บรรจวบ เข้าสู่ระบบ
Score:1
miguelmorin avatar Server

ตัวแทนผู้ใช้ไม่เชื่อถือเว็บเซิร์ฟเวอร์เนื่องจากใบรับรองรูท Let's Encrypt DST Root CA X3 หมดอายุ

ธง jp
miguelmorin

ฉันจัดการเซิร์ฟเวอร์ NodeJS ด้วยใบรับรอง SSL ที่ออกโดย Let's Encrypt มันใช้งานได้กับไคลเอนต์บางตัว (Safari และ Firefox บน macOS ของฉัน) และไม่ทำงานบนไคลเอนต์อื่น (ขด บน macOS ของฉัน, Safari บน iOS) ประกาศบน iOS คือ:

ไม่น่าเชื่อถือ

หมดอายุ 30/09/21 07:01:15น

ประกาศเมื่อวันที่ ขด เป็น:

curl: (60) ปัญหาใบรับรอง SSL: ใบรับรองหมดอายุ
รายละเอียดเพิ่มเติมที่นี่: https://curl.haxx.se/docs/sslcerts.html

curl ดำเนินการตรวจสอบใบรับรอง SSL ตามค่าเริ่มต้น โดยใช้ "ชุด" ของคีย์สาธารณะของผู้ออกใบรับรอง (CA) (ใบรับรอง CA) หากไฟล์บันเดิลเริ่มต้นไม่เพียงพอ คุณสามารถระบุไฟล์สำรองได้โดยใช้ตัวเลือก --cacert

การตรวจสอบใบรับรองแสดงว่าวันที่นั้นถูกต้อง ฉันพบ คำเตือนนี้ จาก Let's Encrypt:

ใบรับรองรูท DST Root CA X3 หมดอายุวันที่ 30 กันยายน 14:01:15 น. 2021 GMT

...

หากไซต์ของคุณใช้งานได้กับอุปกรณ์ส่วนใหญ่แต่ใช้ไม่ได้กับบางอุปกรณ์ แสดงว่าปัญหาอยู่ที่ trust store (รายการใบรับรองรูทที่เชื่อถือได้)

...

macOS, iOS เป็นต้น

ระบบปฏิบัติการบางระบบถือเชน R3 > DST Root CA X3 ที่หมดอายุ แม้ว่าเซิร์ฟเวอร์ของคุณจะไม่ได้ใช้งานอีกต่อไป ลองรีสตาร์ทอุปกรณ์ไคลเอนต์ที่ได้รับผลกระทบ

ฉันบังคับให้ต่ออายุใบรับรอง คัดลอกคีย์ส่วนตัวและห่วงโซ่ทั้งหมดไปยังตำแหน่ง NodeJS และรีสตาร์ทเซิร์ฟเวอร์ ฉันรีสตาร์ทอุปกรณ์ iOS วันที่ใหม่จะแสดงบนเบราว์เซอร์ของฉันและบนอุปกรณ์ iOS แต่อุปกรณ์ iOS ยังไม่เชื่อถือเว็บไซต์

เว็บไซต์คือ www.emotionathletes.og .

ฉันจะแน่ใจได้อย่างไรว่าไคลเอนต์ทั้งหมดได้รับห่วงโซ่ใบรับรองที่ถูกต้องและสามารถเยี่ยมชมเว็บไซต์ได้

2391
0 + 0
anx avatar
fr flag
anx
ดูเพิ่มเติมที่: https://serverfault.com/questions/1079199/client-on-debian-9-erroneously-reports-expired-certificate-for-letsencrypt-issue https://serverfault.com/questions/1079234/since- กันยายน-30-140115-2021-gmt-any-software-using-openssl-1-0-like-curl-php
1
ตอบกลับ
cn flag
Quinn Comendant
เว็บไซต์ของคุณ https://emotionathletes.org/ กำลังทำงานใน Chrome, Safari และ Firefox เวอร์ชันใหม่ล่าสุดบน macOS และ Safari บน iOS คุณกำลังมีปัญหากับอุปกรณ์ที่เก่ามากๆ หรือไม่? สำหรับ `curl` คุณอาจต้องอัปเดตใบรับรองที่ใช้เพื่อยืนยันการเชื่อมต่อ TLS ดูคำแนะนำที่นี่: https://stackoverflow.com/a/69413675/277303
0
ตอบกลับ
Score:2
avatar Server
ธง us
Jarmo Pertman

เนื่องจากคุณไม่สามารถควบคุมไคลเอนต์ของคุณได้ วิธีที่ปลอดภัยที่สุดคือเริ่มใช้ใบรับรองที่ออกโดย CA อื่น

หนึ่ง CA ที่เป็นไปได้คือ ZeroSSL (https://zerossl.com). พวกเขายังเสนอใบรับรองผ่านโปรโตคอล ACME โดยไม่มีค่าธรรมเนียม เช่น Let's Encrypt (https://zerossl.com/letsencrypt-alternative/) และมีความเข้ากันได้ค่อนข้างดีกับอุปกรณ์รุ่นเก่า (https://help.zerossl.com/hc/en-us/articles/360058294074-ZeroSSL-Compatibility-List).

หากคุณใช้เครื่องมือบรรทัดคำสั่ง certbot เพื่อจัดการใบรับรอง Let's Encrypt อยู่แล้ว คุณสามารถเพิ่มสวิตช์เพิ่มเติมสองสามตัวเพื่อเริ่มออกใบรับรอง ZeroSSL แทน:

$certbot ... --เซิร์ฟเวอร์ https://acme.zerossl.com/v2/DV90 --eab-kid XXX --eab-hmac-key YYY

คุณจะได้รับ --eab-เด็ก และ --eab-hmac-คีย์ ค่าจากเว็บไซต์ ZeroSSL หลังจากที่คุณลงทะเบียนบัญชีด้วยตัวคุณเอง

0 + 0
ธงชาติไทย
Kulap
คำถามนี้เป็นภาษาอื่นๆ:

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา