Fiz uma pesquisa sobre isso, mas, pelo que pude perceber, como usei o método padrão do Discourse para obter meu certificado Let’s Encrypt, ele deveria ter sido renovado automaticamente. No entanto, isso não aconteceu. (veja a imagem abaixo)
Após pesquisar neste fórum, instalei o certbot via SSH, mas ao digitar “certbot certificates”, ele nem sequer está encontrando o certificado expirado, então “certbot renew” não faz nada.
Estou esquecendo de algo? O que exatamente preciso fazer para renovar meu certificado na minha instalação do Discourse?
Obrigado por isso. Parece que a solução recomendada ali é reconstruir o aplicativo e aguardar. Bem, eu reconstruí o aplicativo esta manhã apenas como uma medida preventiva geral. Se essa for realmente a solução, talvez se resolva sozinho mais tarde hoje?
Obrigado, Gavin. Para mim, ele aparece como Válido no Chrome, mas quando clico nas informações do certificado em si, ele está mostrando como expirado. (veja a captura de tela em anexo)
Ah. Ótimo. Ainda não está aparecendo com uma data válida no Chrome, mesmo depois de eu ter limpado o cache de navegação, mas acabei de verificar no Safari e vejo uma nova data válida.
Então, acho que recriar o aplicativo foi a solução, e espero que no Chrome seja apenas um problema de cache.
Acredito que seja esse o caso. Às vezes, pode ser difícil fazer com que <alguns navegadores> relatem o certificado correto (e isso é mais do que eu sei).
Vi alguns casos em que foi necessário limpar o cache e reiniciar o Chrome para que o certificado válido fosse exibido.
Alguns navegadores têm uma cadeia de confiança em cache que inclui o antigo certificado folha X1 — que o Let’s Encrypt encerrou. Eles “travam” ao encontrar esse certificado antigo e descobrem que ele expirou.
O dilema: navegadores atualizados estão satisfeitos com a nova cadeia de confiança mais curta, enquanto navegadores mais antigos ainda exigem a cadeia de confiança mais longa. Tudo se resume a atualizar tudo para maior segurança.
Uma maneira de atualizar seu servidor usando o acme.sh v3.0.1 ou superior para usar a cadeia de confiança preferida é:
Esta é, na verdade, uma das poucas vezes em que a flag --force é apropriada.
Cuidado, porém… navegadores mais antigos podem recusar a cadeia de confiança mais curta e insistir em obter o certificado. Isso também pode ser baixado como uma cadeia de confiança alternativa. Acredito que o Let’s Encrypt tenha um link especificamente para esse fim. Vou lá, obtenho e posto aqui.
Entendido, JimPas. Obrigado. Mesmo após limpar o cache no meu Chrome e reiniciá-lo, ainda estou vendo o certificado antigo. (Mas em outros navegadores, consigo ver que o certificado foi renovado.)
Por favor, me avise se conseguir encontrar o link da cadeia de confiança alternativa.
Desculpe pelo atraso — houve um pequeno acidente ontem à noite. Aqui estão os links para baixar os certificados X1 e X2, além do certificado intermediário de folha.
Certificados RA Raiz LE (formato PEM):
Parece que a solução recomendada ali é reconstruir o aplicativo e aguardar. Bem, eu reconstruí o aplicativo esta manhã apenas como uma medida preventiva geral. Se essa for realmente a solução, talvez se resolva sozinho mais tarde hoje?
