussi le port 80, ça ne poserai pas de souci ?

ddfdom · Février 17, 2026, 10:41

Ah si carrément

Mais suivant ton fournisseur DNS tu peux faire du challenge dns et plus besoin du port 80 mais c’est moins universel