TL;DR: Bei der Verwendung von Cloudflare mit einer Domain bei lima-city muss bei Cloudflare die Option "Always use HTTPS" ausgestellt werden - sonst tritt langfristig der Fehler 526 auf.
Wenn für eine Webseite Cloudflare aktiviert ist wird die Verbindung zwischen Cloudflare und dem Besucher der Webseite von Cloudflare mit einem SSL-Zertifikat verschlüsselt, das Cloudflare ausstellt. Die Verbindung zwischen Cloudflare und lima-city muss zusätzlich durch ein SSL-Zertifikat verschlüsselt werden, das wir ausstellen.
Für das Ausstellen von Zertifikaten per Let's Encrypt gibt es zwei Methoden, mit denen wir Let's Encrypt nachweisen, dass lima-city einen Hostnamen kontrolliert: einen DNS-Challenge oder eine HTTP-Challenge.
Wenn für eine Webseite Cloudflare-DNS-Server eingetragen sind ist die Benutzung der DNS-Challenge nicht mehr möglich. Grundsätzlich kann lima-city dann auch keine Wildcard-Zertifikate mehr für die Domain ausstellen, was die Anzahl der maximalen Hostnamen auf 50 beschränkt.
Ist zusätzlich die Option "Always use HTTPS" ("SSL/TLS" > "Edge Certificates") aktiviert, wird jede Anfrage über das HTTP-Protokoll auf die passende HTTPS-Adresse umgeleitet. Dies wird von Let's Encrypt als Fehler bei der HTTP-Challenge interpretiert. Damit ist es für das SSL-System von lima-city nicht mehr möglich, gegenüber Let's Encrypt die Kontrolle über den Hostnamen nachzuweisen. Alle Versuche, SSL-Zertifikate auszustellen, schlagen dann fehl.
Die Fehlermeldung Error 526 - Invalid SSL certificate
ist ein Symptom für das Problem, dass lima-city kein SSL-Zertifikat für einen Hostnamen ausstellen kann, für welchen Cloudflare aktiviert ist.