DST Root CA X3 (самозаверяющий) — срок действия истек в цепочке сертификатов, используемой Let's Encrypt (Apache/Windows)

Question

DST Root CA X3 (самозаверяющий) — срок действия истек в цепочке сертификатов, используемой Let's Encrypt (Apache/Windows)

Безопасно ли удалять из цепочки самозаверяющий корневой сертификат; и каковы последствия этого, если таковые имеются?

И как мне это сделать при установке Windows? Инструкции в разделе « Обновление локальных сертификатов вручную », в которых предлагается удалить сертификат DST Root CA X3 из цепочки, предназначены для установок, отличных от Windows.

Вот как я узнал о своей проблеме: я запустил тест SSL на своем домене https://www.filmfix.com , используя :

Я использую https://github.com/do-know/Crypt-LE , чтобы получить сертификат Let's Encrypt с подстановочным знаком, и запускаю Apache для обработки всех вызовов :443.

Покопавшись, я нашел способ удалить этот сертификат, но цепочка каким-то образом все еще присутствует в списке.

Удаление DST Root CA X3 из Windows

Я пошел дальше и сделалcertmgr.mscчтобы проверить это

URL-адрес support.microsoft.com/?id=293781 не работает; но я нашел соответствующую страницу https://learn.microsoft.com/en-us/troubleshoot/windows-server/identity/trusted-root-certificates-are-required и не смог найти в ней упоминания о DST Root CA X3 , поэтому я удалил сертификат и перезагрузил Windows.

Я восстановил групповой сертификат Let's Encrypt и перезапустил Apache. Сейчас тестирую на https://www.ssllabs.comhttps://www.ssllabs.com , похоже, что проблема SSL DST Root CA X3 больше не существует.

Я протестировал на https://www.immuniweb.com и получил пятёрку ! И нашел этот полезный совет:

Сервер не настроен для поддержки сшивания OCSP для своего сертификата RSA, что позволяет лучше проверять статус проверки сертификата. Перенастройте или обновите веб-сервер, чтобы включить сшивание OCSP.

Но я все еще вижуCN = DST Root CA X3в цепи при беге.

      C:\64bit\Apache24\bin>openssl s_client -connect www.filmfix.com:443 -status -servername www.filmfix.com

      CONNECTED(000001B0)
depth=2 C = US, O = Internet Security Research Group, CN = ISRG Root X1
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=1 C = US, O = Let's Encrypt, CN = R3
verify return:1
depth=0 CN = *.filmfix.com
verify return:1
OCSP response: no response sent
---
Certificate chain
 0 s:CN = *.filmfix.com
   i:C = US, O = Let's Encrypt, CN = R3
 1 s:C = US, O = Let's Encrypt, CN = R3
   i:C = US, O = Internet Security Research Group, CN = ISRG Root X1
 2 s:C = US, O = Internet Security Research Group, CN = ISRG Root X1
   i:O = Digital Signature Trust Co., CN = DST Root CA X3
---

Нужно ли мне удалять какие-либоssl.pemилиssl.csrфайл для openssl для регенерации файлов для обновления цепочки?

0

windows ssl lets-encrypt self-signed-certificate keychain

Источник

MeSo2 11 авг '23 в 14:45

1 ответ

Другие вопросы по тегам windows ssl lets-encrypt self-signed-certificate keychain

Ginnungagap 11 авг '23 в 17:10 2023-08-11 17:10 · Answer 1 · 2023-08-11 17:10

НЕ связывайтесь с хранилищем доверенных сертификатов, управляемым вашей системой, если у вас есть вопросы такого рода.

Предупреждение ssllabs поступает из собственного хранилища доверенных сертификатов инструмента Qualys, поэтому вы можете удалять изменения и ломать локальное хранилище доверенных сертификатов сколько угодно, это ничего не изменит.

Причина, по которой вы это видите, скорее всего, заключается в том, что сервер отправляет корень X1 с перекрестной подписью, предназначенный для совместимости, когда Let's Encrypt перешел на новый корень X1, который, возможно, еще не был развернут повсюду. Примерно так они были подписаны IdenTrust, когда начали свою деятельность в 2015 году.

Сегодня нет причин продолжать представлять корень X1 с перекрестной подписью в вашей цепочке серверов, поскольку это создаст больше проблем, чем исправит.