ich habe dazu bereits gesucht, aber soweit ich sehe, sollte mein Let’s Encrypt-Zertifikat, das ich mit der Standard-Discourse-Methode erhalten habe, automatisch erneuert werden. Das ist jedoch nicht passiert (siehe Bild unten).
Nach einer Suche in diesem Forum habe ich Certbot über SSH installiert. Wenn ich jedoch „certbot certificates" eingebe, wird das abgelaufene Zertifikat nicht einmal gefunden, sodass „certbot renew" nichts bewirkt.
Habe ich etwas übersehen? Was muss ich genau tun, um mein Zertifikat auf meiner Discourse-Installation zu erneuern?
Danke dafür. Es scheint, als sei die dort empfohlene Lösung, die App neu zu erstellen und abzuwarten. Ich habe die App heute Morgen ohnehin schon einmal neu erstellt, nur zur Vorsicht. Falls das wirklich die Lösung ist, wird es sich vielleicht später heute von selbst beheben?
Vielen Dank, Gavin. Bei mir wird es in Chrome als gültig gemeldet, aber wenn ich auf die Zertifikatsinformationen klicke, wird es als abgelaufen angezeigt. (siehe angehängter Screenshot)
Ah, gut. In Chrome wird es immer noch nicht mit einem gültigen Datum angezeigt, selbst nachdem ich meinen Browser-Cache gelöscht habe. Aber ich habe es gerade in Safari überprüft, und dort sehe ich ein neues, gültiges Datum.
Ich nehme also an, dass das Neuaufbauen der App die Lösung war, und hoffentlich handelt es sich bei Chrome nur um ein Caching-Problem.
Ich habe ein paar Fälle gesehen, bei denen man den Cache löschen und Chrome neu starten musste, damit das gültige Zertifikat angezeigt wurde.
Einige Browser haben eine Vertrauenskette im Cache, die das alte X1-Endzertifikat enthält – das von LetsEncrypt nicht mehr ausgestellt wird. Wenn sie auf dieses alte Zertifikat stoßen und feststellen, dass es abgelaufen ist, „stecken sie fest".
Das Dilemma: Aktualisierte Browser sind mit der neuen, kürzeren Vertrauenskette zufrieden, während ältere Browser immer noch die längere Vertrauenskette benötigen. Es geht darum, alles für mehr Sicherheit zu aktualisieren.
Eine Möglichkeit, Ihren Server mit acme.sh v3.0.1+ so zu aktualisieren, dass die bevorzugte Vertrauenskette verwendet wird, ist:
Dies ist tatsächlich eine der wenigen Gelegenheiten, bei denen der --force-Schalter angemessen ist.
Seien Sie jedoch vorsichtig: Ältere Browser könnten die kürzere Vertrauenskette ablehnen und darauf bestehen, das Zertifikat zu erhalten. Dies kann auch als alternative Vertrauenskette heruntergeladen werden. Ich glaube, Lets Encrypt hat dafür einen speziellen Link. Ich werde mich dort umsehen, diesen holen und hier posten.
Roger, JimPas. Danke. Selbst nachdem ich den Cache in meinem Chrome geleert und den Browser neu gestartet habe, wird mir noch das alte Zertifikat angezeigt. (In anderen Browsern kann ich jedoch sehen, dass das Zertifikat erneuert wurde.)
Bitte lassen Sie mich wissen, ob Sie den alternativen Vertrauenskette-Link finden konnten.
Entschuldigt die Verzögerung – gestern Abend ist leider ein kleines Missgeschick passiert. Hier sind die Links zum Herunterladen der X1- und X2-Zertifikate sowie des intermediären Leaf-Zertifikats:
LE Root CA-Zertifikate (PEM-Format):
Es scheint, als sei die dort empfohlene Lösung, die App neu zu erstellen und abzuwarten. Ich habe die App heute Morgen ohnehin schon einmal neu erstellt, nur zur Vorsicht. Falls das wirklich die Lösung ist, wird es sich vielleicht später heute von selbst beheben?
