Il certificato Let's Encrypt non si è rinnovato automaticamente

Supporto
1

Ciao,

Ho cercato in merito, ma per quanto ne so, dato che ho utilizzato il metodo predefinito di Discourse per ottenere il certificato Let’s Encrypt, questo dovrebbe rinnovarsi automaticamente. Tuttavia, non è successo. (vedi immagine sotto)

Dopo aver cercato su questo forum, ho installato certbot tramite SSH, ma quando digito “certbot certificates”, non trova nemmeno il certificato scaduto, quindi “certbot renew” non fa nulla.

C’è qualcosa che mi sfugge? Cosa devo esattamente fare per rinnovare il mio certificato sulla mia installazione di Discourse?

Fammi sapere. Grazie!

2021-10-04_12-32-11
2021-10-04_12-32-11444×1221 104 KB

1 Mi Piace
2

Forse questo è correlato? Letsencrypt certificate failure to renew

2 Mi Piace
3

Grazie mille. :slight_smile: Sembra che la soluzione consigliata lì sia ricompilare l’app e attendere. Beh, ho ricompilato l’app stamattina, giusto come misura precauzionale generale. Se quella è davvero la soluzione, forse si risolverà da sola più tardi oggi?

È ancora segnalata come scaduta…

1 Mi Piace
4

quale versione di Linux stai eseguendo?

hai anche eseguito un apt-get update / upgrade?

2 Mi Piace
5

Sembra che si tratti di Ubuntu 18.04.4 LTS (GNU/Linux 4.15.0-159-generic x86_64).

E sì, ho eseguito apt-get update e apt-get upgrade e ho riavviato il server.

Speravo che qualche tipo di aggiornamento potesse risolvere il problema…

1 Mi Piace
6

Ho appena controllato il tuo certificato. È valido.

1 Mi Piace
7

Grazie, Gavin. Per me viene segnalato come valido in Chrome, ma quando faccio clic sulle informazioni del certificato stesso, risulta scaduto. (vedi screenshot allegato)

Stai mostrando una nuova data di scadenza valida?

2021-10-04_13-00-02
2021-10-04_13-00-02311×283 12.7 KB

2021-10-04_13-00-13
2021-10-04_13-00-13444×117 14.4 KB

1 Mi Piace
8

Da parte mia sembra tutto a posto.

Nuova data e tutto il resto

2 Mi Piace
9

Ah, bene. Non appare ancora con una data valida su Chrome, anche dopo aver cancellato la cache di navigazione, ma ho appena controllato su Safari e vedo una nuova data valida.

Quindi, immagino che ricreare l’app sia stata la soluzione, e speriamo che su Chrome si tratti solo di un problema di cache.

Grazie per averlo verificato per me. :slight_smile:

2 Mi Piace
10

Nessun problema. Quando vuoi :slight_smile:

2 Mi Piace
11

Credo che sia così. A volte può essere difficile ottenere che riportino il certificato corretto (e questo è tutto ciò che so).

1 Mi Piace
12

Ho visto alcuni casi in cui è stato necessario cancellare la cache e riavviare Chrome prima che venisse mostrato il certificato valido.

Alcuni browser hanno una catena di fiducia memorizzata nella cache che include il vecchio certificato foglia X1, che Let’s Encrypt ha dismesso. Quando incontrano quel vecchio certificato e scoprono che è scaduto, si “bloccano”. :face_with_raised_eyebrow:
Il dilemma: i browser aggiornati sono soddisfatti della nuova catena di fiducia più corta, mentre i browser più vecchi richiedono ancora la catena di fiducia più lunga. Si tratta di aggiornare tutto per aumentare la sicurezza.

Un modo per aggiornare il server utilizzando acme.sh v3.0.1+ per impiegare la catena di fiducia preferita è:

Catena preferita · acmesh-official/acme.sh Wiki · GitHub

Impostare la catena preferita ISRG più corta a livello di sistema come predefinita con letsencrypt e poi rinnovare tutti i certificati:

acme.sh --upgrade
acme.sh --set-default-chain --preferred-chain "ISRG" --server  letsencrypt
acme.sh --renewAll --force

Questa è in realtà una delle pochissime volte in cui è appropriato usare il flag --force.
Fate però attenzione: i browser più vecchi potrebbero rifiutare la catena di fiducia più corta e insisteranno nell’ottenere il certificato. Questo può anche essere scaricato come catena di fiducia alternativa. Credo che Let’s Encrypt abbia un link dedicato proprio a questo scopo. Ci vado subito, lo recupero e lo pubblico qui.

2 Mi Piace
13

Ricevuto, JimPas. Grazie. Anche dopo aver svuotato la cache di Chrome e riavviato il browser, vedo ancora il vecchio certificato. (Ma in altri browser posso vedere che il certificato è stato rinnovato.)

Fammi sapere se riesci a trovare quel link della catena di fiducia alternativa.

Grazie per il tuo aiuto!

1 Mi Piace
14

Hai aggiornato il tuo browser Chrome?

Digita questo nella barra degli indirizzi chrome://settings/help

1 Mi Piace
15

Scusa il ritardo - ieri sera c’è stato un piccolo incidente. Ecco i link per scaricare i certificati X1 e X2 e il certificato intermedio foglia.
Certificati LE Root CA (formato PEM):

ISRG Root X1
https://letsencrypt.org/certs/isrgrootx1.pem
ISRG Root X2
https://letsencrypt.org/certs/isrg-root-x2.pem

Certificato Intermedio (formato PEM):

Let’s Encrypt R3
https://letsencrypt.org/certs/lets-encrypt-r3.pem

1 Mi Piace