Регистрация Войти
Рейтинг:2
Francesco Galgani avatar Server

Searx (на основе Nginx) SSL-сертификат Let's Encrypt недействителен для Safari (iPhone и MacOS), он действителен для остального мира

флаг eg
Francesco Galgani

У меня настроенная установка Searx (https://searx.me/) в: https://ricercaalternativa.mydissent.net/

Он исправно работает с Letsencrypt уже много лет.Однако несколько дней назад сертификат, предоставленный Letsencrypt, совместим со всем, кроме Apple (Safari на iPhone и macOS).

Этот тест показывает «проблему цепи»: https://www.ssllabs.com/ssltest/analyze.html?d=ricercaalternativa.mydissent.net

Я не знаю, как решить проблему (и, собственно, в чем смысл этой проблемы), в том числе потому, что установка SSL-сертификата всегда была полностью автоматизирована с помощью следующего Bash-скрипта:

#!/бин/баш
YOUR_DOMAIN="ricercaalternativa.mydissent.net"
certbot certonly -d ${ВАШ_ДОМЕН} --manual --preferred-challenges DNS
сервис uwsgi перезапуск
перезапуск службы nginx

Тем не мение, --preferred-вызовы DNS кажется игнорируется: он не просит меня развернуть запись DNS. Это результат:

# ./updateSSL.sh 
Сохранение журнала отладки в /var/log/letsencrypt/letsencrypt.log
Выбранные плагины: Руководство по аутентификации, Инсталлятор Нет
Сертификат еще не подлежит обновлению

У вас есть существующий сертификат с точно такими же доменами или именем сертификата, который вы запрашивали, и срок его действия не скоро истечет.
(ссылка: /etc/letsencrypt/renewal/ricercaalternativa.mydissent.net.conf)

Чем бы Вы хотели заняться?
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
1: пока сохраните существующий сертификат
2: обновить и заменить сертификат (ограничение ~ 5 за 7 дней)
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Выберите соответствующий номер [1-2], затем [введите] (нажмите «c» для отмены): 2
Обновление существующего сертификата

ВАЖНЫЕ ЗАМЕТКИ:
 - Поздравляю! Ваш сертификат и цепочка сохранены по адресу:
   /etc/letsencrypt/live/ricercaalternativa.mydissent.net/fullchain.pem
   Ваш ключевой файл был сохранен по адресу:
   /etc/letsencrypt/live/ricercaalternativa.mydissent.net/privkey.pem
   Срок действия вашего сертификата истекает 05.01.2022. Для получения нового или измененного
   версия этого сертификата в будущем, просто запустите certbot
   еще раз.Чтобы неинтерактивно обновить *все* ваши сертификаты, запустите
   "продлить сертификат"
 - Если вам нравится Certbot, рассмотрите возможность поддержки нашей работы:

   Пожертвование в пользу ISRG / Let's Encrypt: https://letsencrypt.org/donate
   Пожертвование в пользу EFF: https://eff.org/donate-le

Это версия certbot:

# политика apt-cache certbot | grep установлен
  Установлено: 0.31.0-2~deb10u1+ubuntu18.04.1+certbot+3
356
0 + 0
Рейтинг:1
Ryan Bolger avatar Server
флаг tz
Ryan Bolger

Ваша проблема связана с тем, что ваш веб-сервер не отправляет сертификаты цепочки с вашим личным сертификатом. Это то, что тест SSL Labs пытается вам сказать, когда он говорит: «Цепочка сертификатов этого сервера неполная».

Браузеры и другие клиенты должны угадать, как проверить сертификат, который вы отправляете, и некоторые из них более способны/снисходительны в этом, чем другие. Сафари нет. Это начало происходить недавно из-за недавнего истечения срока действия сертификата корневого центра сертификации.

В вашей конфигурации nginx у вас, вероятно, есть такая строка:

ssl_certificate /etc/letsencrypt/live/ricercaalternativa.mydissent.net/cert.pem;

Если да, измените cert.pem к полная цепочка.pem и перезапустите nginx. Затем повторите проверку через SSL Labs и посмотрите, что там говорится о вашей цепочке.

0 + 0
Francesco Galgani avatar
флаг eg
Francesco Galgani
Большое спасибо, Райан, предложенное вами решение работает отлично. Для полноты информации для тех, кто будет искать решение этой проблемы, я нашел это небольшое теоретическое пояснение: https://support.dnsimple.com/articles/what-is-ssl-certificate-chain/ По поводу изменяемого файла для стандартной установки searchx это: /etc/nginx/sites-enabled/searx-ssl
0
Ответить
флаг Moldova
Admin
Этот вопрос на других языках:

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.