Рейтинг:1

Пользовательские агенты не доверяют веб-серверу из-за истечения срока действия корневого сертификата Let's Encrypt DST Root CA X3

флаг jp

Я работаю с сервером NodeJS с сертификатом SSL, выданным Let's Encrypt. Он работает на некоторых клиентах (Safari и Firefox на моей macOS), но не на других (завиток на моей macOS, Safari на iOS). Уведомление на iOS:

Не доверяют

Истек 30.09.21 07:01:15

Уведомление о завиток является:

curl: (60) Проблема с сертификатом SSL: срок действия сертификата истек
Подробнее здесь: https://curl.haxx.se/docs/sslcerts.html

curl выполняет проверку SSL-сертификата по умолчанию, используя «набор» открытых ключей центра сертификации (CA) (сертификаты CA). Если файл пакета по умолчанию не подходит, вы можете указать альтернативный файл, используя параметр --cacert.

Проверка сертификата показывает, что даты действительны. я нашел это предупреждение от Let’s Encrypt:

Срок действия корневого сертификата DST Root CA X3 истек 30 сентября 14:01:15 2021 GMT.

...

Если ваш сайт работает на большинстве устройств, но не на некоторых, проблема связана с их хранилищем доверенных сертификатов (их списком доверенных корневых сертификатов).

...

macOS, iOS и т. д.

Некоторые операционные системы сохраняют цепочку R3 > DST Root CA X3 с истекшим сроком действия, даже если ваш сервер больше не использует ее. Попробуйте перезапустить затронутое клиентское устройство.

Я принудительно обновил сертификат, скопировал закрытый ключ и полную цепочку в расположение NodeJS и перезапустил сервер. Я перезапустил устройство iOS. Новая дата отображается в моих браузерах и на устройстве iOS. Но устройство iOS по-прежнему не доверяет веб-сайту.

Сайт www.emotionathletes.og .

Как я могу гарантировать, что все клиенты получат правильную цепочку сертификатов и смогут посетить веб-сайт?

anx avatar
флаг fr
anx
см. также: https://serverfault.com/questions/1079199/client-on-debian-9-erroneously-reports-expired-certificate-for-letsencrypt-issue https://serverfault.com/questions/1079234/since- 30 сентября 140115-2021-gmt-любое-программное-использование-openssl-1-0-как-curl-php
флаг cn
Ваш веб-сайт https://emotionathletes.org/ работает в новейших версиях Chrome, Safari и Firefox для macOS и Safari для iOS. У вас проблемы с очень старыми устройствами? Что касается `curl`, вам может потребоваться обновить сертификаты, которые он использует для проверки соединений TLS, см. инструкции здесь: https://stackoverflow.com/a/69413675/277303.
Рейтинг:2
флаг us

Поскольку вы не можете контролировать своих клиентов, самым безопасным способом было бы начать использовать сертификаты, выданные другим ЦС.

Одним из возможных ЦС будет ZeroSSL (https://zerossl.com). Они также предлагают сертификаты по протоколу ACME без какой-либо платы, как Let's Encrypt (https://zerossl.com/letsencrypt-альтернатива/) и имеют довольно хорошую совместимость со старыми устройствами (https://help.zerossl.com/hc/en-us/articles/360058294074-ZeroSSL-Compatibility-List).

Если вы уже используете инструмент командной строки certbot для управления сертификатами Let's Encrypt, вы можете добавить к нему несколько дополнительных переключателей, чтобы вместо этого начать выдачу сертификатов ZeroSSL:

$ certbot ... --server https://acme.zerossl.com/v2/DV90 --eab-kid XXX --eab-hmac-key YYY

Вы можете получить --eab-ребенок и --eab-hmac-ключ значения с веб-сайта ZeroSSL после того, как вы зарегистрировали учетную запись для себя.

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.