Letsencrypt SSL 证书过期问题

最新推荐文章于 2024-03-14 12:13:04 发布
最新推荐文章于 2024-03-14 12:13:04 发布
阅读量2.6k 收藏
点赞数 1
文章标签: ssl android
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zgtabc/article/details/120658796
版权
Letsencrypt SSL 证书过期问题最近 Letsencrypt 的根证书 “DST Root CA X3” 过期导致一些设备出现问题。目前 Letencrypt 有两个证书链:证书链1:DST Root CA X3 (1) -> ISRG Root X1 (2) -> R3 (3) -> youside.com (4)证书链2:ISRG Root X1 (5) -> R3 (3) -> youside.com (4)(1) 该证书已于2021年9月30
摘要由CSDN通过智能技术生成

Letsencrypt SSL 证书过期问题

最近 Letsencrypt 的根证书 “DST Root CA X3” 过期导致一些设备出现问题。

目前 Letencrypt 有两个证书链:

证书链1:

DST Root CA X3 (1) -> ISRG Root X1 (2) -> R3 (3) -> youside.com (4)

证书链2:

ISRG Root X1 (5) -> R3 (3) -> youside.com (4)

(1) 该证书已于2021年9月30日过期。但是由于Andriod不对根证书的过期时间检查,所以 Android 仍然信任该证书。该证书签发了到期时间是2024年的 ISRG Root X1 (2) 中间证书。
(2) “ISRG Root X1” 中间证书。这两个证书链有两个同名的证书。"(2)" 是由DST Root CA X3 (1)
(3) “R3” 中间证书。同时被中间证书 ISRG Root X1 (2) 和根证书 ISRG Root X1 (5) 签发。
(5) “ISRG Root X1” 根证书。这个证书是 ISRG (Internet Security Research Group)自己的证书。如今已被大部分现代信任。部分设备(例如 Android <7.1.1)则依赖证书链1 才能被信任。

出了什么问题:

目前默认情况下使用的是 证书链1 。大部分设备工作良好。包括 Android <7.1.1 。但是部分依赖旧版 openssl (< 1.0.2g) 的程序会由于DST Root CA X3 证书过期无法信任站点。例如 git, apt-get 。

解决方式:

修改默认的chain

如果不需要支持旧版 Android,则可以修改证书链。

acme.sh 添加 --preferred-chain "ISRG"

/root/.acme.sh/acme.sh --issue --dns dns_ali --preferred-chain "ISRG" -d <domain>

certbot

certbot certonly  --dns-route53 -d <domain> --preferred-chain="ISRG Root X1"

如果证书未到期以致未重新签发,可以加上 --force参数。

然后更新证书。

同时兼容 旧版 openssl (< 1.0.2g) 和 Android <7.1.1

经过对比发现 证书链1 和 证书链2 的证书文件基本一致。唯一差别是多了一个 ISRG Root X1 (2) 证书。

证书链1 的证书文件

-----BEGIN CERTIFICATE-----
youside.com (4) 的内容
-----END CERTIFICATE-----
最低0.47元/天 解锁文章
张光通
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
是时候变更 Let‘s Encrypt 证书为 ZeroSSL 了!
草根博客站长明月登楼的CSDN博客
05-15 224
明月发现使用 CloudFlare 的 DNS API 申请 SSL 证书真的是非常丝滑,一路顺畅,比国内阿里云、腾讯云体验好多了,给力呀!
[转]部署Let’s Encrypt免费SSL证书&&自动续期
weixin_30768661的博客
02-23 369
最近公司网站要用https,从自己摸索到找到国内的免费证书到选购正式的收费证书,最后老板说:太贵!不要。一脸懵逼的听老板提到Let’s Encrypt证书,没办法,用呗。之前是有一些了解,国外发布的一款纯免费证书,只是觉得天下没有免费的午餐,免费和收费的差距肯定还是有的。于是,硬着头皮开始鼓捣Let’s Encrypt证书。 前言 Let's Encrypt 作为新的证书颁发机构,免费,...
解决“Let‘s Encrypt“ 证书过期的错误消息
曾健生的专栏
02-09 579
解决"Let's Encrypt" 证书过期的错误消息
Let’s Encrypt根证书过期,站长应于9月30日完成SSL证书更新!
lavin1614
09-30 358
广大的站长朋友们请注意,全球最大HTTPs证书提供商之一的Let's Encrypt根证书将于9月30日过期,请抓紧时间及时更新,否则将面临不受计算机、设备或Web浏览器信任的困扰。 据安全研究员Scott Helme警告称:Let's Encrypt即将于2021年9月30日停用旧版根证书(DST Root CA X3)。如果您的网站使用的Let's Encrypt品牌根证书过期的话,就会出现网站兼容性降低,甚至部分网站不能访问的现象,而这无疑会严重影响用户体验,甚至造成网站业务巨大损失。 (
Certbot对免费Let’s Encrypt证书的自动续期
qq_35774477的博客
04-22 2117
首先,检查你的 Let’s Encrypt 证书是否管理程序是 Certbot(你是否安装了 Certbot)。 执行命令: find / -name “certbot” 如果找到类似于 /bin/certbot 的结果,那么说明已安装了 Certbot(LNMP 1.4 的 SSL安装集成进去了,默认是装了的。LNMP1.3 则是以前是老的 lets encrpyt 程序); 如果没有找到,先...
Let’s Encrypt 根证书(DST Root CA X3)ssl过期解决办法
qq_35035975的博客
06-09 5128
Let’s Encrypt 根证书(DST Root CA X3)根证书过期,浏览器打开 https 网站,提示证书错误,在 Android,Windows,macOS,Linux等老旧系统上的解决办法。
windows下部署免费ssl证书(letsencrypt)的方法
09-30
SSL证书,你可以确保网站与用户之间的通信是加密的,从而增强数据安全性。SSL(Secure Sockets Layer)是一种安全协议,用于在互联网上提供保密通信。它通过使用公钥和私钥技术来加密数据,防止数据在传输过程中被...
letsencrypt1.94
08-21
可以设置自动续期机制,以免证书过期导致网站安全风险。 - 验证方式:Let's Encrypt提供了多种验证方法,包括HTTP-01和DNS-01,选择合适的验证方法对于快速且顺利地获取证书至关重要。 - 多域名支持:Let's ...
hetzner-lb-acmedns:一项使用ACME-DNS自动更新Hetzner负载平衡器上的Letsencrypt SSL证书的服务
02-28
为了解决这个问题,我们引入了`hetzner-lb-acmedns`——一个专为Hetzner负载均衡器设计的自动更新Let's Encrypt SSL证书的服务。 `hetzner-lb-acmedns`的核心功能是利用ACME-DNS协议与Let's Encrypt的验证机制协同...
letsencrypt-aw:使用Let's Encrypt和Azure Automation自动化Azure应用程序网关SSL证书续订的Powershell脚本
02-02
标题中的“letsencrypt-aw”指的是一个Powershell脚本,专门设计用于自动化Let's Encrypt证书在Azure应用程序网关上...通过将此过程自动化,组织能够更专注于其核心业务,而不必担心证书过期导致的安全问题或服务中断。
letsencrypt-siteextension:Azure Web App网站扩展,用于轻松安装和配置Let's Encrypt颁发的自定义域名的SSL证书
01-31
让我们加密网站扩展 此Azure Web App... 当前没有有关证书续订问题的电子邮件通知,但是当扩展名正常运行时,Let Encrypt会在证书过期前几周向您发送电子邮件,而在Let's Encrypt发送提醒电子邮件之前,应该先更新证
三张Letsencrypt 的根证书 “DST Root CA X3” 的最新版本合集
12-23
三张Letsencrypt 的根证书 “DST Root CA X3” 的最新版本。 包含isrgrootx1.der + isrg-root-x2.der + lets-encrypt-r3.der 解决win7中LetsEncrypt证书过期问题,实际上是LetsEncrypt证书过期,但是其顶级ca根证书在2021-09-01过期了,老旧设备会被影响到。 包含isrgrootx1.der + isrg-root-x2.der + lets-encrypt-r3.der, 分别来自: https://letsencrypt.org/certs/isrgrootx1.der https://letsencrypt.org/certs/isrg-root-x2.der https://letsencrypt.org/certs/lets-encrypt-r3.der 更新时间:2021-12-23
阿里云上Let's Encrypt过期后重新配置https
qq_42308331的博客
02-19 1493
今天登陆网站 突然发现https失效了。 因为证书的有效时间是两个月 所以每两个月要进行一次修改。在此进行记录方便后期维护。 直接进入正题,首先登陆到阿里云账号 进入到域名解析 点击解析。 选择需要修改的域名,以video.mdline.cn为例。因为这里用了阿里云的云解析DNS URL转发功能。所以要先修改记录值 修改之前要将cname指向的记录值保存一下。证书生成后还要再修改回来。 修...
windows DST Root CA X3证书过期问题
weixin_44069009的博客
05-22 6323
目录一、遇到的问题二、解决windows DST Root CA X3证书过期的方法三、总结参考 一、遇到的问题 ①安装应用程序时出现了An error occurred attempting to install ②打开安装日志,显示无法正常通过链接从网上下载 ③将下载链接复制到浏览器后,显示您的连接不是私密连接 ④尝试跳过不安全警告下载,但在运行时会报错 ⑤查看详细信息又显示远程证书无效 ⑥我看了下浏览器显示不安全的原因,原来是证根证书 (DST Root CA X3) 已经失效,这里是官网发
解决谷歌浏览器你的时钟快了和证书问题
热门推荐
roseisbule的博客
05-09 1万+
解决你的时钟快了和证书问题
DST ROOT CA X3过期,浏览器https——您的连接不是私密连接
You are happier than before
01-14 2714
问题:别人打开正常,自己打开如下图 原因:操作系统没有自动更新受信任的根证书 解决: 1.以管理员身份运行cmd(或powershell),执行 certutil.exe -generateSSTFromWU roots.sst 如下 说明我关闭了自动根更新,且临时更新报错,系统少文件 2.这时,先扫描修复,再执行就可以了 3.以管理员身份运行powershell,执行如下命令(cmd中不识别该命令) $sstStore = ( Get-ChildItem -Path C:..
解决老旧电脑在win7中浏览器访问https网站出现的LetsEncrypt证书过期问题
Rudon滨海渔村的博客
12-23 5423
原因 LetsEncrypt证书过期,但是其顶级ca根证书 “DST Root CA X3”在2021-09-01过期了,老旧设备上的win系统会被影响到。 解决步骤 下载三张Letsencrypt 的根证书 “DST Root CA X3” 的最新版本,包含isrgrootx1.der + isrg-root-x2.der + lets-encrypt-r3.der:https://download.csdn.net/download/qq285744011/69555308 下载不了的
Android APP 通过socket和server通信,缺少SSL证书导致通信失败 问题解决
最新发布
weixin_45494251的博客
03-14 337
重命名“cert.pem”为“6187b673.0”(查看命令执行后第一行字符串+.0),并将文件“6187b673.0”通过 Root 文件管理器、adb 等保存至 Android 设备目录“/system/etc/security/cacerts/”下;设置->安全->加密与凭据->信任的凭据,请check一下有没有这些SSL证书。手机上安装方法:选择菜单:从存储设备安装。下载pem和txt,组合成Android cert文件。
Let's Encrypt通配符证书申请与运维解析
"基于Let’s Encrypt的通配符证书运维 - 来华栋" Let’s Encrypt是一个免费且自动化的证书颁发机构(CAA),由互联网安全研究集团(ISRG)创立,旨在促进网络上的安全通信,特别是推动从不安全的HTTP向更安全的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值