El certificado de Let's Encrypt no se renovó automáticamente

Soporte
1

Hola,

He realizado una búsqueda al respecto, pero, por lo que puedo ver, como utilicé el método predeterminado de Discourse para obtener mi certificado de Let’s Encrypt, debería renovarse automáticamente. Sin embargo, eso no ocurrió. (véase la imagen a continuación)

Tras buscar en este foro, instalé certbot mediante SSH, pero al escribir “certbot certificates”, ni siquiera encuentra el certificado expirado, por lo que “certbot renew” no hace nada.

¿Hay algo que me esté perdiendo? ¿Qué necesito hacer exactamente para renovar mi certificado en mi instalación de Discourse?

Por favor, hágamelo saber. ¡Gracias!

2021-10-04_12-32-11
2021-10-04_12-32-11444×1221 104 KB

1 me gusta
2

¿Quizás esto esté relacionado? Letsencrypt certificate failure to renew

2 Me gusta
3

Gracias por eso. :slight_smile: Parece que la solución recomendada allí es reconstruir la aplicación y esperar. Bueno, reconstruí la aplicación esta mañana como medida preventiva general. Si esa es realmente la solución, ¿quizás se solucionará por sí sola más tarde hoy?

Aún aparece como expirada…

1 me gusta
4

¿Qué versión de Linux estás ejecutando?

¿También ejecutaste apt-get update / upgrade?

2 Me gusta
5

Parece que es Ubuntu 18.04.4 LTS (GNU/Linux 4.15.0-159-generic x86_64).

Y sí, ejecuté apt-get update y apt-get upgrade, y reinicié mi servidor.

Esperaba que alguna actualización resolviera el problema…

1 me gusta
6

Acabo de verificar tu certificado. Es válido.

1 me gusta
7

Gracias, Gavin. En Chrome me aparece como válido, pero al hacer clic en la información del certificado en sí, muestra que ha expirado. (ver captura de pantalla adjunta)

¿Te aparece una fecha de expiración nueva y válida?

2021-10-04_13-00-02
2021-10-04_13-00-02311×283 12.7 KB

2021-10-04_13-00-13
2021-10-04_13-00-13444×117 14.4 KB

1 me gusta
8

todo se ve bien de mi parte.

nueva fecha y todo

2 Me gusta
9

Ah, bien. Todavía no aparece con una fecha válida en Chrome, incluso después de borrar mi caché de navegación, pero acabo de comprobarlo en Safari y sí veo una fecha nueva y válida.

Así que, supongo que reconstruir la aplicación fue la solución, y espero que en Chrome solo sea un problema de caché.

Gracias por verificarlo por mí. :slight_smile:

2 Me gusta
10

¡No hay problema! Cualquier momento :slight_smile:

2 Me gusta
11

Creo que es así. A veces puede ser difícil que <algunos navegadores> informen el certificado correcto (y eso es más de lo que sé).

1 me gusta
12

He visto algunos casos en los que fue necesario borrar la caché y reiniciar Chrome antes de que se mostrara el certificado válido.

Algunos navegadores tienen almacenada en caché una cadena de confianza que incluye el antiguo certificado X1 (el certificado hoja), que LetsEncrypt ha dado por finalizado. Estos navegadores “se atascan” cuando llegan a ese certificado antiguo y lo encuentran expirado. :face_with_raised_eyebrow:
El dilema: los navegadores actualizados están satisfechos con la nueva cadena de confianza más corta, mientras que los navegadores más antiguos aún requieren la cadena de confianza más larga. Todo se trata de actualizar todo para mayor seguridad.

Una forma de actualizar tu servidor utilizando acme.sh v3.0.1 o superior para usar la cadena de confianza preferida es:

Cadena preferida · acmesh-official/acme.sh Wiki · GitHub

Establece la cadena preferida ISRG más corta a nivel de sistema por defecto con letsencrypt y luego renueva todos los certificados:

acme.sh --upgrade
acme.sh --set-default-chain --preferred-chain "ISRG" --server letsencrypt
acme.sh --renewAll --force

Este es realmente uno de los muy pocos casos en los que el flag --force es apropiado.
Sin embargo, ten cuidado… los navegadores más antiguos pueden rechazar la cadena de confianza más corta e insistir en obtener el certificado. Esto también se puede descargar como una cadena de confianza alternativa. Creo que Lets Encrypt tiene un enlace específicamente para ese propósito. Iré allí, lo obtendré y lo publicaré aquí.

2 Me gusta
13

Rogerado, JimPas. Gracias. Incluso después de borrar la caché en Chrome y reiniciarlo, sigo viendo el certificado antiguo. (Pero en otros navegadores, puedo ver que el certificado ha sido renovado.)

Por favor, avísame si logras encontrar ese enlace alternativo de cadena de confianza.

¡Gracias por tu ayuda!

1 me gusta
14

¿Has actualizado tu navegador Chrome?

Escribe esto en la barra de direcciones: chrome://settings/help

1 me gusta
15

Lo siento por la demora; hubo un pequeño accidente anoche. Aquí están los enlaces para descargar los certificados X1 y X2, así como el certificado intermedio de hoja.

Certificados LE Root CA (formato PEM):

ISRG Root X1
https://letsencrypt.org/certs/isrgrootx1.pem
ISRG Root X2
https://letsencrypt.org/certs/isrg-root-x2.pem

Certificado intermedio (formato PEM):

Let’s Encrypt R3
https://letsencrypt.org/certs/lets-encrypt-r3.pem

1 me gusta