Pagespeed не всегда может получить доступ к странице (FAILED_DOCUMENT_REQUEST), ошибка сертификации SSL?

Я обнаружил, что Google не может получить доступ к моей странице (это продолжение https://webmasters.stackexchange.com/questions/137407/page-cannot-be-crawled-by-google-at-all)

Теперь я думаю, что это может быть ошибка конфигурации сервера.

Я использую certbot Letsencrypt и плагин cloudflare-dns для получения группового сертификата. К странице можно получить доступ в Google Chrome и Firefox, но, например, PageSpeed ​​Insights показывает следующую проблему:

Lighthouse вернул ошибку: FAILED_DOCUMENT_REQUEST. Маяк не смог достоверно загрузите запрошенную вами страницу. Убедитесь, что вы тестируете правильный URL-адрес и что сервер правильно отвечает на все запросы. (Подробности: net::ERR_TIMED_OUT) Вы можете обновить, чтобы повторить попытку.

Я запустил testsl, и он показывает ошибку цепочки сертификатов:

Цепочка доверия НЕ в порядке (истек срок действия)

Вот полный вывод:

$ docker run --rm -ti drwetter/testssl.sh -S page.et

###########################################################
    testsl.sh 3.1dev из https://testssl.sh/dev/

      Эта программа является бесплатным программным обеспечением. Распространение и
             модификация под GPLv2 разрешена.
      ИСПОЛЬЗОВАНИЕ БЕЗ КАКИХ-ЛИБО ГАРАНТИЙ. ИСПОЛЬЗУЙТЕ ЕГО НА СВОЙ СТРАХ И РИСК!

       Пожалуйста, сообщайте об ошибках @ https://testssl.sh/bugs/

###########################################################

 Использование "OpenSSL 1.0.2-chacha (1.0.2k-dev)" [~183 шифра]
 на 06919ea62e34:/home/testssl/bin/openssl.Linux.x86_64
 (построено: «18 января 17:12:17 2019», платформа: «linux-x86_64»)


 Начало 2021-11-07 13:51:34 -->> 49.12.225.98:443 (страница.et) <<--

 rDNS (49.12.225.98): static.98.225.12.49.clients.your-server.de.
 Обнаружена служба: HTTP


 Тестирование настроек сервера по умолчанию (Server Hello) 

 Расширения TLS (стандарт)    "информация о повторном согласовании/#65281" "имя сервера/#0" "форматы точек EC/#11" "поддерживаемые версии/#43" "общий ключ/#51" "поддерживаемые_группы/#10"
                              «максимальная длина фрагмента/#1» «согласование протокола прикладного уровня/#16» «расширенный главный секрет/#23»
 Подсказка RFC 5077 для сеансового билета нет -- срок службы не рекламируется
 Поддержка идентификатора сеанса SSL       да
 Возобновление сеанса           Билетов нет, ID: да
 Расхождение часов TLS               Случайные значения, снятие отпечатков пальцев невозможно 
 Аутентификация клиента        никто
 Алгоритм подписи          SHA256 с RSA
 Размер ключа сервера              RSA 2048 бит (показатель порядка 65537)
 Использование ключа сервера             Цифровая подпись, шифрование ключей
 Использование расширенного ключа сервера    Аутентификация веб-сервера TLS, Аутентификация веб-клиента TLS
 Серийный номер/отпечатки пальцев        03561169DAC4AE4390C247FEAF565BEA91E9/SHA1 E8D7A5C68364F801574FFEEF5ECDF7C2CBE0A744
                              SHA256 2B9EB3495C170111F7746CAA6C0D4607A88888631529F48ECFDCC5E916369BB7
 Общее имя (CN)             page.et 
 SubjectAltName (SAN)         *.page.et page.et 
 Доверие (имя хоста)             Хорошо через SAN и CN (то же без SNI)
 Цепочка доверия               Не в порядке (истекший)
 сертификат электромобиля (экспериментальный) нет 
 Срок действия сертификата (UTC)   89 >= 30 дней (2021-11-07 12:49 --> 2022-02-05 12:49)
 ЭТС/"eTLS", информация о видимости отсутствует
 Список отозванных сертификатов  --
 OCSP URI                     http://r3.o.lencr.org
 Сшивание OCSP                не предлагается
 OCSP должен закрепить расширение   --
 DNS CAA RR (экспериментальный)    не предлагается
 Прозрачность сертификата     да (продление сертификата)
 Предоставляемые сертификаты        3
 Эмитент                       R3 (Давайте зашифруем от НАС)
 Срок действия промежуточного сертификата   #1: хорошо > 40 дней (2025-09-15 16:00). R3 <-- Корень ISRG X1
                              #2: хорошо > 40 дней (2024-09-30 18:14). Корень ISRG X1 <-- Корневой ЦС DST X3
 Промежуточный плохой OCSP (эксп.) Хорошо



 Выполнено 2021-11-07 13:51:45 [ 12s] -->> 49.12.225.98:443 (page.et) <<--

SSL Labs показывает две цепочки, одна с просроченным корнем Letsencrypt:

https://www.ssllabs.com/ssltest/analyze.html?d=page.et

Но он по-прежнему показывает «класс А».

Это проблема конфигурации сервера? Я просто установил стандартный Aapache и использовал certbot (v1.21.0) для настройки SSL.Я не вносил никаких изменений в конфигурацию SSL.

РЕДАКТИРОВАТЬ

Я пытался

# tcpdump "порт 443"

В случае, если PageSpeed ​​показывает тайм-аут, я не вижу ни одного байта трафика в tcpdump.

Но я также проверил isitdownrightnow.com/page.et.html и downforeveryoneorjustme.com/page.et -> все они показывают, что это работает (и тогда я вижу трафик в tcpdump)

РЕДАКТИРОВАТЬ:

В инструментах разработчика при запуске скорости страницы я вижу запрос

 URL запроса: https://www.googleapis.com/pagespeedonline/v5/runPagespeed?key=AIzaSyAwlPiPJIkTejgqqH01v9DmtPoPeOPXDUQ&locale=en_US&url=https%3A%2F%2Fpage.et%2F&strategy=mobile

сбой с:

  сообщение: "Lighthouse вернула ошибку: FAILED_DOCUMENT_REQUEST. Lighthouse не удалось надежно загрузить запрошенную вами страницу. Убедитесь, что вы проверяете правильный URL-адрес и что сервер правильно отвечает на все запросы. (Подробности: net::ERR_TIMED_OUT)"