Agenții utilizatori nu au încredere în serverul web din cauza expirării certificatului rădăcină Let's Encrypt DST Root CA X3

Mă ocup de un server NodeJS cu un certificat SSL emis de Let's Encrypt. Funcționează pe unii clienți (Safari și Firefox pe macOS-ul meu) și nu pe alții (răsuci pe macOS-ul meu, Safari pe iOS). Notificarea pe iOS este:

Nu este de încredere

Expirat 30/09/21 07:01:15

Anunțul pe răsuci este:

curl: (60) Problemă cu certificatul SSL: certificatul a expirat
Mai multe detalii aici: https://curl.haxx.se/docs/sslcerts.html

curl efectuează verificarea certificatului SSL în mod implicit, folosind un „pachet” de chei publice ale Autorității de certificare (CA). Dacă fișierul pachet implicit nu este adecvat, puteți specifica un fișier alternativ folosind opțiunea --cacert.

Inspectarea certificatului arată că datele sunt valabile. am găsit acest avertisment din Let's Encrypt:

Certificatul rădăcină DST Root CA X3 a expirat 30 septembrie 14:01:15 2021 GMT.

...

Dacă site-ul dvs. funcționează pentru majoritatea dispozitivelor, dar nu pentru unele, problema este cu magazinul lor de încredere (lista lor de certificate rădăcină de încredere).

...

macOS, iOS etc

Unele sisteme de operare păstrează lanțul expirat R3 > DST Root CA X3 chiar dacă serverul dvs. nu îl mai folosește. Încercați să reporniți dispozitivul client afectat.

Am forțat reînnoirea certificatului, am copiat cheia privată și lanțul complet în locația NodeJS și am repornit serverul. Am repornit dispozitivul iOS. Noua dată apare pe browserele mele și pe dispozitivul iOS. Dar dispozitivul iOS încă nu are încredere în site.

Site-ul este www.emotionathletes.og .

Cum mă pot asigura că toți clienții obțin lanțul de certificate potrivit și pot vizita site-ul web?

Deoarece nu vă puteți controla clienții, cel mai sigur mod ar fi să începeți să utilizați alte certificate emise de CA.

Un posibil CA ar fi ZeroSSL (https://zerossl.com). De asemenea, oferă certificate prin protocolul ACME fără nicio taxă, cum ar fi Let's Encrypt (https://zerossl.com/letsencrypt-alternative/) și au o compatibilitate destul de bună cu dispozitivele mai vechi (https://help.zerossl.com/hc/en-us/articles/360058294074-ZeroSSL-Compatibility-List).

Dacă utilizați deja instrumentul de linie de comandă certbot pentru a vă gestiona certificatele Let's Encrypt, atunci puteți adăuga câteva comutatoare suplimentare pentru a începe să emitați certificate ZeroSSL:

$ certbot ... --server https://acme.zerossl.com/v2/DV90 --eab-kid XXX --eab-hmac-key YYY

Puteți obține --eab-copil și --eab-hmac-key valorile de pe site-ul ZeroSSL după ce v-ați înregistrat un cont pentru dvs.